kradja naloga ( hack-acc ) je iskoristavanje propusta programera da se dodje u posed naloga koji nije tvoje vlasnistvo a podrazumeva par osnovnih koraka.
1. Keyloggeri - programi koji se instaliraju na mašinu koju koristi žrtva i koji pamte svaki pritisnut taster (među njima i šifru). Ako je to neki kompjuter koji koristi mnogo ljudi, a nad kojim imate kontrolu (lokalno proširivanje ovlašćenja, na primer), onda možete da instalirate KGB Employee Monitor ili neki drugi keylogger i da pokupite šifre svih koji su se ulogovali. Ako nije, onda će vam trebati trojanac koji obavlja funkciju keyloggera.
2. Resetovanje šifre pomoću primarnog e-mail naloga - Podrazumeva se da ste pre toga uhakovali taj e-mail nalog. To ste mogli da uradite pomoću keyloggera (kao pod 1.) ili da resetujete šifru tako što znate sve potrebne podatke o žrtvi (odgovor na sigurnosno pitanje, dobijen tehnikama socijalnog inženjeringa), tako da možete da resetujete šifru na tom e-mail nalogu (forgot password).
3. Phishing - Napravite lažan sajt koji izgleda kao IO pomoću SET-a, hostujte ga na svojoj mašini i navedite žrtvu da se na njega uloguje - ovo je već ozbiljna tehnika (prve dve može svako da izvede). Kako ćete navesti žrtvu da se uloguje na vašem phisheru, e to je pitanje kreativnosti i to morate sami da smislite.
4. Presretanje sesije - Najpre se radi ARP preusmerenje, tako da sva komunikacija između žrtve i servera koji je meta ide kroz vašu mašinu. Ovo je moguće jedino ako vi i žrtva idete na taj server preko istog subneta i ako server vidi da imate istu IP adresu (ako ste sa iste LAN mreže ili istog proxy servera). Nakon što je urađeno preusmerenje, potrebno je pokrenuti sniffer, na primer Wireshark i presretnuti cookie kada se žrtva loguje.
5. itd... ovo su samo neki od osnovnih koraka hackovanja accounta i zadobijanje kontrole nad istim.
Vi uvek, ako imate sposobne programere mozete naci tragove koji je metod koristen i sa kojeg izvora i imajuci u vidu da je to protiv-zakonito dokaze o hackovanju proslediti nadleznom organu za pokretanje sudskog postupka. a ne imati izgovor: eto poslozile se neke IP adrese i eto zbog toga je nalog hackovan... Dragi moji pripadnici IO tima ako hocete da budete pravedni morate uvek utvrditi izvor hackovanja ako ga je i bilo a ne bezeveze vratiti vojsku i tako ostetiti drugu stranu...
Davanje lozinke i logovanje pomocu iste ni u kakvoj meri se nemoze smatrati hackovanim nalogom, bez obzira da li je lozinku dao vlasnik naloga ili neko treci ( taj vlasnik nije ni smeo dati lozinku nekom trecem )
Prema tome jednostavan zakljucak da je posao koji vi obavljate mnogo kompleksniji nego sto vi to mislite i da morate biti mnogo bolje upuceni u samu bit problema prilikom odlucivanja o tako krupnim stvarima.
Posto vi smatrate logovanje sa pass-om hackiranjem ja Vam upucujem jos jedan poziv:
kao ljudi mi date broj kreditne kartice i PIN kod ( ekvivalent lozinki ) ja Vam ispraznim racune i na neki treci racun Vam vratim 50% a vi se posle javite banci da vam je racun hackovan i kada vam vrate novac koji sam vam uzemo bicete u plusu 50% ( nema razloga da vam nevrate jer i vi vracate vojske pa sto i oni nebi vratili vama novac )
Dosta je za sada niste na casu informatike