การเจาะรหัสของ Free Email
ฟรีอีเมลที่มีชื่อเสียงและเป็นที่นิยมใน ปัจจุบันมีอยู่ 2 เจ้าด้วยกันคือ Yahoo Mail และ Hotmail
ฟรีอีเมลเหล่า นี้จะมีระบบรักษาความปลอดภัยอย่างดี ยากที่จะเจาะเข้าไปง่ายๆ แต่อย่างไรก็ตามเคยมีผู้พบช่องโหว่เกี่ยวกับ
CGI Error และ JavaScript จนเคยเป็นข่าวครึกโครมไปทั่วโลกมาแล้ว เพียงแต่ช่องโหว่เหล่านี้จะถูกปิดไปอย่างรวดเร็วจนยาก
ที่ใครจะคิดลงมือ เจาะเข้าไปได้ทัน (แต่ก็อาจจะมีที่เจาะเข้าไปได้ทันบ้างนะ ใครจะออกมายอมรับล่ะ)
จริงๆแล้วการจะแอบอ่านอีเมลของใครสักคนก็ไม่ใช่ เรื่องยากจนเกินไปนัก ไม่จำเป็นต้องใช้ความรู้ระดับสูง
ไม่จำเป็นต้อง เขียนโปรแกรมได้ เนื้อหาในบทนี้จะอธิบายถึงช่องโหว่บางประการที่อยู่ใกล้ๆตัวจนบางทีหลายคน อาจนึกไม่ถึง
เจาะรหัส Yahoo Mail
การจะเจาะรหัสผ่านของ Yahoo Mail ในวิธีต่อไปนี้เป็นการอาศัยช่องโหว่ของระบบและตัวผู้ใช้เจ้าของแอกเคานท์ (Email Address)
Yahoo Mail จะยินยอมบอกรหัสผ่านสำหรับผู้ที่สามารถพิสูจน์ตัวเองได้ว่าเป็นเจ้าของแอก เคานท์ การเจาะรหัสผ่านทำได้โดยการเข้าไปที่ Yahoo
แล้วแกล้งทำเป็นเจ้า ของแอกเคานท์ที่ลืมรหัสผ่าน โดยเข้าไปที่หน้า Trouble Signing-In ? แล้วตอบคำถามบางอย่าง
หากต้องการจะเจาะรหัส Yahoo Mail ต้องตอบคำถามต่อไปนี้ให้ได้
1. Yahoo ID (Email Address)
2. Country (ประเทศ)
3. Zipcode (รหัสไปรษณีย์)
4. Birthday (วันเดือนปีเกิด)
5. Secret Answer (ตอบคำถามลับ)
ในข้อ 1 นั้นง่ายมาก เช่น ถ้าต้องการจะเจาะเข้าไปใน bird@yahoo.com Yahoo ID ก็คือ bird นั่นเอง
ในข้อ 2 - 4 นั้นคิดว่าหาได้ไม่ยากนัก ยิ่งถ้าเป้าหมายอยู่ในประเทศไทยหรือรู้จักกันก็ยิ่งง่าย ข้อมูลเหล่านี้อาจหาได้ตามซองจดหมายที่เสียบอยู่ตามประตูบ้าน
ใบสมัคร งานหรือใบสมัครสมาชิกต่างๆ สำเนาทะเบียนบ้าน สำเนาบัตรประชาชน หรือจากการชวนคุยแล้วหลอกถาม ข้อมูลเหล่านี้คนส่วนใหญ่ไม่ปกปิดกันอยู่แล้ว
ใคร ถามก็ไม่เห็นแปลกตรงไหน ถามเมื่อไหร่ก็บอกเมื่อนั้นเพราะถือว่าไม่สำคัญอะไร ฉะนั้นที่ยากอยู่หน่อยก็ตรง Secret Answer นี่ล่ะ ถ้าจะพูดให้ชัดก็คือ Secret Answer
คือปราการด่านเดียวและด่านสุดท้ายที่เจาะต้องเจาะผ่านไป ให้ได้ และหากตอบได้ถูกก็จะได้รับ Password ใหม่สำหรับใช้แทน Password เก่า
คำ ถามของ Secret answer ที่ Yahoo นั้นผู้ใช้จะต้องเลือกเอาคำถามใดคำถามหนึ่งจากบรรดาคำถามที่ถูกกำหนดมาให้ เลือกใช้ เช่น
What is your pet's name ? (ชื่อของสัตว์เลี้ยง)
What was the name of your first school ? (ชื่อโรงเรียนแรกที่เข้าเรียน)
Who was your childhood hero ? (ชื่อฮีโร่สมัยเด็กๆ)
What is your favorite past-time ? (อะไรที่ชื่นชอบในอดีต)
What is your all-time favorite sports team ? (ทีมกีฬาที่ชื่นชอบ)
What was your high school mascot ? (สัญลักษณ์หรือตัวนำโชคของโรงเรียน)
คำถามเหล่านี้หากเจ้าของไม่ทันคิด หรือไม่ได้ระมัดระวัง ก็อาจถูกหลอกถามเอาได้
หรือบางครั้งคำตอบเดาได้ ง่ายเกินไปก็จะทำให้ถูกเจาะรหัสเข้าไปได้ง่ายๆ
เจาะรหัส Hotmail
การ เจาะรหัส Hotmail อาศัยหลักคล้ายๆกันกับของ Yahoo Mail โดยต้องแกล้งทำตัวเป็นเจ้าของ
Email Address ที่ลืม Password คือให้เข้าไปที่หน้า Forget your password ? ของ Hotmail
เมื่อเข้าไปที่ หน้าดังกล่าว Hotmail จะถามดังนี้
1. Sign-In name (Email Address)
2. Country / Region
3. State
4. Zip code
แต่เมื่อเราใส่ข้อมูลใน ข้อ 2 Country เป็น Thailand คำถามต่างๆ ก็จะเปลี่ยนไปเป็นดังนี้
1. Sign-In name (Email Address)
2. Country / Region (ประเทศ)
3. City / Region (จังหวัด)
4. Postal code (รหัสไปรษณีย์)
ในข้อ 1 Sign-In name ก็คือชื่อของ Email Address โดยใส่ไปเต็มๆ เลย เช่น bird@hotmail.com
ในข้อ 2 - 4 ก็เช่นเดียวกันกับของ Yahoo คือไม่ใช่ข้อมูลที่หายากอะไร เป็นข้อมูลที่คนส่วนใหญ่ไม่ปกปิดกัน
โดยในข้อมูล City และ ข้อมูล Postal code นั้นสามารถเลือกตอบเพียงอย่างใดอย่างหนึ่งให้ถูกต้องก็ได้ ไม่จำเป็นต้องตอบทั้ง 2 ข้อ
นั่นคือจากคำถามข้อมูลข้อ 1-4 เพียงทราบข้อมูล 3 อย่างก็จะสามารถผ่านไปยังปราการด่านสุดท้ายนั่นคือ Secret answer ได้แล้ว
แต่คำถามของ Secret answer ที่ Hotmail นั้นจะต่างจาก Yahoo ผู้ใช้หรือเจ้าของมีสิทธิ์กำหนดคำถามของ Secret answer ได้เอง
แต่ก็ไม่ได้ทำให้การเดาคำตอบยากขึ้นแต่อย่างใด บางครั้งก็เดาคำตอบได้ง่ายมากๆ เช่น คำถามเกี่ยวกับชื่อแฟน ชื่อเล่น เบอร์โทรเป็นต้น
ช่องโหว่เหล่านี้เกิดจากความไม่ระมัดระวังของผู้ใช้ หรือเจ้าของ Email Address นั่นเอง
*** การเดา Secret Answer ง่ายกว่าการเดา Password เพราะอะไร
เพราะ Password เราต้องเดาไปในหลายๆทางที่เกี่ยวข้องกับเจ้าของ Password โดยยังไม่มีแนวทางที่แน่ชัด
แต่การเดา Secret Answer เรามีโอกาสได้เห็นคำถาม โอกาสตอบถูกน่าจะมีมากกว่าการเดา Password
GENPASS mail
ก่อนจะเริ่มปฏิบัติการจริง ควรทำดังนี้
1.ควรจะอัพเดท Defination เสียก่อน โดยการไปดาวน์โหลด Defination ใหม่ๆมาใช้
2.ทดสอบ กับอีเมลล์ของตัวเองก่อนว่าโปรแกรมและ Defination นั้นยังใช้งานได้
การ ทดสอบ
ควรทดสอบกับอีเมลล์ของตัวเองหรืออีเมลล์ที่ขอมาใหม่
ไม่ควรใช้ อีเมลล์ตามตัวอย่างการสาธิตคือ hackmaster_hackmaster@hotmail.com
และ hackmaster_hack@hotmail.com
เนื่องจากอีเมลล์แอดเดรสดังกล่าวอาจเปลี่ยน Password ไปแล้ว
ข้อ แนะนำ
1.ก่อนการปฏิบัติการควรหาข้อมูลเกี่ยวกับเหยื่อให้มากที่สุดเพื่อ หาความน่าจะเป็น
แล้วนำมาสร้างเป็นไฟล์ Pass.lst หรือที่เรียกว่า Password List
2.ระหว่างที่โปรแกรมกำลังทำงานอยู่ คุณสามารถเข้าไปดูเว็บอื่น หรือ Chat ไปด้วยก็ได้
หรือไปทำอย่างอื่นเลย ก็ได้ เช่น กินข้าว นอนหลับ
3.ควรปฏิบัติการไปเรื่อยๆ วันละนิดวันละหน่อย
การเดารหัสผ่าน
บางท่านอาจคิดว่าเป็นเรื่อง ยาก แต่จริงๆแล้วเป็นวิธีการที่เป็นที่นิยมและสะดวกที่สุดในการเจาะรหัส
ยิ่ง ถ้าหากนำข้อมูลจากวิธีการแอบดูและวิธีการหลอกถามมาประกอบในการเดาก็จะยิ่งมี โอกาสมากยิ่งขึ้น
เรียกว่าการเดาอย่างมีหลักการ นอกจากนี้ยังมีวิธีการเดารหัสผ่านแบบใส่รหัสผ่านไปเรื่อยๆ
โดยอาศัยจาก คำที่อยู่ในพจนานุกรมหรือดิกชั่นนารีที่มีตัวอักษรตั้งแต่ A ถึง Z เช่น ถ้ารหัสผ่านคือ CAT ก็จะสามารถเดารหัสผ่านได้
ท่านอาจยังสงสัยต่อไปว่า จะมีใครที่ไหนอดทนเสียเวลาใช้คำในดิกชันนารีมาป้อนใส่กันไปเรื่อยๆ ที่จริงแล้วแฮกเกอร์ไม่ได้ป้อนคำต่างๆด้วยมือ
แต่แฮกเกอร์จะใช้โปรแกรม ที่สร้างขึ้นมาเพื่อป้อนคำต่างๆโดยใช้เวลาเพียงไม่นานนัก ยิ่งไปกว่านี้ยังมีดิกชันนารีฉบับแฮกเกอร์คือการรวบรวม
คำที่คนมักนิยมนำ มาตั้งเป็นรหัสผ่านซึ่งก็อาจทำให้การเจาะรหัสยิ่งง่ายขึ้นไปอีก
หลัก ในการเดารหัสผ่าน
โดยตามปกติคนเรานั้นไม่ชอบจดจำอะไรมาก ยิ่งถ้าเป็นรหัสผ่านที่สำคัญก็กลัวว่าตัวเองตั้งเองแล้วจะลืมเอง ดังนั้นการตั้งรหัสผ่านจึงมักอ้างอิงจากสิ่งใกล้ตัวหรือสิ่งที่ผูกพันกับผู้ ใช้เพื่อให้จดจำง่าย ข้อมูลของผู้ใช้ต่างๆเหล่านี้จะหาได้จากใบสมัคร ทะเบียนประวัติ การสอบถามผู้ใกล้ชิด เป็นข้อมูลที่มีประโยชน์เป็นอย่างยิ่งในการเดารหัสผ่าน
1. ชื่อและนามสกุลของตัวผู้ใช้ , แฟน , พ่อแม่ , ลูก , หรือสัตว์เลี้ยง เช่น ชื่อว่า John Walk
รหัสผ่านอาจเป็น John , JohnWalk , WalkJohn , Jwalk , JW หรืออื่นๆ
2. ชื่อและนามสกุลของตั้งแต่ 2 ชื่อมาผสมกัน เช่นชื่อผู้ใช้กับชื่อแฟน
รหัสผ่านอาจเป็น John_Janet , JohnandJanet , JohnLoveJanet , J&J หรืออื่นๆ
3. วันเดือนปีเกิด เช่น 1 ม.ค. พ.ศ. 2517
รหัสผ่านอาจเป็น 1jan , jan1 ,01jan , 01-jan , 01-01, 0101 , 2517 หรืออื่นๆ
4. หมายเลขประจำตัว เบอร์โทรศัพท์ บ้านเลขที่ เช่น เบอร์โทร.422-4253
รหัสผ่านอาจเป็น 4253, 4224 , 3524 , tel4253 หรืออื่นๆ
5. E-mail Address เช่น John@hotmail.com
รหัส ผ่านอาจเป็น John@hotmail.com , John@h , J@hotmail , J@H หรืออื่นๆ
6. ชื่อสถานที่ สถานที่อยู่ สถานที่เกิด เช่น กรุงเทพ
รหัสผ่านอาจเป็น John@bangkok , JohnBankok , John@bkk หรืออื่นๆ
7. ชื่อคนที่เกลียด คำด่า คำหยาบ
รหัสผ่านอาจเป็น Jack , FuckJack , FuckYouJack หรืออื่นๆ
8. คำง่ายที่คนไม่ค่อยนึกถึง เช่น Password , abc ,123 , 191 ,1150 , .(จุด) , ####
9. สิ่งที่ชอบ งานอดิเรก ภาพยนตร์ หรือสิ่งที่คลั่งไคล้
รหัสผ่านอาจเป็น Starwars , Titanic , Football หรืออื่นๆ
10. นำเอาคำต่างๆในข้อ 1- 10 มาผสมกัน หรือนำมาเรียงต่อกันหรือคั่นด้วยเครื่องต่างๆ
11. ลองสมมุติว่าถ้าตัวเองเป็นเจ้าของ Password อันนี้คุณจะตั้ง Passowrd ว่าอะไร
เทคนิค 11 ข้อนี้ไม่อาจนำมาใช้ได้เสมอไปเพียงแต่เป็นบอกถึงโอกาสความน่าจะเป็น และจะเห็นว่าแม้จะใช้เทคนิคทั้ง 11 ข้อนี้ก็ยังมีคำที่น่าจะเป็นอีกมากมายอยู่ดี
ดังนั้นวิธีการขั้นต่อไป ของแฮกเกอร์คือการนำคำต่างๆที่น่าจะเป็นไปได้จากทั้ง 11 ข้อนี้ไปรวบรวมทำเป็นไฟล์ที่เรียกว่า Password List แล้วนำไปใช้กับโปรแกรมยิง Password
เทคนิคต่างๆไม่ว่าจะเป็นการอาศัยช่อง โหว่ การแอบดู การหลอกถาม และการเดา หากใช้เพียงวิธีเดียวอาจไม่สำเร็จหรือใช้เวลานาน แฮกเกอร์มักจะใช้ผสมผสานกันควบคู่กันไปเพื่อให้ได้ข้อมูลมากที่สุด
เทคนิค ต่างๆทั้งหมดเป็นเทคนิคที่แฮกเกอร์ใช้จริง แต่การเจาะรหัสกับการเจาะรหัสได้สำเร็จนั้นเป็นคนละเรื่องกันจึงไม่มีใครยืน ยันได้ว่าการเจาะรหัสจะสำเร็จทุกครั้งไป
เพราะถึงแม้จะใช้เทคนิคเดียว กันแต่แฮกเกอร์ก็มีฝีมือหลายระดับ ทั้งนี้ขึ้นอยู่กับทักษะความชำนาญ การฝึกฝนและพรสวรรค์ของแต่ละคน
มีคำแนะนำจากแฮกเกอร์มือเก๋าว่าถ้าคุณ พยายามจะเจาะรหัส แล้วไม่สำเร็จ จงอย่าหยุด ! Keep Hacking
"If you try hacking a password, and you don't get it right... DON'T STOP!! If all else fails,
just guess like a rabbit fucks and just do your best! Figure things out that you'd do for a password,
think why you came up with the password. Apply that to the person.
ที่มา http://boyairport.yoo7.com/index.htm :: Hack เจาะระบบ :: Hack
ไม่มีความคิดเห็น:
แสดงความคิดเห็น