HACK Free Email
การเจาะรหัสของ Free Email
ฟรีอีเมลที่มีชื่อเสียงและเป็นที่นิยมในปัจจุบันมีอยู่ 2 เจ้าด้วยกันคือ Yahoo Mail และ Hotmail
ฟรีอีเมลเหล่านี้จะมีระบบรักษาความปลอดภัยอย่างดี ยากที่จะเจาะเข้าไปง่ายๆ แต่อย่างไรก็ตามเคยมีผู้พบช่องโหว่เกี่ยวกับ
CGI Error และ JavaScript จนเคยเป็นข่าวครึกโครมไปทั่วโลกมาแล้ว เพียงแต่ช่องโหว่เหล่านี้จะถูกปิดไปอย่างรวดเร็วจนยาก
ที่ใครจะคิดลงมือเจาะเข้าไปได้ทัน (แต่ก็อาจจะมีที่เจาะเข้าไปได้ทันบ้างนะ ใครจะออกมายอมรับล่ะ)
จริงๆแล้วการจะแอบอ่านอีเมลของใครสักคนก็ไม่ใช่เรื่องยากจนเกินไปนัก ไม่จำเป็นต้องใช้ความรู้ระดับสูง
ไม่จำเป็นต้องเขียนโปรแกรมได้ เนื้อหาในบทนี้จะอธิบายถึงช่องโหว่บางประการที่อยู่ใกล้ๆตัวจนบางทีหลายคนอาจนึกไม่ถึง
เจาะรหัส Yahoo Mail
การจะเจาะรหัสผ่านของ Yahoo Mail ในวิธีต่อไปนี้เป็นการอาศัยช่องโหว่ของระบบและตัวผู้ใช้เจ้าของแอกเคานท์ (Email Address)
Yahoo Mail จะยินยอมบอกรหัสผ่านสำหรับผู้ที่สามารถพิสูจน์ตัวเองได้ว่าเป็นเจ้าของแอก เคานท์ การเจาะรหัสผ่านทำได้โดยการเข้าไปที่ Yahoo
แล้วแกล้งทำเป็นเจ้าของแอกเคานท์ที่ลืมรหัสผ่าน โดยเข้าไปที่หน้า Trouble Signing-In ? แล้วตอบคำถามบางอย่าง
หากต้องการจะเจาะรหัส Yahoo Mail ต้องตอบคำถามต่อไปนี้ให้ได้
1. Yahoo ID (Email Address)
2. Country (ประเทศ)
3. Zipcode (รหัสไปรษณีย์)
4. Birthday (วันเดือนปีเกิด)
5. Secret Answer (ตอบคำถามลับ)
ในข้อ 1 นั้นง่ายมาก เช่น ถ้าต้องการจะเจาะเข้าไปใน bird@yahoo.com Yahoo ID ก็คือ bird นั่นเอง
ใน ข้อ 2 - 4 นั้นคิดว่าหาได้ไม่ยากนัก ยิ่งถ้าเป้าหมายอยู่ในประเทศไทยหรือรู้จักกันก็ยิ่งง่าย ข้อมูลเหล่านี้อาจหาได้ตามซองจดหมายที่เสียบอยู่ตามประตูบ้าน
ใบสมัคร งานหรือใบสมัครสมาชิกต่างๆ สำเนาทะเบียนบ้าน สำเนาบัตรประชาชน หรือจากการชวนคุยแล้วหลอกถาม ข้อมูลเหล่านี้คนส่วนใหญ่ไม่ปกปิดกันอยู่แล้ว
ใครถามก็ไม่เห็นแปลกตรงไหน ถามเมื่อไหร่ก็บอกเมื่อนั้นเพราะถือว่าไม่สำคัญอะไร ฉะนั้นที่ยากอยู่หน่อยก็ตรง Secret Answer นี่ล่ะ ถ้าจะพูดให้ชัดก็คือ Secret Answer
คือปราการด่านเดียวและด่านสุดท้ายที่เจาะต้องเจาะผ่านไปให้ได้ และหากตอบได้ถูกก็จะได้รับ Password ใหม่สำหรับใช้แทน Password เก่า
คำถามของ Secret answer ที่ Yahoo นั้นผู้ใช้จะต้องเลือกเอาคำถามใดคำถามหนึ่งจากบรรดาคำถามที่ถูกกำหนดมาให้เลือกใช้ เช่น
What is your pet's name ? (ชื่อของสัตว์เลี้ยง)
What was the name of your first school ? (ชื่อโรงเรียนแรกที่เข้าเรียน)
Who was your childhood hero ? (ชื่อฮีโร่สมัยเด็กๆ)
What is your favorite past-time ? (อะไรที่ชื่นชอบในอดีต)
What is your all-time favorite sports team ? (ทีมกีฬาที่ชื่นชอบ)
What was your high school mascot ? (สัญลักษณ์หรือตัวนำโชคของโรงเรียน)
คำถามเหล่านี้หากเจ้าของไม่ทันคิดหรือไม่ได้ระมัดระวัง ก็อาจถูกหลอกถามเอาได้
หรือบางครั้งคำตอบเดาได้ง่ายเกินไปก็จะทำให้ถูกเจาะรหัสเข้าไปได้ง่ายๆ
เจาะรหัส Hotmail
การเจาะรหัส Hotmail อาศัยหลักคล้ายๆกันกับของ Yahoo Mail โดยต้องแกล้งทำตัวเป็นเจ้าของ
Email Address ที่ลืม Password คือให้เข้าไปที่หน้า Forget your password ? ของ Hotmail
เมื่อเข้าไปที่หน้าดังกล่าว Hotmail จะถามดังนี้
1. Sign-In name (Email Address)
2. Country / Region
3. State
4. Zip code
แต่เมื่อเราใส่ข้อมูลในข้อ 2 Country เป็น Thailand คำถามต่างๆ ก็จะเปลี่ยนไปเป็นดังนี้
1. Sign-In name (Email Address)
2. Country / Region (ประเทศ)
3. City / Region (จังหวัด)
4. Postal code (รหัสไปรษณีย์)
ในข้อ 1 Sign-In name ก็คือชื่อของ Email Address โดยใส่ไปเต็มๆ เลย เช่น bird@hotmail.com
ในข้อ 2 - 4 ก็เช่นเดียวกันกับของ Yahoo คือไม่ใช่ข้อมูลที่หายากอะไร เป็นข้อมูลที่คนส่วนใหญ่ไม่ปกปิดกัน
โดยในข้อมูล City และ ข้อมูล Postal code นั้นสามารถเลือกตอบเพียงอย่างใดอย่างหนึ่งให้ถูกต้องก็ได้ ไม่จำเป็นต้องตอบทั้ง 2 ข้อ
นั่นคือจากคำถามข้อมูลข้อ 1-4 เพียงทราบข้อมูล 3 อย่างก็จะสามารถผ่านไปยังปราการด่านสุดท้ายนั่นคือ Secret answer ได้แล้ว
แต่คำถามของ Secret answer ที่ Hotmail นั้นจะต่างจาก Yahoo ผู้ใช้หรือเจ้าของมีสิทธิ์กำหนดคำถามของ Secret answer ได้เอง
แต่ ก็ไม่ได้ทำให้การเดาคำตอบยากขึ้นแต่อย่างใด บางครั้งก็เดาคำตอบได้ง่ายมากๆ เช่น คำถามเกี่ยวกับชื่อแฟน ชื่อเล่น เบอร์โทรเป็นต้น
ช่องโหว่เหล่านี้เกิดจากความไม่ระมัดระวังของผู้ใช้หรือเจ้าของ Email Address นั่นเอง
*** การเดา Secret Answer ง่ายกว่าการเดา Password เพราะอะไร
เพราะ Password เราต้องเดาไปในหลายๆทางที่เกี่ยวข้องกับเจ้าของ Password โดยยังไม่มีแนวทางที่แน่ชัด
แต่การเดา Secret Answer เรามีโอกาสได้เห็นคำถาม โอกาสตอบถูกน่าจะมีมากกว่าการเดา Password
GENPASS mail
ก่อนจะเริ่มปฏิบัติการจริง ควรทำดังนี้
1.ควรจะอัพเดท Defination เสียก่อน โดยการไปดาวน์โหลด Defination ใหม่ๆมาใช้
2.ทดสอบกับอีเมลล์ของตัวเองก่อนว่าโปรแกรมและ Defination นั้นยังใช้งานได้
การทดสอบ
ควรทดสอบกับอีเมลล์ของตัวเองหรืออีเมลล์ที่ขอมาใหม่
ไม่ควรใช้อีเมลล์ตามตัวอย่างการสาธิตคือ hackmaster_hackmaster@hotmail.com
และ hackmaster_hack@hotmail.com
เนื่องจากอีเมลล์แอดเดรสดังกล่าวอาจเปลี่ยน Password ไปแล้ว
ข้อแนะนำ
1.ก่อนการปฏิบัติการควรหาข้อมูลเกี่ยวกับเหยื่อให้มากที่สุดเพื่อหาความน่าจะเป็น
แล้วนำมาสร้างเป็นไฟล์ Pass.lst หรือที่เรียกว่า Password List
2.ระหว่างที่โปรแกรมกำลังทำงานอยู่ คุณสามารถเข้าไปดูเว็บอื่น หรือ Chat ไปด้วยก็ได้
หรือไปทำอย่างอื่นเลยก็ได้ เช่น กินข้าว นอนหลับ
3.ควรปฏิบัติการไปเรื่อยๆ วันละนิดวันละหน่อย
การเดารหัสผ่าน
บางท่านอาจคิดว่าเป็นเรื่องยาก แต่จริงๆแล้วเป็นวิธีการที่เป็นที่นิยมและสะดวกที่สุดในการเจาะรหัส
ยิ่งถ้าหากนำข้อมูลจากวิธีการแอบดูและวิธีการหลอกถามมาประกอบในการเดาก็จะยิ่งมีโอกาสมากยิ่งขึ้น
เรียกว่าการเดาอย่างมีหลักการ นอกจากนี้ยังมีวิธีการเดารหัสผ่านแบบใส่รหัสผ่านไปเรื่อยๆ
โดยอาศัยจากคำที่อยู่ในพจนานุกรมหรือดิกชั่นนารีที่มีตัวอักษรตั้งแต่ A ถึง Z เช่น ถ้ารหัสผ่านคือ CAT ก็จะสามารถเดารหัสผ่านได้
ท่าน อาจยังสงสัยต่อไปว่าจะมีใครที่ไหนอดทนเสียเวลาใช้คำในดิกชันนารีมาป้อนใส่ กันไปเรื่อยๆ ที่จริงแล้วแฮกเกอร์ไม่ได้ป้อนคำต่างๆด้วยมือ
แต่แฮ กเกอร์จะใช้โปรแกรมที่สร้างขึ้นมาเพื่อป้อนคำต่างๆโดยใช้เวลาเพียงไม่นานนัก ยิ่งไปกว่านี้ยังมีดิกชันนารีฉบับแฮกเกอร์คือการรวบรวม
คำที่คนมักนิยมนำมาตั้งเป็นรหัสผ่านซึ่งก็อาจทำให้การเจาะรหัสยิ่งง่ายขึ้นไปอีก
หลักในการเดารหัสผ่าน
โดย ตามปกติคนเรานั้นไม่ชอบจดจำอะไรมาก ยิ่งถ้าเป็นรหัสผ่านที่สำคัญก็กลัวว่าตัวเองตั้งเองแล้วจะลืมเอง ดังนั้นการตั้งรหัสผ่านจึงมักอ้างอิงจากสิ่งใกล้ตัวหรือสิ่งที่ผูกพันกับผู้ ใช้เพื่อให้จดจำง่าย ข้อมูลของผู้ใช้ต่างๆเหล่านี้จะหาได้จากใบสมัคร ทะเบียนประวัติ การสอบถามผู้ใกล้ชิด เป็นข้อมูลที่มีประโยชน์เป็นอย่างยิ่งในการเดารหัสผ่าน
1. ชื่อและนามสกุลของตัวผู้ใช้ , แฟน , พ่อแม่ , ลูก , หรือสัตว์เลี้ยง เช่น ชื่อว่า John Walk
รหัสผ่านอาจเป็น John , JohnWalk , WalkJohn , Jwalk , JW หรืออื่นๆ
2. ชื่อและนามสกุลของตั้งแต่ 2 ชื่อมาผสมกัน เช่นชื่อผู้ใช้กับชื่อแฟน
รหัสผ่านอาจเป็น John_Janet , JohnandJanet , JohnLoveJanet , J&J หรืออื่นๆ
3. วันเดือนปีเกิด เช่น 1 ม.ค. พ.ศ. 2517
รหัสผ่านอาจเป็น 1jan , jan1 ,01jan , 01-jan , 01-01, 0101 , 2517 หรืออื่นๆ
4. หมายเลขประจำตัว เบอร์โทรศัพท์ บ้านเลขที่ เช่น เบอร์โทร.422-4253
รหัสผ่านอาจเป็น 4253, 4224 , 3524 , tel4253 หรืออื่นๆ
5. E-mail Address เช่น John@hotmail.com
รหัสผ่านอาจเป็น John@hotmail.com , John@h , J@hotmail , J@H หรืออื่นๆ
6. ชื่อสถานที่ สถานที่อยู่ สถานที่เกิด เช่น กรุงเทพ
รหัสผ่านอาจเป็น John@bangkok , JohnBankok , John@bkk หรืออื่นๆ
7. ชื่อคนที่เกลียด คำด่า คำหยาบ
รหัสผ่านอาจเป็น Jack , FuckJack , FuckYouJack หรืออื่นๆ
8. คำง่ายที่คนไม่ค่อยนึกถึง เช่น Password , abc ,123 , 191 ,1150 , .(จุด) , ####
9. สิ่งที่ชอบ งานอดิเรก ภาพยนตร์ หรือสิ่งที่คลั่งไคล้
รหัสผ่านอาจเป็น Starwars , Titanic , Football หรืออื่นๆ
10. นำเอาคำต่างๆในข้อ 1- 10 มาผสมกัน หรือนำมาเรียงต่อกันหรือคั่นด้วยเครื่องต่างๆ
11. ลองสมมุติว่าถ้าตัวเองเป็นเจ้าของ Password อันนี้คุณจะตั้ง Passowrd ว่าอะไร
เทคนิค 11 ข้อนี้ไม่อาจนำมาใช้ได้เสมอไปเพียงแต่เป็นบอกถึงโอกาสความน่าจะเป็น และจะเห็นว่าแม้จะใช้เทคนิคทั้ง 11 ข้อนี้ก็ยังมีคำที่น่าจะเป็นอีกมากมายอยู่ดี
ดังนั้นวิธีการขั้นต่อไป ของแฮกเกอร์คือการนำคำต่างๆที่น่าจะเป็นไปได้จากทั้ง 11 ข้อนี้ไปรวบรวมทำเป็นไฟล์ที่เรียกว่า Password List แล้วนำไปใช้กับโปรแกรมยิง Password
เทคนิคต่างๆไม่ว่าจะเป็นการอาศัย ช่องโหว่ การแอบดู การหลอกถาม และการเดา หากใช้เพียงวิธีเดียวอาจไม่สำเร็จหรือใช้เวลานาน แฮกเกอร์มักจะใช้ผสมผสานกันควบคู่กันไปเพื่อให้ได้ข้อมูลมากที่สุด
เทคนิค ต่างๆทั้งหมดเป็นเทคนิคที่แฮกเกอร์ใช้จริง แต่การเจาะรหัสกับการเจาะรหัสได้สำเร็จนั้นเป็นคนละเรื่องกันจึงไม่มีใครยืน ยันได้ว่าการเจาะรหัสจะสำเร็จทุกครั้งไป
เพราะถึงแม้จะใช้เทคนิคเดียวกันแต่แฮกเกอร์ก็มีฝีมือหลายระดับ ทั้งนี้ขึ้นอยู่กับทักษะความชำนาญ การฝึกฝนและพรสวรรค์ของแต่ละคน
มีคำแนะนำจากแฮกเกอร์มือเก๋าว่าถ้าคุณพยายามจะเจาะรหัส แล้วไม่สำเร็จ จงอย่าหยุด ! Keep Hacking
"If you try hacking a password, and you don't get it right... DON'T STOP!! If all else fails,
just guess like a rabbit fucks and just do your best! Figure things out that you'd do for a password,
think why you came up with the password. Apply that to the person.
อ้างอิงจาก CD ถอดรหัส(3-1523)
เรียบเรียงโดย A.TC16
ไม่มีความคิดเห็น:
แสดงความคิดเห็น