The Question
сентябрь 2016.
8751

Могут ли взломать мою страницу во «ВКонтакте», если я сижу через бесплатный вайфай?

Ответить
Ответить
Комментировать
3
Подписаться
17
1 ответ
Поделиться

Ответим на примере школьника Саши, у которого есть необычное хобби: он хакер. Каждый день после уроков Саша идет в ближайший «Макдональдс» и садится с ноутбуком в дальний угол. Он запускает хакерские программы и взламывает странички «Вконтакте» беспечных посетителей. Саша читает их переписки, а тем, кто ему не понравился, пишет на стене что-нибудь нехорошее:

Инструментарий Саши бесхитростный, но действенный — особенно если мы говорим о взломе страниц «Вконтакте».

1.Прослушивает соединения в открытых беспроводных сетях. 

В заведениях с бесплатным вайфаем данные между роутером и вашим устройством передаются без шифрования. Любой может перехватить трафик: достаточно запустить специальную программу на ноутбуке. Саша сможет увидеть, какими данными обменивается ваш компьютер с сервером «Вконтакте».

По умолчанию обмен данными с «Вконтакте» тоже происходит без шифрования, так что Саше достаточно поймать момент, когда вы делаете запрос к серверу. Саша увидит всё, что вы отправляете на сервер «Вконтакте» и всё, что сервер вам отвечает.

Когда вы заходите во «Вконтакте» в первый раз, сайт «запоминает» ваш браузер, чтобы вам не нужно было каждый раз вводить пароль. Чтобы запомнить браузер, «Вконтакте» сохраняет на компьютере специальный файл — cookie. Он работает вашим опознавательным знаком: если вы показываете «Вконтакте» правильное печенье, он вас узнаёт и делает то, что скажете.

Каждый раз, когда вы загружаете любую страничку сайта, вместе с вашим запросом браузер отправляет печенье. Открыть сообщения — отправилось печенье. Загрузить ленту — отправилось печенье.

Значит, Саше достаточно перехватить печенье, которое, как мы уже знаем, передается серверу в открытом виде. С перехваченным cookie Саша зайдет на вашу страничку, даже не зная пароля: он просто покажет ваше печенье серверу, и сервер будет думать, что Саша — это вы.

2. Создает поддельные точки доступа. 

Еще более простой способ — не прослушивать ваше соединение, а перехватить его более агрессивно. Саша раздает вайфай со своего ноутбука и называет точку доступа безобидным именем, например, FreeWiFi. Гости кафе открывают ноутбуки и выбирают среди других сетей этот безобидный незапароленный FreeWiFi. Кажется, будто гости подключились к интернету. На самом деле они подключены к ноутбуку Саши.

Когда человек заходит во «Вконтакте» через Сашин вайфай, он попадает на главную страницу, где нужно снова вводить логин и пароль. Без задней мысли он вводит эти данные и попадает на родную страничку.

Эта страница — подделка. Когда человек введет пароль, он попадет на свою страницу и ничего не заметит, но логин с паролем сохранится у Саши в ноутбуке. Это похоже на скимминг, только не в банкомате, а на сайте.

Саша в вашем аккаунте в социальной сети — серьезная проблема. Он может украсть ваши личные данные или, например, нанести ущерб репутации:

А может подготовить и более серьезную атаку. О том, как защититься от хакера в общественных местах, узнайте из материала Тинькофф Журнала.

Тинькофф Банкотвечает на ваши вопросы в своейПрямой линии
45
-7

По умолчанию обмен данными между сервером VK и клиентом осуществляется по защищенному протоколу SSL. 

+1
Ответить

Тоже кажется бредом 1 пункт. Сайты ведь шифруются через https протокол.  От комма до wifi уже защищенный поток идет. Мб не прав)

0
Ответить

https давненько скомпроментирован, тут нам поможет SSLStrip, но вот если сидеть через мобильное приложение, где способ авторизации отличается, то перехватить сессию с учетными данными будет значительно сложнее 

0
Ответить
Прокомментировать
Ответить