Cum poti sparge parola contului de Facebook, Yahoo!, Gmail sau Skype?

Te-ai intrebat vreodata cum poti sparge parola de Facebook a unui prieten sau adresa de Yahoo! Messenger a acestuia pentru a putea citi discutiile private cu prietenii sai? Sau cum poti accesa neautorizat/sparge parola unei adrese de email precum GMail sau Skype? Sa aflam impreuna.

Cum poti sparge contul unui utilizator ce foloseste un serviciu de pe Internet?

Raspunsul scurt este ca nu poti, cel putin nu tu, daca ti-ai pus intrebarea aceasta si nu ai stiut raspunsul pana sa citesti acest material.

De ce? Pentru ca in spatele oricarui serviciu popular stau sute sau mii de specialisti in domeniile lor de activitate (arhitecti, programatori, specialisti in securitate IT etc) care, incearca zi de zi sa dezvolte masuri de securitate menite sa protejeze business-urile de concurenta, de atacuri cibernetice, de infractori, de abuzuri, de oameni care isi doresc sa acceseze in mod neautorizat si ilegal conversatiile prietenilor samd.

In general, aproape toate serviciile virtuale (inclusiv Facebook, Yahoo, WhatsApp, Skype, Gmail etc), identifica utilizatorii acestora pe baza unui nume de utilizator si a unei parole. Totusi, in cazul in care ai uitat parola, exista optiuni prin care iti poti reseta parola. Acesta ar fi cel mai vulnerabil mecanism in fata celor care doresc sa obtina datele de acces al unui cont ce nu le apartine.

Totusi, exista cateva lucruri pe care le poti face, dar din nou, subliniez faptul ca oricare dintre aceste metode este considerata (fara nici o interpretare) de Legislatia Romaniei (dar si a altor tari) ca fiind o activitata ilegala si vei fi sanctionat in speta accesului neautorizat.

Trei mecanisme de resetare a parolelor si cum poti sa obtii acces la contul unui utilizator

Exista numeroase mecanisme si masuri prin care un serviciu se poate asigura ca cel doreste resetarea parolei este adevaratul detinator al contului:

• trimiterea unui link ce va permite resetarea parolei intr-o alta adresa de email a detinatorului (in cazul acesta tu, ca „hacker”, ar trebui sa obtii acces neautorizat la acea adresa de email
• validarea identitatii pe baza unor intrebari de siguranta (in cazul acesta ar trebui ca prietenul la care vrei sa obtii acces sa fi raspuns corect la intrebarile sale de siguranta, iar tu, stiindu-l foarte bine, vei raspunde corect la acele intrebari de siguranta)
• un cod pe telefon (in cazul acesta trebuie sa ai acces la telefonul prietenului tau)

Phishing sau manipularea utilizatorului cu un mesaj ce vine din partea unei entitati reale

Un alt scenariu plauzibil, cu o probabilitate ridicata de reusita este phishing-ul – o tehnica prin care un criminal cibernetic creaza un mesaj ce pare a veni din partea unei entitati de incredere (un prieten, echipa tehnica a serviciului pe care il accesezi samd) in care i se cere utilizatorului sa acceseze un link (pe care atacatorul il controleaza) si sa introduca datele personale.

Totusi, cum sparg conturi hackerii care apar la TV si in presa?

Presa are obiceiul de a denatura si exagera orice informatie de dragul audientei. De cele mai multe ori, „hackerii” prinsi si aparuti la televizor sunt naivi, au cunostinte limitate si desfasoara activitati infractionale menite sa le imbunatateasca situatia lor materiala dar si a „partenerilor” de afaceri sau pur si simplu, vor sa fie recunoscuti de comunitatea in care traiesc. Pe scurt, sunt simpli hoti, doar ca folosesc mediul informatic pentru a se imbogati ilegal (financiar, imagine, relatii samd).

Dar problemele descoperite de specialisti in securitate sau vulnerabilitatile 0-day?

Abia acum discutam despre lucruri reale, cu un risc major de a afecta siguranta si datele personale ale unui utilizator. Majoritatea vulnerabilitatilor descoperite in retelele sociale precum Facebook sau Instagram, servicii de emailing & comunicare precum Skype, GMail sau Yahoo! samd. sunt evidentiate de doua mari categorii de oameni, ambele cu multe resurse tehnice (specialisti) si financiare:

1. Specialisti in securitate
Un fel de politie a Internetului, exista specialisti in securitate care analizeaza zilnic toate tehnologiile aparute iar cand descopera o vulnerabilitate grava intr-un serviciu, raporteaza acea problema. Uneori sunt rasplatiti, alteori primesc un simplu multumesc iar de cele mai multe ori sunt ignorati.

Asa arata o vulnerabilitate in mecanismul de autentificare al Facebook din 2013, descoperit de niste baieti buni.

2. Echipe sponsorizate de Guvernul unui stat sau de o grupare infractionala
Si acestia analizeaza toate tehnologiile aparute, marea diferenta este ca odata ce gasesc o vulnerabilitate, acestia si-o insusesc si o folosesc pentru beneficii materiale, informationale samd. Totusi, mai devreme sau mai tarziu, baietii buni (cei din prima categorie), vor identifica si rezolva bresa de securitate.

In nici unul din cazuri, un utilizator obisnuit nu va avea acces la procedura prin care poti exploata vulnerabilitatea sau nu vei avea cunostintele tehnice sa o pui in practica.

In concluzie

Exista numeroase metode prin care un utilizator nelegitim poate obtine acces neautorizat asupra unei identitati virtuale ce nu ii apartine insa de cele mai multe ori este foarte dificil, iar riscurile la care te supui sunt ridicate.

Totusi, specialistii in securitate ar putea sti raspunsuri simple la intrebarile acestea, insa odata ce inveti cum anumite sisteme pot fi accesate intr-un mod neautorizat, inveti sa devii si responsabil cu informatiile pe care le-ai dobandit.

De aceea, de cele mai multe ori cand primesc intrebari similare cu titlul acestui material, le ignor, raspund intr-un mod ironic, blochez contul acelei persoane. De acum incolo voi raspunde cu acest link. 🙂