Wybór hasła logowania. Hakowanie i zgadywanie haseł online: pięć głównych sposobów

Częste w Internecie. Jest wykonywany w różnych celach. Najczęstszym celem jest wysyłanie spamu i natrętnych reklam. Czasami włamywacze dokonują kradzieży Pieniądze z kont w mediach społecznościowych. Hakowanie systemów płatności jest niebezpieczne. Złamanie hasła e-mail, oprócz rozsyłania spamu, niesie ze sobą ryzyko, że wszystkie inne dane konta również zostaną wykryte. Czasami odbywa się to w celu kradzieży zawartości gry.

Metody łamania haseł

Nawet najlepsze hasła do e-maili można złamać. Hakerzy działają z każdym dniem coraz lepiej. Są to specjalne programy do wybierania kombinacji, metody śledzenia działań w Internecie itp.

Wyłudzanie informacji

W ten sposób możesz znaleźć hasło z VK lub innego sieć społeczna popularny wśród hakerów. Użytkownik otrzymuje wiadomość z prośbą o przejście do witryny, która wygląda jak ta, którą próbuje włamać haker. Zwykle jest z niego całkowicie skopiowany.

Klikając w link, użytkownik wprowadza inne dane, myśląc, że próbuje zalogować się na swoje zwykłe konto. Możesz wejść na taką stronę i spróbować znaleźć hasło, mając login, czyli korzystając z funkcji „Odzyskiwanie konta”.

Użytkownik naciska przycisk „Zaloguj się”, a dane natychmiast trafiają do atakujących. Sam użytkownik zostaje przekierowany na stronę prawdziwej sieci społecznościowej, nawet nie zauważając, co się stało. Zaawansowana socjotechnika umożliwia hakerom poznanie hasła od kontaktu innej osoby.

Rzeczywiście, aby użytkownik mógł podążać za fałszywym linkiem, konieczne jest „zmielenie” jego zaufania. Metoda nie jest bardzo skuteczna, ale łatwa do wdrożenia. Jednak właściciel konta może podejrzewać, że rzeczywisty często niewiele się różni) i odmówić zmiany. Atakującego łatwo znaleźć.

Wybór

Główną technologią, za pomocą której hakerzy próbują znaleźć hasło do poczty metodą brute force, jest BruteForce. Jest to metoda automatycznej zamiany generacji i zamiany kombinacji dla rachunku. Aby rozpocząć taki wybór, potrzebujesz program specjalny, którego łamanie hasła będzie szybkie. Taki program działa zgodnie z zasadą matematyczną, gdzie prawidłowe rozwiązanie rozpoznaje metoda selekcji.

W ten sposób program w nieskończoność generuje kombinacje cyfr i liter oraz sprawdza ich poprawność. Ze względu na wysoką wydajność takie programy działają dość szybko.

Usługa hakerska do hakowania może być zarówno uniwersalna, jak i dla konkretnej witryny. Kiedy to działa, tworzony jest fałszywy serwer proxy, dzięki któremu atakujący mogą ukryć swoje IP. Ponadto, regularnie go zmieniając, można uniknąć blokowania komputera, z którego przeprowadzany jest haker. Po zhakowaniu zobaczysz komunikat informujący, że Twoje hasło zostało naruszone, gdy zalogujesz się na swoje konto. Należy pilnie wykonać następujące czynności:

1. Zmień informacje o koncie;
2. Zmień pytanie zabezpieczające;
3. Napisz do administracji, że hasło w Kontaktie (lub w innym zasobie) zostało naruszone.

Chociaż wcześniej używane programy działały na nich, teraz pojawiły się bardziej zaawansowane. Teraz zastąpienie słowa cyfrą nie zabezpieczy Twojego konta. Nowe programy wybierają całkowicie dowolne kombinacje alfanumeryczne, potrafią złamać bardzo złożoną kombinację znaków.

Hash i hakowanie stron internetowych

Skuteczna, ale trudna metoda hakerska. Aby znaleźć hasło, hakerzy włamują się do witryny, która przechowuje skróty kombinacji kodów użytkownika. Skrót jest uzyskiwany po tym, jak kombinacja liter przeszła nieodwracalną złożoną procedurę. Gdy logując się na swoje konto wpisujesz kombinację znaków, hash jest ponownie obliczany i jeśli zgadza się z zapisanym, to poprawnie wpisałeś słowo kodowe. Te dane są skradzione przez atakujących, włamując się na stronę. Jeszcze łatwiej jest ze starymi zasobami, które nie przechowują skrótów, ale same kombinacje liter.

Hash nie jest tak trudny do rozszyfrowania. Hakerzy mają wiele programów i usług, które pozwalają Ci je znaleźć i wykorzystać. Widzą hasło w Yandex Mail po wcześniejszym zhakowaniu samej usługi w następujący sposób:

• Obliczanie algorytmów haszujących i deszyfrowania danych;
• Mając bazę danych kombinacji kodów BruteForce, haker ma również skróty tych słów, zakodowane przez ten lub inny algorytm. Program może jedynie porównywać istniejące z nowymi;
• Nie ma wielu algorytmów i są one powszechne.

Haszowanie na stronach internetowych to proces podobny do działania plików cookie na komputerze. Odszyfrowanie go jest tak proste, jak znalezienie hasła z plików cookie. Dlatego oczywiste jest, że takie przechowywanie nie zapewnia niezawodnej ochrony konta, nawet przy bardzo złożonej kombinacji.

Programy szpiegujące

Programy - spyware - oprogramowanie zainstalowane na komputerze jest ukryte. Aby użytkownik nie wiedział o jego istnieniu. Zasadniczo jest to wirus. Zaprojektowany do zbierania informacji o użytkowniku, loginach, historii żądań przeglądarki, słowach kodowych itp. Niezbędne do hakowania i prowadzenia ukierunkowanej reklamy. Za pomocą takich programów informacje są przesyłane bezpośrednio do atakującego.

Takie programy podszywają się pod oprogramowanie oferujące skopiowanie hasła w postaci gwiazdek lub odzyskanie z plików cookie. Takie programy muszą być używane z ostrożnością. I lepiej jest użyć przeglądarki, aby przywrócić możliwość logowania się na swoje konto. Oprogramowanie szpiegujące umożliwia poznanie hasła znajomego, instalując złośliwe oprogramowanie na jego telefonie lub komputerze. W takim przypadku dane zostaną Ci przekazane.

Czy hasło zostało zhakowane?

Niektóre zasoby same wyświetlają powiadomienia o włamaniu. Sieć społecznościowa VKontakte wysyła powiadomienie, że hasło zostało naruszone podczas wchodzenia na konto. Jeśli zmienisz słowo kodowe na stare, takie powiadomienie może się pojawić, ponieważ witryna prowadzi czarną listę haseł, z których wysyłany był spam itp.

Ponadto istnieje liczba usługi online, które pokazują konta, które niedawno wpadły w ręce napastników. Jeśli istnieją powody, by sądzić, że próbowali włamać się do hasła e-mail, wprowadź adres e-mail (lub login, jeśli nie mówimy o skrzynkach pocztowych) w polu, a zobaczysz, czy konto zostało zhakowane.

Możesz dowiedzieć się, czy Twoje konto zostało zhakowane w inny sposób. Głównym z nich jest analiza aktywności na Twoim koncie podczas Twojej nieobecności w serwisie.

OBEJRZYJ WIDEO

Jeśli Twoi znajomi otrzymali wiadomości z treściami reklamowymi lub zaproszeniami na strony osób trzecich, widzisz te wiadomości i powiadomienia po raz pierwszy, mimo że strona pokazuje, że były przeglądane itp. wtedy twoja strona była używana pod nieobecność. Jednak może nie być widoczny w Internecie. Istnieją programy do ukrywania obecności użytkowników w sieci.

Brute force - brutalna siła, brutalna siła hacking
W artykule „” powiedziano, że nie można zhakować VK za pomocą brutalnej siły (programu).
To nie do końca prawda, wciąż istnieją luki…
Poniżej znajduje się działający skrypt, ale najpierw…

Na dole artykułu - darmowy program do generowania słownika brute oraz lista "top loch passwords"

Z góry zastrzegam, że mówimy o klasycznej „brute force” bez żadnych algorytmów PBKDF2, bez parsowania hasha sha, ponieważ Na poziomie gospodarstwa domowego jest to przytłaczające zadanie.

W sieci jest wiele programów „do hakowania VK metodą brute force”

Który wybrać? Co pomoże (bez szkody dla mnie)?
- Nic

Każde konto VK wymaga osobistego podejścia, a programy szablonowe z sieci to bzdury, rozwody, bzdury.

Teraz zrozumiesz dlaczego. Część matematyczna pokrótce.

Minimalna długość hasła VK to 6 znaków.

Hasło musi zawierać:
liczby(0-9 - 10 opcji),
listy(a-z - 26 po łacinie),
wielkie litery(A-Z to także 26)

Razem dla każdego symbolu - 10+26+26=62 (!) opcji, czyli ilość kombinacji dla:
6-znakowe hasło - 56 800 235 584 (56,8 miliarda)
7-znakowe hasło - 3 521 614 606 208 (3,5 biliona)
8-znakowe hasło - 218 340 105 584 896 (218 bilionów)
9-znakowe hasło -13 537 086 546 263 600

Nie znamy długości hasła, więc będziemy musieli zbrukać zakres co najmniej 6-8 znaków
Łącznie: 6+7+8 znaków = 221 918 520 426 688 (222 biliony) opcji

Powiedzmy, że masz całkiem dobry komputer, ale pojawia się pytanie - ile żądań do serwera VK może on wykonać?
Jak szybki jest Twój domowy komputer?

Policzmy. Aby to zrobić, otwórz wiersz poleceń(Start - Akcesoria - Wiersz polecenia lub uruchom proces cmd.exe)
Jedziemy w poleceniu, dostajemy odpowiedź serwera

"Odpowiedź z .....czasu 134ms" (to jest moja, Twój czas może się różnić)

Czas pingowania to czas, w którym sygnał podróżuje z naszej maszyny na serwer iz powrotem

W jednej sekundzie jest 1000 milisekund (ms), więc
Szybkość brute z twojego komputera (żądania / s) wyniesie = 1000 / czas odpowiedzi
W moim przypadku 1000/134ms = 7,4 żądania (hasło) na sekundę

Jak długo zajmie uporządkowanie haseł do VK?

Przypomnę, że iterujemy ponad 221.918.520.426.688 (222 biliony) opcji haseł.

Dlatego, aby dowiedzieć się, na ile brutalnie złamiemy hasło do VK, liczbę dzielimy przez prędkość, tj.

221918520426688 haseł / 7,4 haseł na sekundę = 29737081737176sec = 495618028953 min = 8260300483 godziny = 344179187 dni = 942957 lat

Wniosek:prawdziwy program do włamywania się do VK mógł odebrać hasło brutalną siłą przez 94 tysiące lat.

Pytanie: A co z filmami na YouTube, w których cudowne programy niszczą stronę VK w kilka minut / godzin?
Odpowiadam: jest to oszustwo stworzone w celu zainfekowania komputera w celu kradzieży własnych danych. Nie więcej nie mniej.

Możesz znacznie przyspieszyć proces wyszukiwania!
Do tego potrzebujesz:
1. Zwiększ moc obliczeniową. Na przykład zainfekuj 1 000 000 komputerów innych osób i jednocześnie brutalnie VK z nich wszystkich (już zabawne)
2. Skróć słownik brutalny do np. kilku tysięcy (zgodnie z zasadą socjotechniki)

Jak zrobić brutalny słownik?
1. Długopisy w programie notatnika (notepad.exe)
2. Prog „brute generator” (link na dole artykułu)

Ten brutal - słownik jest pełen prawdziwych opcji.

Prawdziwe to te, które są przynajmniej w jakiś sposób związane z osobą zhakowaną:

-telefony(on, jego krewni, przyjaciele)
Przykład- liczby z +7s, 8s, bez 8s - rzadko spotykane

- daty urodzenia(on, jego krewni, krewni)
Przykład- (z tej samej daty) 010118, 01012018, 20180101, 180101 - spotyka się często

- Imiona bliskich
Przykład- SashaMaria, MariaIvanova, SaNoMaIv - średnia

Nazwa strony (lub nazwisko) w innym układzie
Przykład, jeśli wpiszesz słowo „vkontakte” w rosyjskim układzie, otrzymasz - „mlshtefleu” - taki schemat jest bardzo często spotykany na wszystkich stronach.

- Lista haseł Loch dla brutala(lista najpopularniejszych haseł w sieci - link na końcu artykułu)

Ile czasu zajmuje napisanie słownika? Cóż, nie bardzo - pół godziny wystarczy dla oczu. Kto powiedział, że to będzie łatwe?

Załóżmy, że mamy słownik stworzony przez brute i działający program do wybierania hasła VK (lub ręcznego wprowadzania do słownika).

Jest jeden ważny problem - system ochrony serwera.

Właściwie jego ingerencja polega na tym, że przy zbyt częstych żądaniach serwer głupio blokuje (tymczasowo) twoje IP. Ponadto, jeśli pracujesz z VK przez forma standardowa input (HTML \ FORM), a następnie po 3 nieudanych próbach VK poprosi o wprowadzenie captcha.

V stara wersja VK może po prostu przejść na wersję mobilną - m.vk.com, teraz wersja mobilna jako takie, nie - w 2016 roku wykonali jeden projekt adaptacyjny.

Jak ominąć captcha VKontakte?

VK wymaga wpisania captcha po 3 nieudanych próbach (ponowne uruchomienie F5 nie pomaga), ale skąd on to wie to ty podejmowanie wielokrotnych prób logowania?

Według adresu IP
- Pliki cookie, pamięć podręczna i JavaScript

Nie ma problemów z plikami cookie, pamięcią podręczną i JavaScriptem - możesz je po prostu wyłączyć w ustawieniach przeglądarki.

IP można zmienić instalując program do zmiany IP - nie ma w tym nic trudnego, jest ich dużo w sieci (Google pomaga)

Możesz użyć przeglądarki TOR (kto nie wie - jest to przeglądarka do anonimowego surfowania po sieci, zmienia też adresy IP z każdą nową sesją, przydatna rzecz zwłaszcza dla tych, którzy surfują lub pracują w SAR)

Ale prawie całkowicie neguje wszelkie próby wyliczenia GEOlokalizacji.

Serwer VK pamięta, gdzie (geograficznie) dokonano ostatniego logowania.

A jeśli twoje IP pochodzi z innej miejscowości, wtedy (być może) pojawi się napis:

„Próbujesz zalogować się jako Iwan Iwanow z nietypowej lokalizacji”.

Aby potwierdzić, że rzeczywiście jesteś właścicielem strony, podaj wszystkie brakujące cyfry numeru telefonu, z którym strona jest połączona.

Skrypt do brutalnych formularzy internetowych (takich jak program do hakowania VK)

Ważny! Na serwerze VK znajduje się skrypt śledzący częstotliwość wysyłania pakietów, czyli tzw. jeśli uderzasz z prędkością N razy/sek, zostaniesz automatycznie wysłany na listę banów przez IP.
VK wykorzystuje również GEOtracking.

Bez dynamicznego adresu IP nie powinieneś brutalnie próbować, VPN może pomóc.
Osobiście uważam, że hasła VK typu brute force są mało obiecujące, ale dla koneserów opublikuję stary skrypt Pearl zapożyczony z 5p4x2knet a.k.a. Apokaliptyczne i trochę naprawione.

Skrypt działa metodą POST tylko z dwoma parametrami - Zaloguj sie oraz hasło.

Jeśli login jest znany (na przykład numer telefonu), po prostu wypełnij odpowiednie pola wartością bez korzystania ze słownika.

Pola ukryte - captcha, skrypt nie wyśle ​​obrazków, ukryj źródło żądań (siebie) jak opisano powyżej.

Tutaj przydaje się rozsądny słownik brutalny, który skompilowaliśmy na początku artykułu. (Nazwijmy to na przykład brut.txt )

Potrzebujemy również pliku, z którego nasz program otrzyma informacje.

Program wymusi brute force wszystkie skrypty określone w tym pliku.( infa.txt). Jeśli jest tylko jeden skrypt, możesz go zastąpić

Oczywiście plik do zapisu wyników ( wynik.txt)

Więc,
{
#podłącz obiekt
$usagent = LWP::UserAgent
#otwórz plik z informacjami (jeśli nie możemy go otworzyć, wyjdź);
# wrzuć plik do tablicy @infa i zamknij go. (jeśli jest tylko jeden skrypt, to można go określić od razu)
otwarte(INFA, ";
zamknij(INFA);
#otwarty słownik brutalny
otwarte(BRUT, ";
zamknij(BRUT);
#otwarcie pliku z wynikami (dołączane na końcu).
open(WYNIK, ">>$ARGV");
#rozpocznij pętlę
foreach $name (@infa)
{
#oddzielny adres URL, login, zmienne i informacje o błędach
($url, $login, $log_vr, $pwd_vr, $failed) = split(//, $name);
#pokaż adres URL
print "$url...n";
# rozpocznij kolejną pętlę
foreach $brut (@brut)
{
#zabij spacje i znaki nowej linii
$pss =~ s/ //;
$pss =~ s/n//;
#podłącz nowy obiekt
$usagent = LWP::UserAgent->nowy();
#tworzenie wniosków.
$req = HTTP::Request->new(POST=>$url);
$req->content_type("aplikacja/x-www-form-urlencoded");
$req->content("$log_vr=$login&$pwd_vr=$pss");
#i wysyłanie
$wynik = $usagent -> request($req);
#zapisz wyniki do zmiennej
$res = $wynik->treść;
#jeśli się nie powiedzie, generowany jest komunikat o błędzie
if($res!~ /$nie powiodło się/i)
{
#wyjście wiadomości z hasłem; zapis w wynikach;
print "znaleziono brutalne słowo. To jest $pssnn";
print WYNIK "URL: $urlnLOGIN: $loginBRUT: $pssnn";
#w przeciwnym razie kontynuuj wybór
ostatni, ubiegły, zeszły;
}
}
}
#zamykanie pliku wyników.txt
zamknij(WYNIK);

Brute force (pochodzące z angielskiego wyrażenia: brute force) to rodzaj atak hakerski— metoda włamywania się na konta w systemach komputerowych, usługach płatniczych/bankowych oraz stronach internetowych poprzez automatyczny dobór kombinacji haseł i loginów.

Bruteforce opiera się na tytułowym metoda matematyczna(brute force), w którym właściwe rozwiązanie - liczba skończona lub kombinacja symboliczna znajduje się poprzez wyliczenie różnych opcji. W rzeczywistości każda wartość z danego zestawu potencjalnych odpowiedzi (rozwiązań) jest sprawdzana pod kątem poprawności.

Zasada działania brutalnej siły

Haker pisze specjalny program do odgadywania haseł lub korzysta z gotowego rozwiązania swoich kolegów. Może koncentrować się na określonej usłudze pocztowej, witrynie internetowej, sieci społecznościowej (tj. Zaprojektowanej w celu zhakowania określonego zasobu). Następnym krokiem jest przygotowanie do włamania. Składa się z następujących kroków:

1. Kompilowanie listy proxy

W celu ukrycia prawdziwego adresu IP komputera, z którego zostanie przeprowadzony atak oraz uniemożliwienia zablokowania ze strony, na której konieczne jest włamanie na konto, połączenie internetowe jest konfigurowane przez serwer proxy.

Wyszukiwanie adresów/portów proxy odbywa się w grabberze proxy (Proxy Grabber). To narzędzie niezależnie wyodrębnia wszystkie dane do łączenia się z serwerami pośredniczącymi z witryn udostępniających serwery proxy (są one określone na liście). Innymi słowy, pobierane jest proxy.

Powstała baza jest zapisywana w osobnym pliku tekstowym. A następnie wszystkie dostępne w nim adresy serwerów są sprawdzane pod kątem działania w programie do sprawdzania proxy. Dość często programy przeznaczone do automatycznego wyszukiwania proxy łączą funkcje zarówno grabbera, jak i sprawdzania.

W efekcie otrzymujemy gotową listę proxy w postaci listy IP/portów zapisanej w plik txt. (Będziesz go potrzebować podczas konfigurowania programu brute force).

1. Bazy wyszukiwania dla brute

Niezbędne jest podpięcie słownika do brute force - pewnego zestawu kombinacji haseł i loginów - które zastąpi w formularzu logowania. Ma również, podobnie jak lista proxy, formę listy w zwykłym plik tekstowy(.tekst). Słowniki, które są również bazami danych, są rozpowszechniane za pośrednictwem forów hakerskich, witryn i hostingu plików. Bardziej doświadczeni „rzemieślnicy” tworzą je samodzielnie i udostępniają każdemu za opłatą. W jaki sposób więcej podstaw(liczba kombinacji, loginów, kont), im lepiej (dla hakera) – tym większe prawdopodobieństwo sukcesu włamania.

1. Konfiguracja brutalna

Lista proxy jest załadowana; program selekcyjny automatycznie zmieni serwer proxy, aby serwer sieciowy nie wykrył ataku i odpowiednio źródła (hosta) ataku.

Podłączony jest słownik kombinacji hasła/logowania. Ilość wątków jest ustawiana - ile kombinacji brute force będzie sprawdzać jednocześnie. Potężny komputer przy dużej prędkości Internetu pewnie radzi sobie z 120-200 strumieniami (jest to optymalna wartość). Szybkość bestii zależy bezpośrednio od tego ustawienia. Na przykład, jeśli ustawisz tylko 10 wątków, wybór będzie bardzo powolny.

1. Uruchamianie brutalnej siły

Program przechwytuje udane próby włamań: zapisuje zhakowane konta (hasło/login) do pliku. Czas trwania procedury kwalifikacyjnej waha się od kilku godzin do kilku dni. Jednocześnie nie zawsze okazuje się to skuteczne ze względu na wysoką stabilność kryptograficzną danych logowania czy zastosowanie innych środków ochronnych po stronie atakowanego.

Rodzaje brutalnej siły

Osobisty hack

Polowanie na określone konto - w sieci społecznościowej, w serwisie pocztowym itp. Za pośrednictwem lub w trakcie komunikacji wirtualnej atakujący uzyskuje od ofiary login w celu uzyskania dostępu do witryny. Następnie łamie hasło metodą brute-force: określa adres zasobu sieciowego i wyodrębniony login w brute force, łączy słownik.

Szanse takiego włamania są niskie, na przykład w porównaniu z tym samym atakiem XSS. Może się to udać, jeśli właściciel konta użyje hasła składającego się z 6-7 znaków z prostą kombinacją znaków. V Inaczej zajmie lata - dziesiątki i setki lat, w oparciu o obliczenia matematycznego wzoru wyszukiwania, aby "rozwinąć" bardziej stabilne opcje 12,15, 20 liter, cyfr i znaków specjalnych.

Brutus/Sprawdź

Baza danych z loginami/hasłami z jednej skrzynki pocztowej usługa pocztowa(na przykład mail.ru) lub inny. I lista proxy - aby zamaskować węzeł (od wiele próśb z jednego adresu IP, internetowe usługi poczty e-mail dość szybko wykrywają atak).

Opcje brute określają listę słowa kluczowe(z reguły nazwy witryn) - punkty orientacyjne, za pomocą których będzie szukał literami danych logowania na zhakowanych skrzynkach pocztowych (np. steampowered, worldoftanks, 4game, VK). Lub konkretny zasób internetowy.

Użytkownik, rejestrując się w grze online, sieci społecznościowej lub forum, zgodnie z oczekiwaniami, wskazuje swój adres e-mail ( skrzynka pocztowa). Serwis internetowy wysyła wiadomość na podany adres z danymi do logowania oraz linkiem do potwierdzenia rejestracji. To właśnie tych liter szuka brutalna siła, aby wydobyć z nich loginy i hasła.

Naciśnij "START", a krakers zacznie brutalną siłę. Działa według następującego algorytmu:

1. Ładuje login/hasło do wiadomości e-mail z bazy danych.
2. Sprawdza dostęp lub „sprawdza” (automatycznie autoryzuje): jeśli uda Ci się zalogować na swoje konto, plus jeden w dobrej kolumnie (oznacza to, że znaleziono inny działający e-mail) i zaczyna go przeglądać (patrz kolejne akapity); jeśli nie ma dostępu, to stawia go w złym (złym).
3. We wszystkich „gudach” (otwartych e-mailach) brute force skanuje listy zgodnie z żądaniem ustawionym przez hakera – czyli szuka loginów/hasła do określonych witryn i systemów płatności.
4. Po znalezieniu wymaganych danych kopiuje je i umieszcza w osobnym pliku.

W ten sposób dochodzi do masowego „przechwytywania” kont – od dziesiątek do setek. Atakujący rozporządza zdobytymi "trofeami" według własnego uznania - sprzedaż, wymiana, zbieranie danych, kradzież pieniędzy.

Zdalne hakowanie komputera

Do uzyskania używa się brutalnej siły w połączeniu z innymi narzędziami hakerskimi zdalny dostęp do chronionego hasłem komputera ofiary za pośrednictwem kanału internetowego.

Ten rodzaj ataku składa się z następujących kroków:

1. Przeprowadzane jest wyszukiwanie sieci IP, w których zostanie przeprowadzony atak na komputery użytkowników. Zakresy adresów są pobierane ze specjalnych baz danych lub za pomocą specjalnych programów, takich jak IP Geo. W nim możesz wybrać sieci IP dla konkretnego hrabstwa, regionu, a nawet miasta.
2. Wybrane zakresy IP i słowniki wyboru są ustawiane w ustawieniach brute force Lamescan (lub jego odpowiednika), przeznaczonego do zdalnego logowania/hasła brute force. Po uruchomieniu Lamescan wykonuje następujące czynności:

• wykonuje połączenie do każdego IP z określonego zakresu;
• po nawiązaniu połączenia próbuje połączyć się z hostem (PC) przez port 4899 (ale mogą być inne opcje);
• jeśli port jest otwarty: próby uzyskania dostępu do systemu, brutalna siła po wyświetleniu monitu o hasło; jeśli się powiedzie, zapisuje adres IP hosta (komputera) i dane logowania w swojej bazie danych.

1. Haker uruchamia narzędzie Radmin, przeznaczone do zarządzania zdalnymi komputerami. Ustawia współrzędne sieciowe ofiary (IP, login i hasło) i uzyskuje pełną kontrolę nad systemem - pulpit (wyświetlany wizualnie na wyświetlaczu komputera włamywacza), katalogi plików, ustawienia.

Programy dla brutala

HASHCAT

Na rok 2020 jeden z najbardziej potężne programy dla brutala. Używa ponad 200 algorytmów wyliczania. Szeroko stosowany do łamania haseł WPA/WPA2, a także haseł do dokumentów MS Office, PDF, 7-Zip, RAR, TrueCrypt.

Klasyczna brutalna siła, jedna z pierwszych. Nie traci jednak na aktualności i konkuruje z nowymi rozwiązaniami. Ma inteligentny algorytm brute-force i obsługuje wszystkie główne protokoły internetowe - TCP / IP, POP3, HTTP itp. Może fałszować pliki cookie. Brutal ze słownikiem i samodzielnie generuj hasła.

Potężny brutalny kontroler. Wyposażony w rozbudowany arsenał funkcji do pracy z bazami danych (sprawdzanie, sortowanie po domenach). Obsługuje różnego rodzaju proxy, sprawdza ich działanie. Skanuje skrzynki pocztowe w poszukiwaniu ustawień takich jak data, słowo kluczowe, adres, Nieprzeczytane wiadomości. Może pobierać listy z Mail.ru i Yandex.

Programy do odgadywania hasła do VK są wykorzystywane w następujących celach: kradzież konta w celu wysyłania spamu i natrętnych reklam, uzyskiwania przez zainteresowaną osobę danych osobowych na temat konkretnego użytkownika, wchodzenia strona osobista w przypadku braku możliwości odzyskania hasła. Nie jest tajemnicą, że strona użytkownika „VKontakte” przechowuje jego dane osobowe, prywatne wiadomości, zdjęcia, materiały audio i wideo. Aby poufne informacje pozostały chronione, przy wyborze hasła do własnego konta należy kierować się znajomością istniejących programów hakerskich. Ten artykuł poświęcony jest zapoznaniu czytelnika z najpopularniejszymi sposobami kradzieży strony w sieci społecznościowej.

Programy do wybierania haseł ze strony VKontakte

Sieć społecznościowa „VKontakte” ma miliony użytkowników i każdego dnia liczba ta rośnie. Wzrost tej liczby zmusza deweloperów do ciągłego ulepszania systemu bezpieczeństwa. Wynika to z faktu, że zainteresowanie hakowaniem stron jest proporcjonalne do liczby użytkowników sieci. Powodów włamania się na stronę osobistą może być wiele i właśnie w tym celu została ona opracowana duża liczba różny oprogramowanie, różniących się funkcjonalnością i metodą hakowania. Mogą to być programy do wybierania unikalnej kombinacji znaków, śledzenia działań w Internecie itp.

Aby chronić Twoją stronę przed włamaniami, poniżej znajdują się najbardziej popularne programy aby uzyskać dostęp do osobistej strony, po przeczytaniu której możesz sprawdzić swoje hasło dla bezpieczeństwa lub wygenerować nowy unikalny klucz dostępu do systemu. Jeśli zamierzasz włamać się na czyjąś stronę, musisz o tym pamiętać zgodnie z kodeksem karnym Federacja Rosyjska (Kodeks karny art. 272) ta akcja jest przestępstwem i pociąga za sobą odpowiedzialność karną.

Generator haseł online

Ta metoda hakowania jest wykorzystywana przez tych, którzy chcą uzyskać dane osobowe konkretnego użytkownika (znajomego).

Istotą metody jest znajomość loginu ( e-mail lub numer telefon komórkowy) z konta osoby zainteresowanej, pozostaje tylko odebrać klucz do wejścia. Selekcja odbywa się na dwa sposoby:

1. Ręczne wyliczanie. Wielu użytkowników portali społecznościowych nie przywiązuje dużej wagi do własnego bezpieczeństwa, a generując hasło do logowania operuje takimi informacjami jak: nazwisko i imię, pseudonim, data urodzenia, ulubiony numer lub data itp. Taka strona jest dość łatwa do zhakowania, po przestudiowaniu informacji na niej lub poznaniu osoby osobiście.
2. Automatyczne wyliczanie. Polega na użyciu specjalnego Produkt oprogramowania. Najpopularniejszą witryną do automatycznego wyliczania jest Generator haseł online. Istotą tego systemu jest to, że za pomocą tagów generowane są słowa kluczowe, na podstawie których dobierane jest hasło. Należy zauważyć, że Generator online może być używany nie tylko do przywracania/hakowania konta, ale także do generowania unikalnych kluczy do wprowadzania różnych konta osobiste i stron.

vklom 3.1

Vklom 3.1 to specjalny program zaprojektowany w celu uzyskania dostępu do osobistej strony użytkownika znanej sieci społecznościowej VKontakte. Należy zauważyć, że program nie włamuje się na czyjeś konto, a jedynie imituje proces wchodzenia na osobistą stronę. Jego główną cechą jest przejrzysty interfejs i minimum wymagania systemowe (Windows Vista, XP, 7, 8, 8.1, 10, istnieje wersja na Androida).

VK Hack 2.2

Narzędzie VK Hack 2.2 jest przeznaczone do efektywnego wybierania kluczy do stron osobistych dla określonych kont. Mechanizm działania programu polega na doborze kombinacji znaków dla danego Id na własnej bazie. Skuteczność tego programu wynosi 50%, czas selekcji to kilka godzin. Cecha programu: dostępność dodatkowe funkcje oszukując polubienia, subskrybentów, prezenty i tak dalej.

Jan Rozpruwacz

John the Ripper to najpopularniejsze oprogramowanie w tym temacie. Narzędzie ma otwarte źródło oraz szereg metod brute force (brute force, selekcja za pomocą słownika itp.). Często służy do oceny siły haseł (poziomu ochrony konta) w systemach Windows, MacOS i Linux, a także Android. Brak GUI utrudnia korzystanie z programu niedoświadczonym użytkownikom komputerów.

aircrack-ng

Aircrack-ng to narzędzie wykorzystywane przez hakerów do włamywania się i uzyskiwania kodu dostępu do osobistej strony ofiary za pośrednictwem sieci Wi-Fi. Działanie programu polega na przechwyceniu skrótu lub uzyskaniu gotowego hasła przy użyciu ataków PMS i PTW. Aircrack-ng działa na systemach Windows, MacOS i Linux. Możesz zabezpieczyć się przed tego typu włamaniami za pomocą szyfrowania WPA2.

tęczowe pęknięcie

Główną zaletą RainbowCrack jest dostępność gotowych stołów do hakowania, które kilkakrotnie zwiększają szybkość uzyskania pożądanego rezultatu. Narzędzie implikuje możliwość przyspieszenia procesu wyliczania za pomocą GPU ( GPU). Tylko użytkownicy systemów Windows i MacOS będą mogli korzystać z RainbowCrack.

THC Hydra

THC Hydra to aplikacja konsolowa do „obliczania” hasła do formularza logowania do osobistej strony VKontakte i nie tylko. Obsługuje protokoły: Astrisk, Cisco auth, AFP, HTTP, HTTP-Proxy, HTTPS-FORM-POST, IMAP, MySQL, Oracle SID, POSTGRES, TS2, SNMP v1+v2+v3, SOCKS5, RDP i inne. Kompiluje na Windows, Linux, Solaris, FreeBSD, QNX i OSX. Zaletą programu jest szybkość jego działania oraz obecność plików z nazwami/hasłami, a jego główną wadą jest rozbudowany interfejs dla niedoświadczonych użytkowników.

haszysz kot

Powszechne w domenie publicznej program wieloplatformowy HashCat zyskuje coraz większą popularność. Podbiła wiele razy, aby wybrać klucz do wejścia, używając zarówno karty graficznej, jak i procesor, a także imponującą listę ataków wspierających: Bruteforce, według słownika, tabel, masek itp. Zapewnia możliwość złamania hasła przez sieć Wi-Fi lub z hashów aplikacji WEB.

Łom

Łom to skrypt w języku programowania Pyton A, który zapewnia możliwość sprawdzania bezpieczeństwa hasła. Jego główną różnicą jest zastosowanie SSH-klucz(e), który pozwala na użycie dowolnego klucze prywatne uzyskane podczas testów penetracyjnych w celu zaatakowania innych serwerów SSH. Korzyści: obsługa rzadkich protokołów (VNC, OpenVPN i NLA). Kompiluje na Windows, Linux i MacOS.

coWPatty

coWPAtty to narzędzie do ataków słownikowych/hybrydowych w sieci WPA/WPA2. Ten produkt jest dołączony do oprogramowania powrót do ścieżki aw obecności wcześniej obliczonego dokumentu PMK, dla SSID, pozwala na tzw. „atak przyspieszony”. Należy wspomnieć, że coWPAtty może używać „słów słownikowych” ze słownika John the Ripper.

Osobliwości

Omówione powyżej oprogramowanie ma pewne różnice, ale prowadzi do: pojedynczy wynik. Wszystkie mają następujące cechy:

• Szybkość wyliczania haseł zależy bardziej od cech komputera hakera niż od samego programu. Na przykład Pentium II i III zapewniają szybkość liczenia rzędu 2 mln/s;
• Szyfr wejściowy składający się z więcej niż 10 znaków będzie wymagał jeszcze czas na którykolwiek z wymienionych programów;
• Dostępność różne drogi ataki i obsługa protokołów.
• Większość oprogramowania jest dostępna bezpłatnie i całkowicie za darmo.
• Może blokować programy antywirusowe pomimo zaufanego źródła.

Artykuł zawiera listę, która obejmuje najlepsze programy do łamania haseł, praca w różne rodzaje system operacyjny. Opisuje m.in. takie programy jak Aircrack, John the Ripper i THC Hydra - wszystkie z których wykorzystują różne algorytmy i protokoły, które teoretycznie są zdolne do łamania haseł o różnej złożoności w Linux, WIndows i OS X. Opis ogranicza się do prostego lista na wstępną wycieczkę. Lista zawiera tylko te, które działają na platformach Windows i Linux.

Co nieprofesjonalista (za którego uważa się autor artykułu) powinien wiedzieć o procesie hakowania? Niektóre rzeczy muszą być jasne przed przystąpieniem do procedury „odzyskiwania zapomnianych” lub usuwania haseł z przechwyconych pakietów:

Pytanie „Ile czasu zajmuje złamanie hasła?” w tej formie ujawnia się w tobie amator. Jest to równoznaczne z pytaniem, ile czasu zajmuje droga z Moskwy do Władywostoku? Pieszo? Samolotem? Przez Chiny? Chociaż odpowiedź brzmi: od 1 sekundy do 100 000 lat. Jeśli odszyfrujesz go przez „uścisk dłoni”, działający aircrack-ng podał mi kombinację tylko raz:

• po tygodniu pracy...
• na dwurdzeniowym laptopie ze zintegrowanym GPU i 4 GB RAM…
• pomimo tego, że hasło zawierało 8 TYLKO znaków numerycznych

Jan Rozpruwacz, działający na tej samej maszynie, nie powiodło się w ciągu 5 dni. stary pulpit s 4 - przez Intel-skim 2,8 Rdzenie GHz na pokładzie, 6 GB pamięci RAM i Nvidia 660 Ti wymyśliłem uścisk dłoni dla ... ogólnie nie miałem nawet czasu wstać od stołu, kiedy zobaczyłem hasło. Jest to możliwe szybciej i przy znacznie większych ilościach, ale ponad połowę dochodu przeznaczamy naGTX 980 w ogóle nie mrowi...

A powodem tego nie jest program. Więc mając pod ręką słaby montaż okuć, nie licz na poważny wynik.

Łamanie haseł. Jakie metody istnieją?

Istnieje kilka sposobów na dotarcie do celu. Pomiędzy nimi:

• atak słownikowy (haker używa plik specjalny z gotową listą kombinacji symbolicznych, które wybiera program)
• atak brute force (kombinacje haseł są generowane przez program)
• atak na tablicę tęczy (łamanie skrótów poprawnych haseł wprowadzonych przez użytkownika)

Przedstawione tutaj programy wykorzystują różne opcje ataki i są uszeregowane w dowolnej kolejności wybranej przez autora. Opis pracy z programami pojawi się w odpowiednich linkach w odpowiednich akapitach.

Oprogramowanie do łamania haseł: John the Ripper

Jan Rozpruwacz- być może najpopularniejszy w swoim rodzaju. Dominującym językiem programowania jest C. Program jest darmowy (w uproszczonej wersji), zawiera kilka podejść do procesu hakerskiego. Możliwość automatycznego wykrywania typów skrótów haseł stawia go w czołówce etycznych narzędzi hakerskich. Jak inne narzędzie do hakowania Metasplot, należy do rodziny narzędzi zabezpieczających rodziny Raspid7.

Obsługiwane platformy: Linux, Windows, Android, DOS i OS X

Oprogramowanie do łamania haseł: OphCrack

Program znalazł najczęstsze zastosowanie wśród fanów łamania haseł do rachunek Okna. Podobnie jak RainbowCrack, OphCrack współpracuje z tabelami tęczy, aby wyodrębnić cenne kombinacje z hashów haseł. To dzięki możliwości wydobywania haseł w różnych formatach z różnych źródeł w systemie, OphCrack jest znany z tego, że potrafi złamać hasło Windows w ciągu kilku chwil. Na dostęp fizyczny do komputera ofiary jako Live płyta DVD nie pozostawia śladów. Występuje w dwóch wersjach, rozszerzonej i bezpłatnej (ograniczone możliwości tęczowych tablic Windows).

Ze strony producenta

Programy hakerskie hasła : L0phtCrack

Podobnie jak poprzedni, L0phtCrack jest znany z tego, że potrafi szybko sobie z tym poradzić Hasło do systemu Windows. Wykorzystuje szeroki zakres ataków (hybrydowe, słownikowe, brute force, tęczowe tablice), ale może być również używany do sniffowania sieci. Zasadniczo odpowiednik poprzedniego programu. Na ten moment Dostępna jest tylko wersja próbna na 15 dni.

Obsługiwane platformy: Windows

Pobierz L0phtCrack ze strony producenta