Взломать Skype? Легко!

    Skype уже давно перестал быть просто “звонилкой” и перешел в разряд бизнес-инструментов. Во многом это произошло благодаря надежности и безопасности распределенной сети.

    К сожалению, безопасность заканчивается ровно там, где начинается техническая поддержка.

    Нехитрая социальная инженерия позволяет получить доступ практически к любому аккаунту Skype. Для этого достаточно обладать некоторыми открытыми данными об аккаунте-жертве и не стесняться поговорить с поддержкой

    Данные, необходимые и достаточные для взлома аккаунта:

    • Дата создания (можно примерный диапазон, например 2008-2009г)
    • 3 контакта из списка контактов аккаунта-жертвы
    • Страна создания



    В диалоге со службой поддержки вы говорите примерно следующее: “Я тут на выходных уехал далеко и мне нужен срочный доступ к аккаунту. Дома у меня стоит автовход, поэтому пароль я не помню и доступа к email у меня тоже нет, спасите-помогите”.

    Поддержка переспрашивает, действительно ли вам нужно сменить email, передают запрос в другой отдел. Там вас спрашивают дату и страну создания аккаунта и 3 контакта из списка.

    Voila, этих нехитрых данных достаточно для изменения почты на ту, которую вы укажите.

    Навеяно cashcapacity.com/Thread-Jack-Any-Skype-Account и многими предупреждениями хороших знакомых.

    Счастья вам, будьте бдительны.
    Поделиться публикацией

    Комментарии 63

      –46
      Му-ха-ха!
        –15
        Вы неправильно смеётесь. Правильно смеяться нужно так: «Муа-ха-ха!»
        –4
        Когда ваш скайп взломают, вы узнаете об этом первыми :)
          +72
          останется только взломать его обратно

          [6:39:53 AM] A: there?
          [2:18:25 PM] A: is this B?
          [2:18:30 PM] A: or the one
          [2:18:32 PM] A: who hacked skype
          [2:18:35 PM] A: i need to talk with «hacker»
          [2:27:02 PM] B: this isnt the hacker sorry.
          [2:27:05 PM] B: this is B
          [2:27:37 PM] A: lol
          [2:27:40 PM] A: how u got acc back
          [2:28:04 PM] B: i hacked it back
            +94
            При прежних владельцах скайпа такой фигни не было!
              +7
              может просто менее упорно искали?
              +6
              Мне не хотели с этими данными никак восстанавливать, пока 2 дня искал запрошенную точную дату проведения последнего платежа на счет — попрощался с аккаунтом, которым уже лет 8 пользуюсь…
                +1
                Мне тоже отказываются возвращать старый скайп, даже когда я им называю весь свой контакт-лист, дату создания и 3 последние транзакции.
                  +9
                  Сейчас скорее всего они перестанут возвращать даже если вы перечислите все нуклеотиды вашей ДНК в правильной последовательности.
                  Это скорее хорошо чем плохо.

                  По ощущениям, процедура сброса email отличается в зависимости от страны регистрации аккаунта. Для exUSSR процедура может быть несколько сложнее
                    +1
                    Интересно почему? Допустим вот аккаунт жертвы в USA. А вот аккаунт жертвы в xUSSR…
                    Да какая разница в какой стране жертва, это ведь жертва, а не злоумышленник…
                0
                Да это не только проблема Скайп'а. СИ — довольное серьезная опасность, в наше время, так как никто должным образом не занимается проверкой кадров, а люди, это люди.
                  +1
                  Кадры из службы поддержки не имеют к этому никакого отношения. Вопросы безопасностью обычно строго регламентируются и в данном случае проблема не в уровне подготовки персонала, а в качестве проработки процедур, это намного хуже.
                  +6
                  Имхо, смена емейла по звонку это полнейший бред. Увы но если юзер потерял доступ еще и к мылу, то это его проблемы.
                  • НЛО прилетело и опубликовало эту надпись здесь
                      0
                      Там обратная проблема тоже есть, называется " а себя как разбанить?" я как то давно уехал на пару дней, вернулся, акк в бане, я
                      " — что такое?" а мне в саппорте
                      " — на вас жаловались, вы не как не прокомментировали ситуацию"
                      " — но меня вообще не было в городе, про ситуацию первый раз слышу"
                      " — ваши проблемы, решайте ее с заказчиком, аккаунт разбаним только по его решению"
                      0
                      Ну лишняя паранойя тоже плохо, я например не как не могу восстановить учетку у близарда, заблокировали по скольку несколько раз ввел не верный пароль. Секретный вопрос не помню, всегда от рандомно заполняю. А дальше цикл «напишите в тех поддержку чтобы восстановить доступ к своей учетной записи, чтобы написать в тех подержу зайдите под свою учетную запись.» А Дьяболо УГ получился, ради него много движений совершать лень.
                        0
                        чтобы написать в тех подержу зайдите под свою учетную запись.

                        Да ладно?
                        eu.battle.net/account/support/login-support.html
                          0
                          Ранее (более года-двух назад!) такое точно было. Мне пришло регистрировать второй аккаунт, что восстановить пароль на первом.
                            0
                            отнюдь, 2011:
                            link
                              0
                              Более года-двух назад, внезапно, может быть и 2010, и 2009. Уже точно не вспомнить, но
                              1) никак не мог найти точную почту тех.поддержки
                              2) в справке везде указывалось «обратитесь через аккаунт в личном кабинете» (ну или аналогичное по смыслу)
                              3) форму тоже на сайте не обнаружил.

                              Вполне возможно, что нужно было зарыться куда то глубже, но что было — то было.

                              P.S. shot.qip.ru/00bgH2-2twYEFrYW/ — у меня выглядит так. Я же искал на английской версии сайта, увы, кроме русского и английского других языков (пока) не знаю.
                            +1
                            О действительно сделали возможность связаться с тех Поддержкой без авторизации.
                          –2
                          А у меня другая проблема. В iphone версии скайпа стоит автовход, а пароль я не помню. Так эта версия не показывает почту.
                          И техподдержка отказывается восстанавливать ((
                          +45
                          Мдя дела… Понравилось.
                          Хорошо что меня так подломить не смогут — у меня всего два контакта в скайпе :)
                            +4
                            уже смогут, можно сразу сказать что у меня не три, а два контакта — что еще «более достоверное» подтверждение владельца. Разве, что осталось узнать кто они.
                              +3
                              Да чего там узнавать. Первый — жена, второй «Тестовый звонок в Skype» :)
                              +5
                              Если у вас нет собаки, ее не отравит сосед :)
                                0
                                Тогда и восстанавливать нет смысла: заводится новый логин и жена добавляется в контакты ( старый удаляется или в чёрный список )
                                0
                                Вопрос таков, а если использовать учетную запись Microsoft, то так ведь не восстановить по идее доступ?
                                  0
                                  Не знаю как сейчас, но в старых учетках сохраняется оба вида авторизации
                                  +3
                                  Принципиальный момент — поддержка требует назвать skype-login'ы людей из контакт-листа восстанавливаемой учетки, или те их имена, под какими они в контакт-листе сидят? У меня, например, куча народу переименована, и их логины я даже не стараюсь запомниать.
                                    +1
                                    Логины скорее всего
                                    Это делает процесс восстановления «по 3 логинам» еще бессмысленнее, их действительно часто переименовывают, а заказчику узнать 3 логина из контакт-листа проще простого. Тем более если это бизнес-аккаунт.

                                    С моей точки зрения восстановление доступа гораздо надежнее по привязке к платежной системе — «пополните ваш счет на 1 доллар тем же способом который вы использовали для оплаты услуг ранее»
                                      0
                                      А если вы сидите в другой стране?
                                        0
                                        … без кредитной карты, доступа к пейпал, не помните девичью фамилию матери и забыли какой у вас был email.
                                        Тогда вы скорее взломщик а не пользователь и у вас сегодня воспользоваться чужим скайпом не получится и это хорошо
                                          0
                                          Стоп, про девичьи фамилии и емейлы речи не шло, я напиал ответ на предложение «пополните ваш счет на 1 доллар тем же способом который вы использовали для оплаты услуг ранее», которое вообще не в кассу, это будет супер-неудобно. Большинство случаев, когда мне приходилось восстанавливать пароли, произошли в ужасной дали от дома и при полном отсутствии обычного набора программ и платежных средств.
                                            0
                                            Есть первичные автоматические способы восстановления пароля, работающие где бы вы не находились. Некоторый маленький процент пользователей попадают в ситуацию когда они автоматическими методами воспользоваться не могут и нужна дополнительная верификация. Скайп выбрал способ по «3 друзьям», что выглядит крайним идиотизмом.

                                            Платежная система представляется более надежным способом. Большинство платежных систем не привязываются явно к вашему местоположению. PayPal, кредитные карты, пополнить ваш же счет на 1 доллар вы можете откуда угодно если есть интернет. Неприятное исключение — WebMoney, там будет целая история с кипером и ключами или Mini или Enum. Ну что ж, в случае с вебмани вам не повезет, но это лучше чем потерять аккаунт (и историю переписки!), если кто-то узнает 3 ваших контакта
                                              0
                                              Согласен насчет идиотизма «по 3 друзьям», которые можно подсмотреть через спину в любой момент.

                                              Но вот насчет платежной системы… PayPal еще туда сюда, но вот кредитки может рядом не оказаться, равно как и мобильного телефона, на который придет смс-подтверждение. Особенный геморрой с WebMoney. Так что не надо усложнять ))) предложенный скайпом способ плох с точки зрения безопасности, но по платежным системам не лучше, но уже с точки зрения применимости.
                                                0
                                                Идеальных способов не существует, всегда найдется клиент который темной безлунной ночью забыл всё, но срочно хочет воспользоваться сервисом.
                                                Какие бы способы верификации вы предложили? Вопрос на самом деле не праздный, у нас с периодичностью раз в неделю появляется клиент который «забыл всё». Правда в половине случаев выясняется что это не клиент а его альтер эго, которое хочет получить доступ к аккаунту.
                                                  0
                                                  Я бы предложил завести список контрольных вопросов, штуки три, например. Уж один-то ответ юзер должен вспомнить. А также режим ограниченной функциональности, пример для скайпа — можно залогиниться и написать/позвонить, нельзя увидеть хистори, отключены все платные услуги, все настройки, юзеры, которым этот аккаунт звонит-пишет получают уведомление, что собеседник в режиме ограниченной функциональности и надо быть подозрительным.
                                        0
                                        тем же способом который вы использовали для оплаты услуг ранее

                                        Хорошо, что делать в таком случае «халявщикам», которые отродясь на счет скайпа ничего не переводили? :)
                                          0
                                          миллионы людей не пополняли баланс скайпа никогда.
                                          даже «бизнес»-аккаунты далеко не все используют платную функциональность.
                                        +1
                                        Когда же нормальная альтернатива появится этой прекрасной программе?

                                        (*печально вздыхая* Всех программ сам не напишешь.)
                                          –1
                                          Google Talk же, ну!
                                            0
                                            Расскажите как оттуда звонки приземлять в рф ?:))
                                            –1
                                            Глючное г.
                                            +7
                                            А что прекрассного в сайпе? По моему так та же аська, вид сбоку. Закрытый протокол, один единственный не самый крутой клиент, сообщения в офлайн и синхронизация логов это вообще песня. Приходишь домой и видешь всех с кем ты на работе беседовал, только как новые сообщения, бррр…
                                              +4
                                              Я бы сравнил скайп с красивой, но не очень умной девушкой. Смотреть приятно, даже что-то потрогать приятно, но при постоянном взаимодействии постоянно сталкиваешься с недостатками.

                                              Я давно не смотрел на другие клиенты для мгновенных сообщений, возможно, что-то изменилось в лучшую сторону, но раньше скайп сильно выигрывал в визуальном оформлении.

                                              Собственно, поэтому использовалось слово «прекрасная», а не «идеальная» или «удобная». Прекрасный — очень красивый. Но это всё достаточно индивидуально.
                                                +1
                                                Если использовать скайп только как im клиент, может и так. Но вы попробуйте найти аналог скайпа с таким же качеством звука, с возможностью смотреть видео в групповых конференциях, транслировать скринкаст.
                                                  +2
                                                  Довольно часто организовываю групповые аудио- и видео-звонки (Россия, Украина, Тайланд, если это важно) в скайпе и google hangouts.
                                                  По моим наблюдениям последний более толерантен к нешироким каналам при схожем со скайпом качестве видео. Разницу в звуке я вообще не заметил.
                                                  +1
                                                  я заметил, скайп как-то лучше других передает голос при хреновом инете.
                                                    +2
                                                    Возможно Вам просто не приходилось сталкиваться с действительно хреновым интернетом. А возможно это мне не приходилось с ним сталкиваться :)

                                                    Помню один «счастливый» день, когда в авральном порядке пришлось поднимать сервера после… ну скажем так их физического уничтожения. В этот счастливый день еще и наш мощный (как для начала века) 2мегабит АДСЛ (еще на трафике) ушел на аварийные кабельные работы. Достал старенький ISA модемчик на 28.8килобит, дотянул из соседнего здания «лапшу», в общем диалап мы подняли быстро. Так же быстро был залит из бэкапа сервак, и поднят Астериск.
                                                    Помню что админ качал какие-то дистрибутивы и все приводил в порядок, я шаманил со Звездочкой, и серфил документацию…
                                                    Ну и конечно же параллельно с нами шло 2-3 телефонных разговора. По тому же каналу (напомню — 28килобит, а то и 19кбит, правда довольно стабильных как для диалапа). Да я конечно переключил всё на G.723.1 (выбора то особо не было). Но по отзывам пользователей которые в то время звонили — качество связи было вполне приемлемое. Только когда одновремено было трое таки да лаги сильно чувствовались, да и скачку дистров приходилось останавливать.

                                                    Может я конечно устарел, телефонией уже лет восемь не занимался, но ИМХО на плохом канале либо G.723.1 поднимать (если канал слишком узкий), либо как это не странно G.711 (если канал широкий но нестабильный). С приличным буфером 711 шикарно справляется с большим количеством потерянных пакетов.

                                                    ИМХО у скайпа только два преимущества — простота и распространенность. Но этого достаточно.
                                                  +1
                                                  альтернативы есть, но маркетинг делает свое дело.
                                                  это как аська vs джаббер.
                                                  –8
                                                  Ну почему же Вы так неуважительно относитесь к своим друзьям взламывая их контакты в Skype??? Надеюсь после взлома аккаунта Вы не станете шантажировать свою жертву и присылать на почту компрометирующие письма )
                                                    0
                                                    Простите, но вы зануда.
                                                    0
                                                    Еще мне в скайпе не нравится, что можно на любое мыло зарегистрировать аккаунт (без подтверждения с этого мыла). И потом спокойно пользоваться аккаунтом, до тех пор, пока владелец мыла не сменит пароль. Понятно, что это мягкая уязвимость, но, все равно, неприятная.
                                                      0
                                                      А если тебя взломают и ты просишь ИП последнего захода — не отвечают. После этого я поставил пароль из 20 знаков.
                                                      • НЛО прилетело и опубликовало эту надпись здесь
                                                          0
                                                          Поддержка может не видеть текущую активность аккаунта, а злоумышленник выберет время когда владелец не в сети
                                                          0
                                                          Это скорее хитрость чем взлом, тут уже большую роль играет человеческий фактор. Ну а в целом да, уже скайп не так надежен.
                                                            0
                                                            Хитрость, конечно. Но даже социальная инженерия — это взлом. Правда объектом атаки служит уже не машина, а человек.

                                                          Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                          Самое читаемое