Mladí a hloupí teenageři. Opravdu jsou jejich myšlenkové pochody tak omezené, že bezhlavě a slepě kliknou na vše, co jim kdo předhodí? Opravdu jsou tak naivní, že skočí na lep ve vidině získání mobilu za pár kliků a sdílení fotek?
Nebudu nikomu mazat med kolem huby. Můj kolega je předsedou organizace, která monitoruje Facebook pro Facebook. Je však otázkou, k čemu je toto dobré. Skupina „Pokec od 9 do 11 let“ byla prý zrušena až po půl roce. Skupina „Seznamka od 10 do 12“ nebyla zrušena vůbec stejně jako „Seznamka pro děti od 10-18 let“. Podle jeho slov to je prý pouze kamufláž ze strany Facebooku, aby se v případě problému měl jak bránit. Jiná situace je prý v případě oslovení 14leté holčičky 50letým seniorem. Tam jde, v případě zjištění a následné skryté kontroly obou stran, vše ihned v podobě podnětu, na příslušné oddělení Policie. O zablokování uživatele a odstranění účtu potom rozhodne až Policie. Pro běžného uživatele je bezpečnostní politika uživatelsky nastavena dosti hloupě. Na co jsem však čučel s úžasem, jsou možnosti, které má kolega. Dalo by se říct, že může ze startu zablokovat účet nebo odstranit fotky včetně diskusí. Jsou prý ale vázáni určitými pravidly a postupy. Nesmějí jednat vyloženě na vlastní triko.
Chtěl jsem ale znát jeho názor na jinou věc. Na to, co se na Facebooku začíná poslední dobou objevovat čím dál častěji. Bylo mi řečeno, že s tímto se toho moc udělat nedá. Rozumný člověk ví v čem tkví nebezpečí ale to je tak asi vše. Nic tím není porušováno a dokazování nekalého záměru by bylo velice složité. A o co vlastně jde?
V poslední době se na Facebooku začínají množit dva případy tzv. sociálního hackingu. V SH je první věc známá, stará a zvládne ji každý. Ta druhá je nová a zvládne ji pouze osoba znalá IT. V prvním případě jde o to, že chceme vyslídit heslo do cizí emailové schránky. Manžela, milenky, kamaráda nebo kamarádky. Je to jedno. Dotyčné osobě zašleme email, který bude obsahovat podrobný návod jak toto udělat. Vše, i s krátkým proslovem, vypadá asi takto:
Jak zjistit heslo do emailu kámošky nebo kohokoliv jiného.
Tento fígl jsem objevil náhodou, když jsem sledoval při práci admina ze Seznamu jak si zjišťuje hesla od emailových schránek. Dnes je již známé, že doménu post.cz koupil seznam. Proto tento návod funguje pro emaily seznam.cz, email.cz a post.cz. Je to prosté: na server zašle požadavek (speciální e-mail), ten jej vyhodnotí a pošle zpět odpověď. Administrátoři Seznamu to používají při práci „v terénu“. Teď prozradím přesný tvar e-mailu, kterým lze získat heslo k jakékoliv schránce na Seznam E-mail.
E-mail je třeba odeslat na adresu support.mail@post.cz. Jako předmět se musí uvést B8_Ps_admin_2Fn3XML. Zpráva musí být přesně v tomto formátu:
$src:adresa@seznam.cz (tedy adresa, k níž chcete znát heslo)
auth:vase_adresa@seznam.cz (vaše adresa, na ni bude zasláno heslo)
##auth:vase_heslo (a heslo pro ověření vaší totožnosti)
Pozor, je nutné mít schránku na Seznamu, aby server mohl ověřit přihlašovací údaje!
Tedy pokud chcete zjistit heslo ke schránce alex.petrovic@seznam.cz a sami máte e-mail maruska@seznam.cz a vaše heslo je třeba 12345, pak odešlete zprávu ve znění
$src:alex.petrovic@seznam.cz
auth:maruska@seznam.cz
##auth:12345.
Nezapomeňte na předmět ve správném tvaru a pozor, musíte dodržet velká i malá písmena jinak to systém nekokáže vyhodnotit. Obratem přijde zpět e-mail s heslem ke schránce.
Zajisté si dokážete sami představit, k čemu dojde v případě, že tento email odešlete. Katastrofa.
V případě druhém jde v podstatě o to samé jen s tím rozdílem, že útok nezvládne amatér nebo běžný uživatel. Na Facebooku lítá spousta pochybných sdílení s avízovanou odměnou v podobě mobilního telefonu. V prvním kroku musíte nasdílet příspěvek, potom zaslat svoji ip adresu (s přímým odkazem jak si ji zjistit) a poté potvrdit svoji emailovou adresu. A na problém máte zaděláno. Tento druhý SH vidím jako závažnější. Ne proto, že je složitější na provedení ale proto, kdo za ním stojí a jaké má úmysly. Je jen málo lidí, kterým stačí ip adresa pro to, aby mohli vlézt do Vašeho pc.
Před chvílí jsem dořešil problém jedné mladé slečny. Jiné heslo na facebooku, nepochopitelné komentáře a fotky na jejím profilu, nemožný přístup do emailu. Strávil jsem nad tím skoro 6 hodin a stejně jsem se ničeho konkrétního nedopátral. Hodně mi pomohl kolega ale ne každý má možnost podívat se na Facebook z té vnitřní strany. Desítky přístupů na její vdsl z portugalské ip adresy. Toto ale není zrovna důležité, protože to mohl být s klidem i její soused.
Nakonec z ní vylezlo, že ve své mladé neznalosti a částečně hlouposti udělala to, co dělá spousta mladých. Sdílela, registrovala se, poslala svoji ip adresu a potvrdila svůj email v bláhové naději, že vyhraje podělaný iPhone.
