В комментариях к нашей статье «Все об «Улучшателе Мосвара» был поднят очень больной и актуальный для нашей игры вопрос — угон персов. Многие задаются вопросом: «А зачем вообще угонять персонажей игры?»Повышение ЧСВ + понты. Действительно, так клево почувствовать себя «кулхацкером», способным пробивать защиту Мосвара. А потом еще повыпендриваться перед друзьями: «Во, смотрите, пасаны, что я умею!» Желание навредить или мотив мести: «Ах, ты меня на хуй послал? Ничо-ничо. Я тебе перса взломаю». И, конечно же, коммерческая выгода, ведь большинство угонов приходится на «подарочные лихорадки». Логика простая: если у жертвы есть деньги на мед для подарков, то у нее найдется немножко бабла, чтобы вернуть своего любимого персонажа. Стоимость возврата перса может колебаться в районе 100-200 баксов. Или, что редко бывает, но все же бывает, это использование захваченных персов для распространения спама и вирусных ссылок
А теперь пособие для начинающих рейдеров. Можно взломать перса посредством воровства кукисов. Суть процесса в том, чтобы стырить из браузера жертвы свежие кукисы и зайди вместо нее в игру уже залогиненным. Нужно создать какой-нибудь «типа полезный» сайт. Разрекламировать, сделать все, чтобы народ им заинтересовался и стал заходить. Для знающего человека не проблема — повесить на этот сайт скрипт, который будет тырить куки с браузеров всех гостей.
Еще можно стырить логин+пароль. С этой задачей прекрасно справляются «троянские кони». «Троян» можно замаскировать подо что угодно: начиная, от вроде бы безобидной картинки с сиськами, заканчивая «новым супер-пупер ботом». Основная задача злоумышленника в том, чтобы жертва сама скачала и запустила программу.
Аккшаринг тоже встречается в Мосваре на каждом шагу. Одни других просят «загнать в шаурму», «поиграть у Мони», ну и дальше по списку. Всегда есть риск того, что тот, кому вы доверили своего перса, может запросто поменять ваши личные данные. И если вы подадите на восстановление пароля, то вполне может обвинить в угоне вас.
Ну а для самых неодаренных хакеров подойдет – Брутфорс, то есть тупой перебор паролей. Если атака нацелена на кого-то конкретного, это трудный способ угнать акк, так как подбор пароля занимает очень много времени. Но если же использовать два словаря: базу мыл и базу частых паролей, то можно собрать довольно неплохой урожай.
Правила безопасности известны уже давно, но «продвинутые компьютерщики» считают себя умнее всех и кладут на них: не заходить по подозрительным и непроверенным ссылкам, не скачивать неизвестных и непроверенных файлов, если уж передавать перса в чужие руки, то передавать человеку, в котором вы уверены как в себе любимом. А самое главное: настроить нормальный антивирус, блеать!
А в конце этой познавательной статейки хочу сказать большое спасибо Пирожку и Контре за то, что просветили меня в этих вопросах взлома. А я в свою очередь посчитал нужным передать всю эту информацию читателям Наброса, что бы уберечь их персонажей от злоумышленников. O:-)
(0)Говно
(0)
1. Брутфорс в мосваре весьма затруднен.
Пользователь логинится по Email, а он нигде не засвечивается.
Подбирать пароли не зная email-a дело бесполезное.
2. Похищение пароля трояном более эффективный способ угона.
Но какой толк от перса.
Ну если только нагадить, растранжирить мед, продать випки, дорогие номера м прокаченнную живность.
Поменять email нельзя (без помощи администрации)
А владелец сразу восстановит пароль на свой email, как только обнаружит пропажу.
Слать себе подарки, с угнанных персов - палево. Пара жалоб админам и тот кому посланы подарки будет проверен.
Есть правда более тонкий расчет: Слать подарки не себе, своему закадычному врагу, тем самым подставляя его под пристальное внимание администрации.
Думаю таким образом можно упрятать его в депорт, ибо туповатые модеры не привыкли долго разбираться. Сначала сажают, а потом уже пусть сам доказывает что не верблюд.
В пользу этой версии говорит то, что в подарок слали шокочай 15 уровня персу 10 уровня. (этот перс получит из коробочек лишь 10-й шокочай). Значит злоумышленник старался явно не для себя.
---------------------
Всем, кто стал жертвой, советую проверить своего бота, особенно если он ломанный и скачен из не вызывающего доверия источника.
Просканировать компьютер антивирусом со свежими базами.
Сменить пароль в мосваре, и категорически не использовать одинаковые пароли на email и на аккаунт в мосваре.
(0)Говно(0)
Почему мыло не засвечивается?) ну, например, в скайпе в том же...) на сайте какого-нибудь околоигровика.) Не нашего, потому что у нас можно и фейковое мыло написать 
вк, ок, фб...)) было бы желание - возможности найти найдутся)
(0)Говно(0)
Фейковое (фейковое от слова "фея"?) мыло - это вы зря. Запилите базу адресов и продайте спамерам )))
(0)Говно(0)
Если у вас есть информация по случаям взлома или угона, пишите к нам в контакт форму.
(0)Говно(0)
>>Нужно создать какой-нибудь «типа полезный» сайт. Разрекламировать, сделать все, чтобы народ им заинтересовался и стал заходить. Для знающего человека не проблема — повесить на этот сайт скрипт, который будет тырить куки с браузеров всех гостей.
Что за идиот это написал?
А не волнует тот факт что тогда утекут куки текущего сайта, а не вообще всех сайтов? То что написано будет работать только при наличии уязвимости на целевом сайте(на сайте куки которого нам нужны), либо активная xss либо пассивная.
Далее. Что-то мало способов описали.
их же в разы больше.
Можно например сделать полезный юзерскрипт, который пользователь будет ставить в свой браузер, так можно и логин и пароль узнать и куки спереть и делать все что душе захочется. та же социнженерия.
можно сделать фейковую страницу целевого сайта и распростронять ее под видом НОВОГО ТЕСТОВОГО СЕРВЕРА. Это называется фишинг.
можно использовать схему mitm атаки и заставить пустить пользователя весь трафик через свой сервер.
способов столько, насколько фантазии хватит.
(0)Говно(0)"Что за идиот это написал?
А не волнует тот факт что тогда утекут куки текущего сайта, а не вообще всех сайтов? То что написано будет работать только при наличии уязвимости на целевом сайте(на сайте куки которого нам нужны), либо активная xss либо пассивная.". Описанный способ проверен практически.
Ты, видно, умный. Тогда проконсультируй, жду продолжения списка способов. Хочешь- пиши тут, в хочешь в контакт-форму.
(0)Говно(0)Ну дай мне тогда такую ссылку на страницу. Посмотрим как утекут мои куки мосвара без уязвимости в таковом.
Кроссдоменная передача cookie запрещена. Браузер тебе не даст получить доступ к cookie другого домена. Максимум что он может получить это существует ли cookie такого домена. А если даст то это хуйня, а не бразуер.
(0)Говно(0)Ссылку не дам. Но мне вживую показали, что это сделать вполне возможно.
"А если даст то это хуйня, а не бразуер." Это уже другой вопрос.
(0)Говно(0)Популярные браузеры это сделать не дадут. Возможно вам показали, но вы до конца так и не поняли что вам показали. Но основная ошибка журналистов - писать не разобравшись вам присуща) Не спорю косячат часто писаки. Просто желаю вам разбираться в том что пишете)
(0)Говно(0)Приведу пример.
Есть сайт http://nabros.dostoinoest.com Тут есть такая же система cookie, которые можно спиздить и получить доступ к аккуанту пользователя. Так вот, сделав сайт http://ololo-hacker.ru и поместив туда скрипт нельзя будет получить куки вашего дорогого наброса.
Получить куки наброса можно только если есть активная или пассивная xss в вашем вордпрессе.
Теперь представим что есть сайт http://secret.nabros.dostoinoest.com
который является дочкой наброса. Если найти уязвимость на secret.nabros.dostoinoest.com то все равно нельзя будет получить cookie nabros.dostoinoest.com
Но если найти уязвимость на сайте nabros.dostoinoest.com, то можно будет получить cookie на secret.nabros.dostoinoest.com, так как второй сайт явлется дочкой первого, и из родительского домена доступ к дочернему есть.
гуглите читайте, просвещайтесь
(0)Говно(0)Вы рассказываете довольно интересные вещи. Можете ликбез в контакт форме провести?
(0)Говно(0)Дружище, остынь, а то ссышь кипятком так, что пар стоит как в бане.
>А если даст то это хуйня, а не бразуер.
Ёпта, какой только хуйней люди не пользуются и на какие ссылки только не нажимают.
(0)Говно(0)
