Один случай из жизни взломщика

27-12-2017
О том как нам попался не добросовестный клиент или история о нерадивых конкурентах
Какие бывают клиенты у взломщика

И так мы получили очередное письмо на почту snooper.mail@yandex.ru, с заказом на взлом почты. Это был обычный заказ от обычного, на первый взгляд, клиента. Работать по заказу начали сразу. И, как это иногда бывает, тут же получили пароль. Учитывая, что пароль только что пришел, мы не стали проверять его. Так можно обнаружить себя, ведь у пользователя могут быть настроены политики безопасности и лучше не заходить одновременно с ним. Часто бывает, что у жертвы настроен вход одновременно только с одного устройства. Если зайти в email одновременно с объектом, то его сеанс разорвется. Обычно мы ждем до вечера и потом заходим в аккаунт, сразу проверяем политики безопасности и убираем те, что могут нас обнаружить. Но тут мы заметили, что с этого аккаунта продолжают приходить пароли. Причем они смахивают на вариант пароля, но не похожи друг на друга. Мы выждали определенное время и решили проверить их. Ни один из них не подошел. Иногда бывает что пользователи меняют пароль на почте, а нам присылают старый. Но в этом случае ни один из полученных паролей ранее использован в этом аккаунте не был (спасибо mail.ru за такую фичу). Это немного странно, но мы продолжили работу по заказу и запустили следующий этап. Почти сразу мы начали получать пароли и по второму этапу. С ними - та же история. Ни один не подошел. По третьему этапу ситуация вновь повторилась. 

После третьего этапа мы решили подойти с другой стороны. Стали пробивать почту на предмет регистрации в других сервисах. Попутно проверяли это же имя пользователя только с другими доменами. И оказалось, что точно такой же email, только не ***@bk.ru а ***@mail.ru зарегистрирован на facebook. Аккаунт на facebook был левый, вместо главного фото, аватарка в виде маски Гая Фокса, никакой личной инфы и фоток. Но самое интересное, что рядом с этой почтой в аккаунте, при восстановлении пароля, фигурировала еще одна почта, на яндексе. Email был спрятан под звездочками, но подобрать его не составило труда. Часто бывает что он совпадает с именем профиля, оставалось только добавить соответствующий домен, в нашем случае @yandex.ru, так мы нашли очередной email нашей жертвы.

Полученные ранее пароли не подходили ни к одной из этих почт. Аккаунт на facebook мы проверять сразу не стали, решили подождать до ночи, а пока начали пробивать только что найденный email по другим соц. сетям. Оказалось что похожие учетные записи зарегистрированы на эту почту и в одноклассниках и вконтакте. Мы дождались ночи и попробовали все полученные пароли к этим соцсетям. Естественно ни один из них не подошел и взломать нам их, не удалось. Все это было очень подозрительно. Мы понимали, что нас разводят, но не понимали кто и зачем. На утро мы запустили аккаунт вк в работу. Новые почты, что нашли в ходе поисков в работу пускать не стали. Учитывая, что они принадлежат одному и тому же владельцу работать по ним нужно разными методами и желательно с перерывом хотя бы в одну неделю. 

Результаты по ВК так же не заставили себя долго ждать. Тем же вечером мы получили пароль от аккаунта вконтакте и нам удалось его взломать. Пароль оказался верный, но аккаунт полностью пустой. Стали примерять полученный пароль к ранее найденным почтам. Не подошел. Но немного перебрав варианты написания пароля, мы смогли войти в почту на Яндексе. Дело в том, что в пароле от ВК было сочетание букв vk.com, мы заменили его на ya.ru и смогли взломать email на Яндексе. К остальным почтам применили тот же метод и вуаля, у нас есть доcтуп к искомому ящику.

Взломав заказанный ящик, мы обнаружили, что кроме нас этот ящик ломают как минимум еще 2 исполнителя. Причем в ящике находились только письма отправленные взломщиками и никаких писем самого владельца. Так мы поняли, что заказчик создал эту почту специально, что бы заказать ее взлом, но какую цель он преследовал, пока не было понятно. Однако, учитывая, что доступ к почте мы все же получили, решили попробовать получить оплату за проделанную работу. Написали письмо заказчику и приложили скрин-доказательство того что у нас есть доступ к ящику. После этого письма, мы больше не получали сообщений от заказчика. А пароль от почты был тут же сменен. 

В таком случае мы решили изучить подробнее содержимое другой взломанной Яндекс почты. Она оказалась намного интереснее. В ней мы обнаружили письма от различных хостинг сервисов. Последним было свеженькое письмо от хостера timeweb.ru. В письме были данные с паролем к админ панели.
timeweb панель управления
Авторизовавшись мы не нашли никаких исходников, но домен зарегистрированный в сервисе timeweb.ru был очень похожим на e.mail.ru. Это навело на мысль, что наш заказчик был очередным нашим конкурентом, который собирался использовать наши шаблоны в своей работе. 

Это не первый случай когда нас пытаются скопировать другие исполнители. Однако показателен тот факт, что даже те, кто знают обо всех методах взлома попадаются на наши удочки.  Мы не стали раскрывать полные данные этого бедолаги, в любом случае, нам было весело. Остается только надеятся, что при выборе исполнителя заказчики будут ориентироваться на опыт и репутацию. Мы будем продолжать рассказывать о наиболее интересных случаях из нашей практики, а пока предлаем Вам почитать другие материалы на нашем сайте. А если вам нужно заказать взлом почты или страницы вконтакте, можете сделать заказ прямо на сайте.

mailhack.org взлом почты
Еще статьи по теме
mailhack.org взлом почты