Trao đổi với tôi

http://www.buidao.com

8/6/09

[CEH] CEH v6 Module 13 :Hacking Email Account

CEH v6 Module 13 :Hacking Email Account

Link: http://uitstudent.com/forum/showthread.php?t=6475



Nội dung Module 13 gồm :
Trích:

1.Ways of Getting Email Account Infomations
2.Vulnerabilities
3.Tools
4.Security Techniques
5.Creating Strong Password
6.Sign-in Seal

INTRODUCTION

Email
là một thuật ngữ trong tiếng Anh, dịch sang tiếng Việt có nghĩa là thư điện tử. Thay vì nội dung thư của bạn được viết lên giấy và chuyển đi qua đường bưu điện thì email được lưu dưới dạng văn bản trong máy tính và được chuyển đi qua đường Internet.

Lợi ích của email thì chắc các bạn cũng biết rùi:
  • Tốc độ cao: Vì email được chuyển qua đường Internet dưới dạng các tín hiệu điện nên tốc độ di chuyển của email gần như là tức thời. Với các bức thư tín bình thường, bạn có thể phải mất một vài ngày để thư có thể tới được địa chỉ cần thiết nhưng với email, sau cú click chuột vào nút gửi thư, người nhận đã có thể đọc được nội dung thư của bạn gửi cho họ.
  • Chi phí rẻ: Với các thư tín bình thường, bạn phải tốn một khoản chi phí khá lớn khi gửi các bức thư của mình đi. Còn với email, bạn chỉ tốn một khoản phí rất nhỏ để kết nối internet cùng với chi phí cho dịch vụ email của bạn. Bạn cũng có thể dùng dịch vụ email miễn phí. Khi đó chi phí của bạn cho các bức thư hầu như không đáng kể.
  • Không có khoảng cách: Với email, người nhận cho dù ở xa bạn nửa vòng trái đất hay ngay cùng phòng làm việc với bạn, việc gửi và nhận thư cũng đều được thực hiện gần như ngay lập tức. Và chi phí cho các bức thư đó cũng đều rẻ như nhau.
Vì nó quá thông dụng và tiện lợi nên email được dùng để lưu các thông tin cá nhân riêng tư hay cả thông tin kinh doanh..có thể cả email và password nữa.Vì vậy việc xâm nhập email đã trở nên khá phổ biến.

Công nghệ càng ngày càng cao,khi mà email đã trở nên thông dụng và rộng rãi với mọi người trên thế giới thì các kĩ thuật tấn công cũng như công cụ để lấy userID và passowrd cũng xuất hiện


WAYS OF GETTING EMAIL ACCOUNT INFORMATIONS

Stealing Cookie :đánh cắp cookie.Tại sao lại có sự đánh cắp Cookie ở đây?Cookie có những gì ?

Cookie có thể giúp cho việc lưu trữ các thông tin cá nhân của bạn, mà những thông tin này giúp cho bạn khi vào trang web đó lần sau sẽ cảm thấy thuận tiện hơn. Chẳng hạn bạn đăng nhập vào các trang web yêu cầu bạn “check” vào những ô ví dụ như “Remember me on this computer”… chủ yếu là các trang web e-mail , diễn đàn v.v mà lần truy cập sau bạn sẽ thấy nickname của mình hiện sẵn trong ô username, thậm chí nó còn nhớ luôn password và bạn chỉ cần “Enter” là vào thẳng được tài khoản đã đăng ký. Một khi đánh cắp dc cookie hacker sẽ truy ra dc user,password và trang web mà người dùng đã vào.Có thể truy dc tài khoản mail .Vì vậy nên delete cookie thường xuyên để tránh rủi ro

Làm thế nào để đánh cắp Cookie.Xem cái này nhé .XSS

Social Engineering :giới thiệu 1 xíu về thuật ngữ này nhé.Như các bạn đã biết càng ngày bảo mật càng cao,mặc dù nhiều công cụ hack ra đời nhưng không phải dễ hack.Hacker đã sử dụng 1 kĩ thuật mới,đó là Social Engineering.

Social engineering là một tập hợp kỹ thuật được sử dụng lợi dụng niềm tin của người để dò ra các bí mật,các lỗi của hệ thống.Chẳng hạn một ngày nào đó mà bạn nhận dc điện thoại của 1 giọng nữ dịu dàng "hệ thống tài khoản ngân hàng đang gặp lỗi..vui lòng cung cấp account để reset lại." hay vài tin nhắn SMS "bạn đã trúng 50.000 đồng,vui lòng soạn tin nhắn XYZ để kích hoạt "

Social Engineering dc coi là 1 kĩ thuật cực kì thông minh mà để đạt dc nó không phải dễ.Bạn phải bắt đầu từ đâu khi muốn xâm nhập 1 hệ thống,có nên trực tiếp làm quen và tạo thiện cảm với admin hay không,hay làm quen từ những người thân cận rùi mới tiếp xúc với admin.Tất cả là do sự linh động và khôn khéo của bạn.

Password Phishing : bạn có thể xem thêm tại CEH v6 Module 12 : Phishing


VUNERABILITIES

Web Email

Khi sử dụng dịch vụ mail, sau khi click vào link thì nó sẽ chuyển từ trang hiện tại đến trang tiếp theo và thông tin (địa chỉ email, tên đăng nhập, tên thật…)có thể xuất hiện trên đường dẫn của website đó. Hình dưới là lỗi có thể thu thập dc:






Reaper Exploit

Sự bảo mật của Email có thể bị 1 loại virus xâm nhập như con Reaper chẳng hạn.Cách thức hoạt động của virus này là "theo dõi" và ghi lại thông tin mail trên máy người dùng và sẽ copy lại và tự động gửi tới hacker.Virus này thích hợp và chạy trên nền web động (DHTML) để xử lí các script.Để bảo mật tốt hơn tắt email scripting .


EMAIL HACKING TOOL

SECURING EMAIL ACCOUNTS

Con đường bảo vệ tối ưu nhất là đặt password thật khó để hacker k thể brute-force dc.Thường thì nếu đặt password mạnh thì các công cụ không thể crack dc.Có thể đặt password theo các cách sau:
-Đặt từ 7 tới 16 kí tự.Tại sao lại làm thế,tránh việc các công cụ crack.Hiện nay các công cụ crack password 6 kí tự là đã mệt mỏi rùi.
-Đặt password là các kí tự đặc biệt như !@#$%^&*() hay a-A ,b-B,0-O hay các kí tự số.

Nên clean Cookie định kì,tránh tình trạng bị dính trojan đánh cắp cookie nhé.
Các trang đòi hỏi đăng nhập bằng Credit Card hay Card gì đó bất cứ đừng có check.










SECURITY EMAIL TOOL

Email Protector
Email Security
SuperSecret


Kết thúc CEH v6 Module 13:Hacking Emaiil Account .Nội dung của module này chỉ ra rằng email là thứ phổ biến của người dùng cũng như là target mà hacker thường hay tấn công để tìm kiếm thông tin đây.Hãy nhớ bảo mật password của mình thật kĩ bạn nhé
To be continued.....