daky stary pokec k tomu: 07.10.2004
NOH - azetfeq
--------------------
typ utoku: NOH - nevedome odovzdanie hesla
zameranie: azet.sk
poziadavky na utocnika: neodporuca sa skusat na cudzom cloveku.
spolahlivost: pri spravnom vybere obete 95%
uri: http://azetfeq.wz.cz/
whatever:
----------
NOH azetfeq je upravena kniha navstev. metoda utoku sa zaklada na pouziti socialneho inzinierstva, inak povedane klamom a presvedcanim. NOH azetfeq je pouzitelny len na uzivateloch azetu.
nevyhody NOH azetfeq
-------------------------
nemozno pouzivat na hocikom, treba byt opatrny
---------------------------------------------------------------------------------
NOH - two ducks
--------------------
typ utoku: NOH - nevedome odovzdanie hesla
zameranie: e-maily
poziadavky na utocnika: pre 100% uspesnost je treba mat pristup minimalne do jedneho mailu obeti.
spolahlivost: pri spravnom vybere obete 95%
whatever:
----------
NOH two ducks je upravena kniha navstev. metoda utoku sa zaklada na pouziti socialneho inzinierstva, inak povedane klamom a presvedcanim. obet musi mat dva maily s rovnakym nazvom, napr. [email protected], [email protected], pricom mi musime mat pristup aspon na jeden z tychto mailov, ak sa chcem dostat do mailu druheho.
poznamky:
jedneho dna som sa rozhodol, ze hacknem mail na stonline.sk , ale nechcel som, aby mi to trvalo prilis dlho. tak ako na to? bolo mi jasne, ze programy mi nepomozu a ze sa budem musiet spolahnut jedine na technologiu NOH. premyslal som, ako by som mohol vyuzit svoje skusenosti z azet utoku az ma napadlo..
postup:
----------
obet mala v tomto pripade dva emaily. jeden na centrum.sk a druhy na stonline.sk s rovnakym nazvom. zacalo sa to, ked sa mi podarilo uhadnut heslo obeti na centrum.sk. hned som zacal rozmyslat, ako by som toho vyuzil a nasledne vznikla myslienka vymysliet NOH - two ducks. zablokoval som obeti pristup a na druhy mail som poslal nfo o tom, ze sa po nete siri vir, ktory sifruje centrumacke maily a ze mam podozrenie, ze jeden takyto bol nepravom odoslany z mojho mailu. pridal som este informaciu o stranke, kde si moze heslo odsifrovat: http://shifcen.wz.cz . tam na obet cakal mnou upraveny php skript s instrukciami asi v takomto zneni: bla bla, do prveho policka vpis centrumacky mail, ktory chces odsifrovat, do druheho policka svoj druhy email a do tretieho heslo. ked kliknes na Odsifrovat, vezmem heslo z druheho mailu a priradim ho mailu na centrume.sk .
okrem toho, ze nam obet odovzda heslo z stonline, sa nestane nic. heslo sa zapise do skryteho suboru kniha.body.
nevyhody NOH two ducks
---------------------------------------------
obet musi mat dva maily s rovnakym nazvom, napr. [email protected], [email protected] a je nutne vediet heslo aspon od jedneho z nich.
any other questions?
[email protected]
[email protected]
url:http://azetfeq.wz.cz/
-------------------------------------------------------------------------------------
Technologia nevedomeho odovzdania hesla (dalej len technologia NOH)
tqa 2003
uvod
---------------------------------------------
postupy ziskavania hesiel podobnou technologiou ako je technologia NOH su stare iba niekolko rokov a v podstate ide o vylepseny HOAX (varovanie pred neexistujucou hrozbou).
najcastejsie sa s nou stretavame vo forme, kedy sa utocnik vydava za amdina a s doveryhodneho mailu zasle obeti omackovy mail. takato taktyka je sice anonymna, ale prakticky z 90% neucinna. ja osobne som sa s nou stretol dva krat: prvy krat, kedy som ju sam skusal a druhy krat, ked ju niekto skusal na mne. samozrejme, v oboch pripadoch bezuspesne.
pocas jedneho obdobia som potreboval v kratkom case ziskat jedno dolezite heslo. rozmyslal som ako, az som dostal napad vytvorit NOH. rozhodol som sa prejst na tuto metodu a po dlhom uvazovani a zvazovani som vynasiel nieco celkom nove. je to sice riskantnejsie, ale prepracovanejsie a vysledok je zaruceny. nazval som to technologia nevedomeho odovzdania hesla.
co je vlastne technologia NOH?
---------------------------------------------
je to metoda, ci postup, kedy obet urobi to, co chces. nevedomky ti prezradi heslo. od inych metod sa v mnohom lisi, je pouzitelna prakticky na akomkolvek type ludi a je ucinnejsia. s jej pouzivanim treba mat skusenosti a snazit sa nepouzivat tu istu metodu dlhodobo, citat ludi a ku kazdemu sa staviat individualne.
pohlad spat: azet hack. (2002)
---------------------------------------------
pamatam sa velmi dobre na moj prvy NOH utok, kedy som sa touto metodou pokusal zistit heslo na azete. trvalo mi to asi dva tyzdne.
bola obet, dajme tomu PARADAJKA1. ja som si vytvoril nick PARADAJKA2 a pod nim sa vydaval za PARADAJKU1. rozdaval jej cislo a robil proste blbosti. po par dnoch zacala byt obet nervozna, ja som toho vyuzil a povedal jej: "ok, ak si chces teda napravit povest, alebo rovno zmazat nick, prihlas sa na PARADAJKA2 pod heslom, ktore normalne pouzivas." tu sa teraz zastavime. pokial vieme, azet.sk nedisponuje moznostou zrusit si nick:), ale disponuje moznostou zobrazit zle zadane hesla. ked sa PARADAJKA1 skusila prihlasit na nick PARADAJKA2 pod svojim heslo, samozrejme sa nic nestalo. o celej zalezitosti sa rozbehla diskusia na nete, hlavne na blackhole.sk, ale vsetky stranky boli vymazane. nakoniec sa o tom dozvedel samotny AZET a aby sa nieco podobne nemoholo opakovat, namiesto zle zadanych hesiel sa objavili hviezdicky z ktorych nemozno vycitat ani len dlzku hesla.
any other questions?
[email protected]
ps. toto neni spam a nemam ani zaujem robit nieco nejake. len taka retro spomienka:)
