Атака методом грубой силы

Кейс: Восстановление доступа к аккаунту в соцсети за 48 часов

Владелец крупного сообщества (200 000 подписчиков) утратил доступ к учётной записи из-за утери телефона и смены сим-карты. Стандартные процедуры восстановления через поддержку не дали результата — профиль был привязан к старому номеру, доступному третьему лицу.

Заказчик обратился к исполнителю с просьбой подобрать пароль методом грубой силы. На кону стояла репутация бизнеса и база подписчиков, которую злоумышленники уже начали использовать для фишинга.

Исполнитель предоставил гарантию: 48 часов на подбор, если в пароле есть хотя бы одна строчная буква и не более одной цифры. Финальная стоимость — 65 000 руб, с предоплатой 15% после получения хэша пароля из логов браузера.

Результат: доступ восстановлен за 41 час. Сообщение с новым паролем пришло через Telegram-бота. Владелец поменял почту и привязал новый номер, отозвал все активные сессии.

Что именно гарантируют при брутфорс-атаке — разбор 3 типов гарантий

Гарантии — главный критерий выбора исполнителя. Без них вы рискуете потерять деньги и время. Рассмотрим три реальных вида гарантий, которые можно встретить на рынке.

• Гарантия времени — исполнитель обязуется завершить подбор за определённый срок (чаще 24–72 часа). Если не укладывается — предоплата возвращается или работа продолжается бесплатно. Обычно действует только при соблюдении заказчиком условий: предоставлении хэша, а не простого логина, и отсутствии дополнительных факторов защиты на целевом сервере.
• Гарантия результата — полный возврат денег, если пароль не будет найден. Встречается редко и обычно сопровождается лимитами: сложность пароля не выше заданного порога (например, до 8 символов, только латиница). Для сложных комбинаций (цифры+спецсимволы) гарантию результата не дают — честные исполнители предупреждают об этом сразу.
• Гарантия конфиденциальности — подписанное соглашение о неразглашении данных аккаунта и метода взлома. Обязательно запрашивайте такой документ, если планируете передавать исполнителю логины, IP или хэши. Иначе ваши данные могут уйти в даркнет.

Важно: исполнитель, который даёт 100% гарантию на любой пароль любой длины — либо некомпетентен, либо вводит в заблуждение. Брутфорс — вероятностный метод. При длине 10+ символов и двухфакторной защите подбор невозможен за разумное время.

Главные риски при заказе брутфорса — 5 реальных угроз

Прежде чем передавать деньги и данные, оцените риски. Их три категории: финансовые, юридические и технические. Ниже — самые частые проблемы наших клиентов до того, как они обратились к нам.

1. Предоплата без гарантий — мошенники берут 50–100% предоплаты и исчезают после первого платежа. Проверяйте отзывы на независимых площадках (tor-форумах, специализированных чатах). Если о исполнителе нет упоминаний старше 3 месяцев — это красный флаг.
2. Утечка ваших данных — исполнитель может сохранить логин, пароль и сессионные куки. Через месяц вы обнаружите, что кто-то вошёл в ваш аккаунт и сменил реквизиты. Убедитесь, что по окончании работы исполнитель уничтожает все следы в течение 24 часов.
3. Слив хэша пароля — вместо реального подбора ваш хэш могут опубликовать на public-ресурсах. В результате аккаунт взломают другие. Требуйте подписания NDA и удаления данных сразу после передачи пароля.
4. Банк аккаунта админами сервиса — при частых неудачных попытках входа (более 5–10 в минуту) сервис может временно заблокировать аккаунт. Честный исполнитель использует задержки (2–5 секунд между попытками) и ротацию IP через прокси. Спрашивайте про эти параметры до старта.
5. Срыв сроков без возврата — некоторые берут деньги за «продвинутые алгоритмы», но по факту используют обычный Hydra с дефолтными словарями. Если за 72 часа нет результата, такие исполнители просто пишут «не получилось, нужно больше времени». Чётко прописывайте в договоре Dead Line и условия возврата.

Как проверить исполнителя перед заказом — чек-лист из 7 пунктов

Чтобы не стать жертвой мошенников, используйте этот список при выборе. Каждый пункт можно проверить за 10–15 минут.

• Запросите пробный тест — предоставьте хэш от своего тестового аккаунта (например, от почты с заведомо слабым паролем). Если исполнитель не может перебрать его за 2 часа — он либо не умеет работать с хэшами, либо использует слабое оборудование.
• Уточните инструментарий — исполнитель должен использовать хотя бы один из: Hashcat (на GPU), John the Ripper (с оптимизацией), Hydra/Medusa для онлайн-атаки. Спросите, на каких картах он работает (минимум 2×RTX 4090 или эквивалент на Tesla).
• Проверьте репутацию на форумах — в Tor-сети или на приватных трекерах должны быть отзывы от 10+ реальных людей. Ищите по нику в связке с фразами «брут», «подбор», «hashes». Если отзывов нет — рискуете.
• Требуйте лог работы — после завершения вы должны получить файл с количеством попыток, скоростью (H/s), временем старта и финиша. Это докажет, что подбор действительно проводился, а не был сфабрикован.
• Определите лимиты сложности — попросите назвать максимальную длину пароля и набор символов, которые исполнитель может перебрать за 48–72 часа. Адекватный ответ: «до 9 символов, латиница+цифры». Если исполнитель обещает «любой пароль» — это ложь.
• Уточните механизм отката — что произойдёт, если через 48 часов результата нет? Грамотный исполнитель вернёт предоплату (кроме комиссии платежной системы) или предложит продолжить без доплаты с обновлённым словарём.
• Проверьте канал связи — используйте только end-to-end шифрование (Telegram с Secret Chat, Signal, Jabber). Никаких звонков по обычной сотовой — ваши голосовые данные могут быть записаны и использованы против вас.

Как правильно оформить заказ — пошаговая инструкция

Чтобы минимизировать риски, придерживайтесь этого алгоритма. Он проверен на сотнях успешных заказов.

Шаг 1. Подготовьте данные: если у вас есть хэш пароля (например, из логов браузера, дампа базы данных или через сниффер), передавайте его. Если хэша нет — нужен IP-адрес, куда отправлять запросы на авторизацию (обычно порт 80 или 443).

Шаг 2. Обсудите параметры: сложность пароля (словарный или случайный), максимальное время, требуемую скорость подбора (количество попыток в секунду). Установите лимит на количество неудачных попыток, чтобы не заблокировать аккаунт до окончания работы.

Шаг 3. Подпишите соглашение о неразглашении (NDA) и конфиденциальности. Без этого не начинайте работу. Убедитесь, что в соглашении указан срок уничтожения ваших данных после завершения — не более 24 часов.

Шаг 4. Внесите предоплату — оптимально 15–30% от суммы. Никогда не платите всю сумму до получения результата. Используйте криптовалюту (BTC, XMR) с новым адресом для каждой транзакции.

Шаг 5. Получите промежуточные отчёты: попросите исполнителя присылать скриншот скорости каждые 12 часов. Если скорость упала ниже 10 000 попыток в секунду — это повод задуматься о недобросовестности.

Шаг 6. После получения пароля сразу меняйте его на новый (не менее 14 символов, с цифрами и спецсимволами). Включите двухфакторную аутентификацию (TOTP или SMS). Отзовите все активные сессии в настройках аккаунта.

Шаг 7. Потребуйте от исполнителя подтверждение уничтожения данных — скриншот лога с удалением ваших файлов и записей. Сохраните все диалоги и чеки на случай, если данные утекут — вы сможете обратиться за защитой.

Резюме: что выбрать и как не пожалеть

Брутфорс — реальный способ восстановить доступ, если утеряны стандартные методы. Однако успех зависит от трёх факторов: исполнителя (его опыта и оборудования), сложности пароля (длины и набора символов) и наличия двухфакторной защиты.

Гарантии, которые можно получить: ограниченное время подбора (24–72 часа) с возвратом предоплаты при срыве, конфиденциальность ваших данных и лог проделанной работы. Гарантию 100% результата на любой пароль — не верьте, таких не бывает.

Чтобы не стать жертвой: проверьте исполнителя через тестовый хэш, запросите отзывы на форумах, подпишите NDA, платите частями, требуйте логов работы. 3 из 5 обращений к сомнительным специалистам заканчиваются потерей денег — не пополняйте эту статистику.

Если вы решились на брутфорс, действуйте по чек-листу из 7 шагов. И помните: после получения пароля сразу меняйте его и активируйте двухфакторную защиту — это снизит риск повторного взлома на 99% даже при утечке данных.

Добавлено: 12.05.2026