Взлом мыла, на первый взгляд не интересен, но если подумать — для большинства сайтов регистрация происходит через мыло, то чтобы получить доступ к данным жертвы хакеру выгоднее всего взломать email.
Существует множество способов взлома, вот основные из них.
Невнимательность.
Зачастую злоумышленник пользуется восстановлением пароля, который предлагают один из сервисов предоставления почтовых ящиков. Когда юзер регистрирует мыло (я про email), в торопясь не обдумывает контрольный вопрос. Очень часто попадаются такие вопросы как «Моё любимое блюдо», ответ обычно «картошка», «салат», «макароны» — все что может любить каждый. Если не можешь отгадать – спроси, тут уже пользуемся социальной инженерией (СИ, об этом ниже.) Простой вопрос – простой ответ. Поэтому мой совет – не ставить короткие цифры, распространённые имена, названия.
Войдя в почту, сидя в интернет кафе, и не нажав кнопку «выйти», так же рискуешь потерять свой ящик. Или, например, надпись на стикере «Пароль PashaSuperman», приклеенная к монитору, никак не безопасный вариант.
Социальная инженерия
Ну об этом способе можно говорить часами (привет ребятам с socialware.ru), единственная уязвимость в данном случае – это тупость жертвы. Всё что нужно – это заставить открыть\запустить\рассказать. С помощью СИ можно многого добиться, в основном используют фейки. Ну обычно странички сайтов почты, подделанные так, что юзер не заметит подмены, единственное, это надо проследить чтобы URL сайта был правельным. Например Mail.ru, а не Mai1.ru.
Встречаются фейки программ, выглядящее точно так же, как например, клиент Mail.ru Agent. Так же СИшникам знаком фишинг — письма приходящие со словами – «вы выйграли лотерею, отправьте пароль и получи приз» с свежеезарегистрированного мыла, типа [email protected]
Или же можно воспользоваться сайтом, который хранит в базе данных пароли в открытом виде. Можно просто написать письмо с обращением:
“Здравствуйте, уважаемый Пупкин Василий. У нашей компании ООО”Сунь-хунь-нефть” видется набор сотрудников для удалённой работы сидя на жопе и ничего не делая, оставить своё резюме можете сдесь (сайт).”
Если жертве это интересно, то ламак обязательно зайдет, зарегистрируется. Пароли обычно одинаковые. Но не факт.
Трояны, которые тоже шлют подобным образом со словами «запусти», а трой в свою очередь ворует пароли и посылает злоумышленнику.
Брут email
Брут-он и в африке брут. Идет обычный перебор пароля, типа 123qwe, 12345678, даты рождения, имён, логинов. Обычно пользуются специальным софтом, брутят web-формы, ftp, pop. Это метод на любителя.
Уязвимости сайтов
Ну тут уж ничего не поделаешь. Встречался случай — чтобы захватить сайт, хакер сначала взломал другой, на котором был зарегистрирован автор сайта, и так по цепочке он добился своей цели. Редко бывают дырки в самих сервисах, но всё же бывают, XSS на почтовике может служить утечкой таких данных как куки.