Calebe Marco Kouta

Pois então... Estava lendo isso aqui e vi que talvez pelo silêncio do amigo talvez sua senha fosse do tipo "123456" porém em contra partida existem vários métodos comprovados em 2017 e alguns até meio "extintos" para o ano de agora. A cada dia mais vejo alguém postar algo sobre ou descobrir vulnerabilidades todo dia.. Alias, umas aplicação web com toneladas de códigos geram toneladas de erros que só são exploradas pelos poucos que realmente sabem mas chega de papo vamos ao caso. Alguns ataques dos mais conhecidos hoje em dia... Ataque por furto de sessão HTTPS: como muitos achavam meio difícil existem hoje métodos e ferramentas que fazem esse tipo de coisa, pois o protocolo HTTPS não difere muito do HTTP exceto pela sua criptografia mas as maneiras de serem exploradas são as mesmas. Brute-force: pois é... mais uma vez vocês que achavam não ser possível é sim, e muito! Da pra se fazer o teste com até mais de 1000 tentativas que foi o máximo que precisei até hoje, mas exige um pequeno estudo do perfil da vítima antes. Engenharia Social: esse consiste em pegar o e-mail da pessoa e usar uma falha do Hotmail fazendo-se se passar pela vítima, talvez a falha mais conhecida e divulgada desde o seu tempo. Hoje sabemos que por "default" o Facebook esconde essas informações mas que ainda assim podem ser burláveis! Phishing: sim, você pode optar por criar uma página falsa e enviar para a vítima configurando um server na sua máquina e mandando como se o fosse uma página real do Facebook. A diferença é que ela captura suas senhas digitadas e manda diretamente para o servidor do atacante... Ataque man-in-the-middle, man-in-the-middle-browser: é um tipo de interceptação feita ou pela sua rede (onde o atacante deverá estar em rede interna) ou via browser (navegador). Tipo de interceptação que os dados trocados são capturados e trocados sem que você perceba. Sniffing: Técnica antiga base do ataque anterior onde dados na rede como login podem ser fácilmente capturados sem o uso do protocolo HTTPS. Pois ainda assim tem gente que consegue capturar eles :V Cookies: Também tem os cookies, onde você consegue capturar e alterar conseguindo o login e enviando novamente ao servidor como se você fosse a vítima.. Bom, enfim, deu pra perceber que as maneiras são muitas e eu passaria o resto da noite escrevendo aqui... Desde o tempo de vocês até os dias de hoje ocorrem essa lenda de ser difícil. Bom, talvez seja mesmo, mas técnica é o que não falta, tanto que muitas foram extintas e cada dia aparece uma nova, sem contar que tem mais desses métodos "básicos" que não citei aqui. Possívelmente foi de alguma dessas formas, que ainda assim exigiria certo nível de conhecimento do atacante... Agora se me der licença vou me retirar mas que fique claro que não foi difícil dele conseguir isso, talvez ele soubesse mesmo como fazia, ou voce apenas tinha uma senha besta demais... E que sane a dúvida de todos que vierem ler esse tópico. Agradeço a oportunidade!!