Не так давно – несколько лет назад, в Интернете была довольно популярной нижеописанная афера. А буквально вчера мне на глаза попалась интернет-страничка, в которой вновь рекламируется этот же способ мошенничества. Заключается же оно вот в чем:
На одном из бесплатных хостингов размещается сайт, состоящий зачастую из одной-единственной странички, на которой размещен текст примерно следующего содержания: «На популярных сервисах почты Mail.ru и QIP.ru обнаружены уязвимости!!! Теперь можно узнать пароли от любых ящиков электронной почты, расположенных на этих серверах. Торопитесь, пока администрация сервера не очухалась!
Теперь суть ошибки. Дело в том, что скрипты для Mail.ru, по-видимому, писал какой-то не очень квалифицированный программист и он оставил в своей работе одну уязвимость, о которой мы бы и хотели Вам поведать. Докопаться до сути данной уязвимости нам было довольно сложно, но как Вы видите, это вполне удалось. Сервис же QIP.ru подвержен этой же уязвимости по причине того, что администрация этого сервиса не заказала написание собственных скриптов у толковых программистов, а тупо перекупила их у администрации Mail.ru.
Теперь конкретнее. На перечисленных нами сервисах электронной почты есть система восстановления паролей. Вот в ней-то и допущена серьезнейшая ошибка, которой мы и предлагаем Вам воспользоваться. Когда пользователь отправляет письмо с требованием восстановления пароля, ему предлагается ответить на секретный вопрос, сам вопрос и ответ на который он вводил при регистрации. При правильном сочетании вопрос-ответ почтовый робот отправляет ему пароль от его ящика.
Но никому не известно (а теперь становится известно Вам), что если отправить на определенный почтовый адрес сочетание логин-пароль к существующему почтовому ящику, а в качестве третьего параметра задать логин к интересующему Вас почтовому ящику, то в ответном письме робот пришлет Вам пароль от этого самого ящика. Вот и суть той серьезной ошибки, о которой мы и хотели Вам рассказать. Для того, чтобы получить пароль от любого почтового ящика, зарегистрированного в данных системах, отправьте письмо, состоящее из трех строк: логин существующего ящика; пароль к существующему почтовому ящику; логин к тому ящику, пароль от которого требуется узнать, почтовому роботу на адрес: для Mail.ru – pass.mail@mail.ru, для QIP.ru – pass-mail@qip.ru».
Вот в принципе и вся афера. Пользователь, горя желанием узнать чей-либо пароль для доступа к почтовому ящику, отправляет на указанные адреса свои логин и пароль. В ответ, как Вы понимаете, ничего ему ни от какого «робота» не возвращается, а пароль от ящика уводят мошенники и используют Ваш ящик в своих неблаговидных целях – в основном для рассылки спама.
Старый, дедовский способ. но, что характерно – работает..