Очередная попытка взлома моего почтового ящика

Признаюсь, в 2007-м году был взломан мой почтовый ящик на mail.ru. Тогда я так и не понял, что произошло, но взломал ящик человек, который явно знал меня и в итоге вернул доступ к ящику. С тех пор было немало попыток взлома как ящиков, так и аккаунтов в соцсетях и сегодня расскажу о самой последней попытке.

Итак, получаю на свой e-mail письмо:

Открываю письмо

Помимо желтой полосы, в которой mail.ru сообщает о том, что не может проверить подлинность письма, обращаю внимание на то, что письмо пришло от seting-mails@gmail.com. И тут вопрос: что общего между gmail.com и mail.ru?

Понимаю, что какая-то шняга. С одной стороны интересно, в чем прикол, с другой, нас учили не переходить по сомнительным ссылкам. Но благо, у меня есть iPhone, через который я обычно и перехожу по левым ссылкам. Перешел, понял в чем прикол, сделал вывод что переход по ссылке через браузер компьютера безопасен и перешел.

Далее, видим стандартный интерфейс почтового ящика, с предложением увеличить на определенный объем.

Вот только если посмотреть внимательно, то начинают обнаруживаться интересные вещи:

1. Смотрим внимательно на адресную строку.
2. Смотрим внимательно на надпись «бесплатный хостинг»

Стало интересно, а что будет, если в адресной строке заменить e-mail?
Как я и подозревал — работает скрипт, который меняет e-mail в нужных местах страницы.

Интересно, а что если выбрать настройку и указать пароль?

Происходит редирект на главную страницу mail.ru.
Молодцы! Отлично продумано юзабилити, реально не придерешься)
Жертва делает настройку и сама передает мошенникам пароль от своего почтового ящика.

PS. Естественно, вводил на пароль от своего почтового ящика, а просто циферки, 10 нолей.

---

Мораль сей истории такова:
не существует реальных способов взломать почтовый ящик, либо соцсеть.
Дело в том, что все сервисы имеют программу bug bounty, в рамках которой готовы платить сумасшедшие (в среднем, $20.000 — $200.000) деньги тем, кто найдет в их системах уязвимости, которые позволят ее взломать и если человек реальный хакер, то вместо того, чтобы брать с вас по 5-20 тыс. за взлом почтового ящика, либо аккаунта в соцсети, он лучше заработать с самой соцсети совершенно другие деньги.

Все методы взлома основаны на описанных выше технологиях, когда жертва получает письмо, либо сообщение, с предложением перейти по определенной ссылке, после перехода на которую жертву мотивируют выдать свой пароль.

Более сложные методы основаны на заражении компьютера жертвы «вирусом», который как правило, представляет из себя кейлоггер, который отправляет на e-mail взломщика все комбинации, набранные на клавиатуре, либо пароли, сохраненные в браузерах. Но такая методика более дорогая, применяется очень редко и стоит очень дорого.

Будьте внимательны!