Вспоминаем пароль, или "работаем" с службой поддержки.

Discussion in 'Уязвимости Mail-сервисов' started by arm9n, 17 Mar 2017.

  1. arm9n

    arm9n New Member

    Joined:
    11 Mar 2017
    Messages:
    1
    Likes Received:
    0
    Reputations:
    0
    Добрый день, знаю ,что есть похожая тема, но данного метода не нашел. Суть!
    Работал по целевому адресу, был человек, знал его почту. Что требовалось?Любыми путями получить доступ, vk, twitter, mail, instagram.
    Лезем в интернет , набираем кучу информации о пользователе, кто не знает бежим в тему от censored!
    Мне улыбнулась удача, но может она улыбнется и вам, вбиваем в яндекс наш адрес [email protected], видим следующее наш ящик уже был взломан хацаками с аЧата, лет пять назад и имеет вид login; pass, но как нам быть если наша жертва пароль все таки сменила? На самом деле это большое упущение почтовых сервисов которые позволяют сменить пароль от взломанного ящика и предлагают нам продолжить работу с этим ящиком, все дело в том что форма восстановления у любого почтового сервиса просит нас пароль, который мы вводили хотя бы раз, т.е зная регистрационные данные пользователя ФИО, дата рождения, секретный вопрос ( кстати не все пишут его qwerty12345 :)), то support может и не убедиться в том, что мы являемся владельцем данного аккаунта, но если мы знаем пароль который мы хотя бы раз вводили в ящик, они уверены в нас на 100%
    Ну, а дальше... Дальше все стоит на нашей почте, и наша жертва сама отдала нам все пароли, способ не совсем логичный, кто-то будет ругаться, это дикость, я знаю, но это работает.
    Служба поддержки вернула мне 10 таких аккаунтов, их даже не смутило что все мои запросы восстановления пароля шли с одного и того же ящика, психологии в письме мало, знаем мыло , пытаемся восстановить все аккаунты с этого мыла, в итоге в входящих письма будут от ([email protected] [email protected] и тд), далее
    ну и проверить слитый ящик Oh pwned! (не реклама)
    Пост первый особо не гадить)))