HurricanX
05.09.2004, 21:31
Das "Hacken" eines Mailaccounts
In vielen Foren wird die Frage nicht einmal oder zweimal, sondern fast
täglich gestellt und es gibt immer die gleichen nutzlosen Antworten, so
dass immer wieder gefragt wird: "Wie hacke ich den Mailaccount von <<plz
put in your favourite target>>?! Bitte sagt mir, wo ich ein Programm
dafür bekomme mit denen ich den hacken kann!!!!!"
Mit solchen Fragen kann man nunmal nicht sehr viel anfangen und sie
nerven wirklich nach einiger Zeit, wenn man sich ständig wieder liest. Aus
diesem Grund werden in diesem Tutorial die wichtigesten theoretischen (!)
Möglichkeiten beschrieben um das Eindringen in einen fremden Account zu
ermöglichen. Im Groben sind folgende Möglichkeiten in Betracht zu
ziehen:
-Bruteforce
-Social Engineering
-Ausnutzen der Geheimfrage
-Die Url aus den Logdateien des eigenen Servers bekommen, nachdem der
-Benutzer dorthin umgeleitet wurde durch z.B. ein Link in einem Bild.
Wir werden die einzelnen Punkte jetzt mal genauer erläutern.
Bruteforce
Die einfachste und primitivste Methode ist Bruteforce.
Natürlich gibt es eine 100%ige Chance das Passwort damit herauszubekommen,
doch kann es so lange dauern dass es meist nicht in Betracht kommt, es sei denn
man weiß dass wie lang das Passwort ist (möglichst kurz) und kann
auschließen, dass Sonderzeichen vorkommen. Also z.B. nur Kleinbuchstaben
oder nur Zahlen. Bei einem 3stelligen Passwort mit nur Zahlen ist es z.B. schon
unter gewissen Vorraussetzungen sinnvoll, einen Bruteforcer Attacke auf den
Mailaccount loszulassen. Ein geeignetes Programm für diesen Zweck
wäre Unsecure, es unterstützt unter anderem auch Resume.
Social Engineering
Social Engineering ist die Vorgehensweise, mit der man
unvorsichtiges Personal dazu verleitet, einem das Password von einem fremden
Account zu geben. Man sollte bei z.B. bei einem Telefongespräch mit einer
sicheren Stimme auftrumphen und sich nicht durch Fragen von dem Personal
verunsichern lassen. Das ganze Gespräch muss sehr überzeugend
gegenüber dem Personal ablaufen. Weiterhin ist es möglich, mit der
E-Mail Adresse des Besitzers bzw. einer alternativen E-Mail Adresse des
Besitzers eine Mail an den Kundenservice zu schreiben, dass die Daten doch
bitte an eine andere E-Mail Adresse geschickt werden sollen, da man die Daten
verloren habe und so nicht mehr den Account abfragen könne.
Wenn das so glatt abläuft, dann habt ihr verdammt Glück.
Falls es nicht geklappt hat probiert es nocheinmal ein paar Tage später
oder bei einer anderen Anbieter.
Ausnutzen der Geheimfrage
Für den Fall, dass der rechtmäßige Besitzer des
Mailaccounts einmal sein Passwort vergisst, muss er beim Einrichten seines
Accounts eine Geheimfrage festlegen und eine Antwort, mit der er dann die
Geheimfrage beantwortet. Jedoch werden sehr oft ziemlich dumme oder einfach zu
beantwortende Fragen gestellt, die auch von anderen beantwortet werden
können. Wenn man die Person um die es geht gut kennt und die Geheimfrage
"Wie heißt meine rechte Hand?" o.ä. lautet, ist es oftmals kein
Problem durch die Antwort an das Passwort zu kommen. Da die IP geloggt wird
während man auf die Seite des E-Mail Providers zugreift, sollte man
zumindest über einen Proxy ins Netz gehen.
Das Ausnutzen der Logfiles des Webservers
Nehmen wir an, jemand bekommt eine Mail mit einem schönen
Bild, das mit einem Link hinterlegt ist. Dieser "Jemand" klickt auf das Bild
und gelangt auf eine Seite - in diesem Fall auf unsere auf unserem eigenen
Webserver, so kann man aus den Logdateien die genaue Url bekommen, von der
dieser "Jemand" gekommen ist. Wenn man diese Url in die Adresszeile des Browser
eingibt, so gelangt man direkt in die Mailbox. Man erhält zwar nicht die
Passwörter, kann jedoch die Post lesen und auch Mails verschicken. Bei GMX
funktionierte diese Technik noch bis vor ca. 3-4 Monaten (Stand: Mai 2001),
doch inzwischen ist dieses Sicherheitsloch gestopft. Es gibt jedoch noch sehr
viele Freemail Anbieter, bei denen diese Technik noch ohne weiteres
möglich ist. Sogar der Microsoft-eigene Mailanbieter Hotmail war
betroffen.
© by *SchwarzerPanther* & Team® 06/01
In vielen Foren wird die Frage nicht einmal oder zweimal, sondern fast
täglich gestellt und es gibt immer die gleichen nutzlosen Antworten, so
dass immer wieder gefragt wird: "Wie hacke ich den Mailaccount von <<plz
put in your favourite target>>?! Bitte sagt mir, wo ich ein Programm
dafür bekomme mit denen ich den hacken kann!!!!!"
Mit solchen Fragen kann man nunmal nicht sehr viel anfangen und sie
nerven wirklich nach einiger Zeit, wenn man sich ständig wieder liest. Aus
diesem Grund werden in diesem Tutorial die wichtigesten theoretischen (!)
Möglichkeiten beschrieben um das Eindringen in einen fremden Account zu
ermöglichen. Im Groben sind folgende Möglichkeiten in Betracht zu
ziehen:
-Bruteforce
-Social Engineering
-Ausnutzen der Geheimfrage
-Die Url aus den Logdateien des eigenen Servers bekommen, nachdem der
-Benutzer dorthin umgeleitet wurde durch z.B. ein Link in einem Bild.
Wir werden die einzelnen Punkte jetzt mal genauer erläutern.
Bruteforce
Die einfachste und primitivste Methode ist Bruteforce.
Natürlich gibt es eine 100%ige Chance das Passwort damit herauszubekommen,
doch kann es so lange dauern dass es meist nicht in Betracht kommt, es sei denn
man weiß dass wie lang das Passwort ist (möglichst kurz) und kann
auschließen, dass Sonderzeichen vorkommen. Also z.B. nur Kleinbuchstaben
oder nur Zahlen. Bei einem 3stelligen Passwort mit nur Zahlen ist es z.B. schon
unter gewissen Vorraussetzungen sinnvoll, einen Bruteforcer Attacke auf den
Mailaccount loszulassen. Ein geeignetes Programm für diesen Zweck
wäre Unsecure, es unterstützt unter anderem auch Resume.
Social Engineering
Social Engineering ist die Vorgehensweise, mit der man
unvorsichtiges Personal dazu verleitet, einem das Password von einem fremden
Account zu geben. Man sollte bei z.B. bei einem Telefongespräch mit einer
sicheren Stimme auftrumphen und sich nicht durch Fragen von dem Personal
verunsichern lassen. Das ganze Gespräch muss sehr überzeugend
gegenüber dem Personal ablaufen. Weiterhin ist es möglich, mit der
E-Mail Adresse des Besitzers bzw. einer alternativen E-Mail Adresse des
Besitzers eine Mail an den Kundenservice zu schreiben, dass die Daten doch
bitte an eine andere E-Mail Adresse geschickt werden sollen, da man die Daten
verloren habe und so nicht mehr den Account abfragen könne.
Wenn das so glatt abläuft, dann habt ihr verdammt Glück.
Falls es nicht geklappt hat probiert es nocheinmal ein paar Tage später
oder bei einer anderen Anbieter.
Ausnutzen der Geheimfrage
Für den Fall, dass der rechtmäßige Besitzer des
Mailaccounts einmal sein Passwort vergisst, muss er beim Einrichten seines
Accounts eine Geheimfrage festlegen und eine Antwort, mit der er dann die
Geheimfrage beantwortet. Jedoch werden sehr oft ziemlich dumme oder einfach zu
beantwortende Fragen gestellt, die auch von anderen beantwortet werden
können. Wenn man die Person um die es geht gut kennt und die Geheimfrage
"Wie heißt meine rechte Hand?" o.ä. lautet, ist es oftmals kein
Problem durch die Antwort an das Passwort zu kommen. Da die IP geloggt wird
während man auf die Seite des E-Mail Providers zugreift, sollte man
zumindest über einen Proxy ins Netz gehen.
Das Ausnutzen der Logfiles des Webservers
Nehmen wir an, jemand bekommt eine Mail mit einem schönen
Bild, das mit einem Link hinterlegt ist. Dieser "Jemand" klickt auf das Bild
und gelangt auf eine Seite - in diesem Fall auf unsere auf unserem eigenen
Webserver, so kann man aus den Logdateien die genaue Url bekommen, von der
dieser "Jemand" gekommen ist. Wenn man diese Url in die Adresszeile des Browser
eingibt, so gelangt man direkt in die Mailbox. Man erhält zwar nicht die
Passwörter, kann jedoch die Post lesen und auch Mails verschicken. Bei GMX
funktionierte diese Technik noch bis vor ca. 3-4 Monaten (Stand: Mai 2001),
doch inzwischen ist dieses Sicherheitsloch gestopft. Es gibt jedoch noch sehr
viele Freemail Anbieter, bei denen diese Technik noch ohne weiteres
möglich ist. Sogar der Microsoft-eigene Mailanbieter Hotmail war
betroffen.
© by *SchwarzerPanther* & Team® 06/01