14 de maio de 2009

Como invadir MSN, Orkut, email e etc.

Primeiro é preciso fazer a seguinte pergunta: Aonde a senha está disponível? A resposta é óbvia: no servidor e na cabeça do usuário. Como você não vai conseguir invadir os servidores do Google ou da Microsoft para conseguir as senhas, é melhor partirmos para o lado mais fraco: o dono da senha. Abaixo, listaremos alguns métodos que podem ser usados para se obter a senha.

Engenharia Social
De longe, é o método mais eficiente, e se combinado com outros métodos aqui expostos pode ser muito mais eficaz. A engenharia social é a "arte" de fazer a vítima passar a senha sem perceber, seja explicitamente, ou fornecendo dados relevantes. Exemplo: Você liga para a pessoa e se identifica como técnico do Speedy ou da NET (note que aqui você já deveria ter levantado a informação de qual provedor ela usa), fazendo recadastramento de emails. Confirma algumas informações como endereço (lista telefônica), RG (concursos/vestibulares com listas divulgadas na internet) e data de nascimento (orkut) e pede pra vítima o endereço e senha do email dela.

Outro exemplo, seriam as páginas de "esqueci minha senha", onde você indica um e-mail(o seu), confirma alguns dados (geralmente data de nascimento) e recebe uma nova senha por email.

Há também a possibilidade de se obter senhas por trojans ou keyloggers. A palavra trojan vem de trojan-horse (cavalo-de-troia), em referência ao famoso presente grego. Trata-se de esconder um código malicioso em um programa que apresenta alguma funcionalidade. Keyloggers por sua vez, são programas que após instalados, gravam tudo que é digitado no computador, e podem ser programados para mandar os relatórios por FTP ou email.

Outra técnica muito menos eficiente, mas que pode funcionar em casos específicos, é o brute force ou força bruta. Consiste, basicamente, em tentar todas as possibilidades imagináveis de senha. Geralmente feito através de um programa, subdivide-se em outras duas possibilidaes: pode ser feito por método de dicionário ou brute force própriamente dito. O método de dicionário consiste em criar um arquivo (dicionário) com o maior número de palavras possíveis (pode-se encontrar dicionários prontos na internet) e tentar todas elas. O brute force própriamente dito tenta todas as possibilidades de combinações de letras e números, desde aaaa (pensando numa senha de 4 caracteres) até zzzz, passando por abaa, aaba, aaab, baaa, e assim por diante. Teoricamente, um dia você descobrirá a senha. O problema é que isso pode levar muito tempo, e muitos sites têm proteção contra brute force. Por exemplo, após 3 tentativas de senha errada, seu IP fica bloqueado por 15 minutos. Dentre os programas existentes, certamente o mais usado e conhecido se chama Brutus.

Por último, uma técnica bastante utilizada por aqueles que têm mais conhecimento de informática: sniffers. Sniffers são programas que captam todo o tráfego da rede. Com eles é possível intercepdar dados enviados/recebidos pelo usuário, bem como saber quais sites ele está acessando e até suas conversas pelo MSN.

No começo do post, falei que combinar a engenharia social com outras técnicas era o método mais eficiênte de se descobrir uma senha. Explico: se você sabe que a vítima não fala inglês, por exemplo, não precisa usar o brute force com um dicionário nesse idioma. Outro exemplo: se você sabe que a pessoa gosta de jogos de computador, você pode mandar um jogo com um keylogger escondido e dizer "olha esse jogo que bacana!!". Ou, se a pessoa gosta de "brincar de hacker", você pode enviar a ela um um método de invasão de email que você acaba de criar, e consiste em, por exemplo: "enviar o email da pessoa que quer invadir, seguido de dois zeros no título da mensagem, e no corpo do texto digitar seu usuário e senha, separados por barra. Isso confunde o servidor que irá resetar a senha enviará a senha da vítima para você. Enderece para servico.reset.senha@hotmail.com".

Você também pode descobrir se a pessoa conecta o notebook dela em hotspots de wi-fi grátis (shoppings, aeroportos) e tentar usar um sniffer na rede.

Veja que, não se trata de nenhuma técnica mágica ou inovadora. O sucesso depende apenas de usar as técnicas certas. O tempo que isso pode levar depende da inteligência da vítima e da sua.

Posts Relacionados

Também Relacionado

13 comentários:

icarocm | 12 de setembro de 2009 16:33  

parabéns pela postagem, muito rica!

porém eu gostaria de complementa-la. há ainda um método possível de se utilizar para invadir orkut, msn, e-mail etc.

é o uso de softwares de acesso remoto e controle da área de trabalho, como o logmein.com.

elaneobrigo | 14 de janeiro de 2010 23:32  

belo post.

gostaria no entanto de saber como nos proteger desse tipo de tecnicas e programas... um simples scan antivirus funciona? apagar o histórico da internet? o que aconselha?

obrigado

Anônimo | 31 de janeiro de 2010 03:32  

'' Os comentários retidos pelo filtro anti-span serão revistos pelos moderadores. Não serão publicados comentários com propagandas ou OFENÇAS. ''


Isso é um insulto, ou melhor, uma OFENSA à Língua Portuguesa. Ignorância tem limites!

Anônimo | 16 de julho de 2010 23:28  

tem um jeito de verificar se há keyloggers em sua máquina
faça o seguinte:
1:vá no gerenciador de tarefas (ctrl+alt+del)
2: clique na aba "processos"
3: Procure entre os processos o nome "keylogger"
4: clique em cima e vá no canto direito inferior, e clique em "encerrar processo"
5: como os keyloggers se iniciam sempre q vc liga o pc, vá em pesquisar e digite "msconfig" e clique na aba "inicialização de programas" e desmarque o keylogger, clique em ok !!
pronto, vc está livre do keylogger que possa estar na sua maquina, agora é só verificar seu computador de uma em uma semana p saber se a pessoa que instalou inicialmente n o executou de novo!
espero ter ajudado, abraços!!

Anônimo | 11 de março de 2011 23:29  

Boa noite!

Acessei o seu blog a alguns dias e gostaria de expor a você uma situação para que você possa utilizar os seus conhecimentos. A cerca de 1 ano mais ou menos, através de um perfil fake eu venho lutando contra o racismo que a cada dia vem crescendo no orkut. Obviamente, sem os devidos "poderes" para coibir os indivíduos que praticam essa forma de discriminação no orkut, o maximo de sucesso que tenho obtido é rastrear a cidade de onde o individuo utiliza a internet, através do rastreamento de IP via Email tracker. A unica arma que possuo contra esses filhinhos de papai metidos a nazistas é o terror psicologico, fazendo me passar por um policial federal. Mas, o medo os detem por apenas 15 dias no maximo e quando voltam, voltam mais agressivos. O que tenho a lhe propor, é o seguinte:

Realizar ataques as comunidades e perfis do orkut que incentivam o racismo ou discriminação com base em uma relação que eu montei ao longo deste 1 ano de atividades. Com a invasão das contas que administram as comunidades e respectivos usuários. Com os acessos em mãos, trocaremos as imagens das comunidades pelo simbolo da policia federal, descrevendo a comunidade como "Comunidade em investigada pela policia federal"

Não sou policial ou nada do tipo, sou apenas uma pessoa sozinha com um ideal, mesmo que simples, mas que pode satisfazer muitas pessoas e com certeza, tirar destes individuos a sensação de impunidade.

Estou mobilizando o maior numero de hackers possiveis para adentrarem nessa "batalha" contra os Nazi da internet. Vocês possuem o conhecimento e ferramentas necessárias e eu lhes dou uma razão "nobre" para utiliza-los.

Desde já meu muito obrigado pela atenção.

Se o que planejo der certo, mesmo em total anonimato, nosso trabalho no orkut ficará em evidencia, e será destaque na midia com muita sorte.

Infelizmente, a minha força de vontade deixou de ser capaz de "fazer algo" pelos que já sofreram ataques destes imbecis.

Segue o meu profile do orkut caso queria evidenciar o que digo:

http://www.orkut.com.br/Main#Profile?uid=2716446620029024724

Segue um exemplo de comunidade Nazi:

http://www.orkut.com.br/Main#Community?cmm=106510433

Segue um exemplo de perfil Nazi:

http://www.orkut.com.br/Main#Profile?uid=16916225349166180685

Se for possivel contar com a sua ajuda, desde já meu muito obrigado.

Um abraço,

Bastardos Inglórios

Anônimo | 21 de abril de 2011 12:15  

Boa tarde!
Gostaria de pedir tua ajuda em relaçäo ao que um amigo esta passando. Ja tentei algumas coisas mas nao obtive exito.
Uma pessoa criou um facebook falso e esta defamando-o perante os amigos e familiares.

grato pela atençäo.

Anônimo | 26 de agosto de 2011 11:10  

como eu leio os scraps bloqueados so meu namorado?
por favor me ajude

Anônimo | 9 de setembro de 2011 10:47  

http://truquesemanhas.blogspot.com

Anônimo | 10 de outubro de 2011 14:32  

Desconfiamos que meu irmão esta metido em encrenca, por isso precisamos descobrir a senha do hotmail. Tentei o Brutus mais não consegui. Será que poderiam me ajudar, meus pais estão desesperados.

Anônimo | 25 de outubro de 2011 16:17  

Aconselhado por um amigo, entrei no seu blog e seguindo seu conselho consegui validar o XP da minha mulher, com isso agora ela dá um tempo de sossego.
Obrigado. Funcionou conforme a explicação.


Esta parte não é para publicar - Gostaria de manter contato consigo. Se for possível entre em contato, para que possamos trocar idéias.
Como eu não sei qual o melho meio (seguro) para que possamos trocar idéias, que obviamente não são disponibilizadas a quem quer que seja. Para saber quem sou vai aí uns endereços. Se possível pelo email do ig. pois os outros inclusive os blogs eu pouco vejo, porque é muita correria.


http://www.coutoviana.com.br
http://paineldoconsumidor.blogspot.com
http://osramosdodireito.blogspot.com
http://reabiliteocredito.blogspot.com
coutoviana.jorge@gmail.com
jorge.coutoviana@gmail.com
jorgecandido@coutoviana.com.br
coutoviana@ig.com.br
Fones: (19) 3832.6317 - (19) 9247.8593 (19) 9651.2022 (11) 7036.9677
Se ainda assim, não conseguir me encontrar, busque meu nome no Google.

Anônimo | 4 de dezembro de 2011 16:06  

GOSTARIA DE SABER, SE TEM ALGUM JEITO NÃO UM MILAGRE,PARA BURLAR O LIMITE DO MEGAVIDEO, POIS MEU IP É FIXO - VIA RADIO.

papa hacker | 11 de janeiro de 2012 19:20  
Este comentário foi removido pelo autor.
tina | 9 de outubro de 2013 20:41  

tentei entrar pelo da ig mas não consegui me ajuda por favor

Os comentários retidos pelo filtro anti-span serão revistos pelos moderadores. Não serão publicados comentários com propagandas ou ofenças.