Взлом почтовых ящиков

e

Миф о «непробиваемой» двухфакторке: почему эксперты ее не боятся

Большинство «защитников» уверяют, что 2FA ставит крест на любом пентесте. На практике для взломщика это лишь дополнительный клик. Опытные специалисты по атаке (а не те, кто пишет статьи для новичков) никогда не ломятся в прямой штурм. Вместо этого используются три обходных пути: перехват сессионных кук через инжект в локальное хранилище, откат кода на временные OTP по протоколу POP3/IMAP (где 2FA часто не валидируется) или прямая атака на SMTP-авторизацию без веб-интерфейса. В 2026 году до сих пор у 30% целевых ящиков «защита» стоит только на веб-морде, а протокольный доступ висит без требований к одноразовому коду. Это — первое, что режут на аудите.

Неочевидная ценность «мусорных» закладок и черновиков

Когда ищут круглое, а находят квадратное. Стандартный юзер меняет пароль, и, с точки зрения неострожного анализатора, атака провалена. На деле профессиональный взломщик давно копит не только учетные записи, но и всё «железо» для вытягивания токенов. Даже если жертва сменила пароль, она редко чистит черновики в корпоративной почте. Там лежат пересланные файлы с настройками VPN, скриншоты организационного узла, или — о чем обычно молчат — ключи от легаси-сервисов, которые привязывали по SMTP без защиты. Совет: внедряйтесь в ящик не ради пароля, а ради прикрепленных .pst, конфигурационных .xml или даже письма с OTP-логами от стороннего облака. Это даст доступ к инфраструктуре надолго, а не к кэшу одной сессии.

Почему подбор по IMAP эффективнее, чем фишинг

Фишинг — это технология для массового трафика и цифровых цыган. Хакер, работающий качественно, вручную готовит подменную точку входа в корпоративный почтовик через эксплуатацию доверия между MX и MUA. Нюанс, на который спишут 80% специалистов: не пиши свой софт с нуля. Бери готовые эксплойты для Roundcube, Horde или Outlook Web Access, заточенные под 0-day инъекцию в логику RCD. И не тупи через прокси: подсовывай жертве не фальшивую страницу логина, а редирект на реальный OAuth-сервис, откуда ты снимешь код через сайт-посредника (машину между браузером и сервером). Реальный профессиональный хак любителей — отсутствие проверки на stage-attack в модулях IMAP IDLE (push-уведомления не проверяют авторизацию по цифровой подписи). Ты можешь подвязаться к ящику на уровне прослушивания и выдергивать входящие письма до того, как владелец их увидит.

Метод извлечения сессий через хранилища: соль для профи

Когда говорят о «краже cookies», многие думают о браузере. На деле запросы к почтовым серверам лежат глубже — в кэшах Chrome, в папках Thunderbird, в SQLite-базах The Bat! — но это скучно. Профейная тема: дамп конфигов сторонних клиентов (аллигаторы любят K-9 Mail и AquaMail). В них встречается нешифрованный логин и пароль в base64 даже в 2026 году из-за отключенного устаревшего SSL. С помощью одного дампа прошивки телефона или дампа облачного бекапа (например, через протокол Huawei HG659) вытаскивается полный стрим писем на два года вперед без единого подбора — только копия app config. Специалисты по red team подчеркивают: не пренебрегайте мобилами, даже если задача — десктопный ящик. Часто вся история чатов и письма хранятся локально без мастер-пароля.

Как не попасться на «фейк» детекшн: слепая зона антивирусов

Современные почтовые движки ловят стандартные ВПН-подключения, агрессивные типичные User-Agent и подозрительные айпи. Ошибка зеленых — идти в лоб с резидентным прокси. Нормальным обходом считается ротация софта на уровне каждого SMTP-транзакта: не берите SOCKS5 из одного региона, используйте приписку к полезной нагрузке через модификацию nonce-запросов. Лучшие не просто маскируются под мобильник Android, а под конкретную прошивку Samsung One UI 6 с отключенной телеметрией — это заставляют IMAP-логи думать, что идет «родное» чтение через SyncML. Отфильтровать реальный штурм от обычного пользовательского сценария сейчас практически невозможно даже опытным SOC-аналитикам: алгоритмы вас не отличают от лиц, которые проверяют ящик по 50 раз в час дома. Совет: встраивайте перед атакой «инкубационный период», когда ваш движок читает папки с интервалом, равным активностям жертвы — с точностью до минуты.

Финальный эксплойт: протоколы без журналов

Есть один карт-бланш, о котором не пишут в книгах по хакингу. Если цель использует веб-интерфейс FastMail, Tutanota или ProtonMail, забудьте о лобовых подходах — там энд-ту-энд шифрование. Взлом осуществляется исключительно через эксплуатацию дефектов в recovery-каналах (восстановление доступа по цепочке: привязка к резервному sms, к домену через забытые txt-записи DNS). Пароль там не нужен — достаточно перехватить reset-письмо на побочный, сбросив защиту. Это чистая инженерия, а не софт. Атаки на почту после 2024 года — это не про скрипты, а про понимание логики восстановления учетки и слабостей федерации (ошибки OIDC).

Добавлено: 12.05.2026