Hi leutz,

Heute habe ich mir mal wieder die Mühe gemacht um diese TUT zu schreiben , es soll demonstrieren wie simple die Passwörter von Standart Usern sind. Es wird ebenfalls demonstriert wie man sich verhalten sollte wenn man so ein Teil geknackt hat ! Es wird ebenfalls Demonstriert wie hinterhältig Hacker vorgehen können... ;-) *g* ! Dieses TUTORIAL soll ebenfalls demonstrieren wie unsicher im Prinzip diese Sicherheitsabfragen von GMX sind ;-). ICQ stellt da einen Dienst zur Verfügung mit dem man Leute im Internet finden kann , dieser Dienst lässt sich doch sehr leicht ausnutzten um damit großen Schaden anzurichten ;-)

1. Also benötigt wird im Prinzip nichtmal ICQ *GG* http://web.icq.com/whitepages/search_no_results/0,,,00.html hehe dieser link führt einen zu denn Whitepages von ICQ.com im Internet :-D
2. Wir brauchen gedult und Glück ! ;-)
3. Wir brauchen dumme USER wovon es leider genug gibt ;-)
4. Man könnte doch ICQ brauchen ... um mit denn leutz zu reden *G
5. Am besten eine Flaterate ;-)

Ich benutze jetzt mal als erstes Bsp. die ICQ Software. Also man öffnet die Whitepages von der ICQ Software (ADD INVITE USER) so nun stellt man folgendes ein Country = "Germany" , Gender = "Female" City = "Eure Stadt" so und nun lassen wir mal Suchen... Tada wir finden mehr User als er anzeigen kann is ok *g* ;-) . So nun sortieren wir denn ganzen scheiß nach E-Mail Adresse und los geht es , wir suchen uns nun mal eine E-Mail Adresse raus die *@gmx.de oder @gmx.net @gmx.li usw.. irgendwas nettes bei GMX so nun öffnen wir denn Browser und tippen fröhlich www.gmx.de ein und als BenutzerName nehmen wir die EMail Adresse als Passwort nehmen wir "Passwort" oder "Liebe" oder "Geld" oder "Glück" hehe somit hätten wir eins der häuftigsten PWD's schon ausprobiert , jetzt nicht lachen leutz ich habe es wirklich mal geschafft und bin mit Passwort : Passwort reingekommen .... somit habe ich das PWD nicht geändert und konnte fröhlich die Post mit Outlook mitlesen (Nachrichten auf dem Server lassen). Also dann kommt wieder dieser Schwule dialog natürlich verzögert damit man nicht so tool Bruteforce machen kann ;-). Ok da haben wir zum Beispiel denn Ideal fall *G* "Wie heiße ich ?" ;-) ja hallo liebe leute ihr habt ja euren Namen bei ICQ eingeben , denn kann ich ja so ablesen neben der Email (Ideal Fall) *G* ich brauche nichtmal mit der Person chatten und bin drine ;-)

So ich weiß nun denn Namen also Sicherheitsfrage antwort eintippen und Neues PWD juhu geklappt wir sind drine ;-) und nun könnten wir die Post lesen die da so rum liegt...

So das ganze geht auch übers Internet genauso *G* http://web.icq.com/whitepages/search_no_results/0,,,00.html so nun stellt man folgendes ein Country = "Germany" , Gender = "Female" City = "Eure Stadt" und sucht sich wieder die GMX Addies raus ;-) dann mache man weiter sie oben. *G*

PS: Das war der ideal Fall ;-)

Also darunter verstehe ich Daten , die ich ohne Kontakt Aufnahme mit dem Opfer von ICQ so ablesen kann. spriche Vor- und NachName , Alter , Wohnort wobei man dort mehrere Kombinationen ausprobieren muss *G* alles Klein , alles Groß , erster Buchstaben groß ;-) Der Ultra hammer war für mich echt einmal "Wie lautet meine ICQ UIN? " *MEGA ROFL* hehe da komme ich nie drauf ;-)

So dann gibt es auch noch andere Fälle die mir aufgefallen sind z.B. "Wie lautet mein Lieblingsfarbe ?" hehe hier empfehlt sich tatsächlich ein bißchen auszuprobieren mit Glück kommt man auch so rein ;-) . "rot , blau , grün , gelb , braun , schwarz , occa , pink , rosa etc.. wenn das nicht hilft *G* <-- lese man Persönliche Frage Stufe II *ggg*

So diesmal haben wir einen anderen Fall , das es sich um eine persönliche Frage handelt wie "Wen habe ich total gerne" oder "Was ist mein Lieblingsessen ?" so das sind persönliche Fragen der Stufe II will ich es mal nennen *ROFL* hehe die sind nicht mehr sofort in ICQ Whitepages abzulesen :-)

Das heißt Kontakt aufnehmen ! aber bevor wir das machen melden wir uns natürlich noch einen neuen Account bei ICQ an *G* mit keinerlei richtigen Daten über uns *G* am besten kommen wir noch aus der selben Stadt wie das Opfer , das gibt vertrauensbonuspunkte *gemein guck* ;-) Worauf sollte man achten ? z.B. darauf das man einen anderen NickName verwendet auf KEINEN Fall die E-Mail Adresse die man bei seinen "echten" Account hat , warum ? ja genau , sonst könnten die euch finden , also euren echten ICQ Account *G* , wenn die intelligenz denn soweit reichen sollte ;-).

So nun nehmen wir Kontakt auf labbern ein bißchen rum bla bla so 10 Min *G* , wenn wir das Gefühl haben das wir genug Vertrauen aufgebaut haben , dann kommen wir langsam zu dem entscheidenen Thema : "Was ist dein Lieblingsessen ? , also ich esse blablabla am liebsten" indem man gleich eine Antwort liefert fühlen sich viele dazu verpflichtet auch gleich zu antworten ohne zu fragen , laut meiner internen Analyse bestätigt *LOL*;-). Also kommt die Antwort "Schweinehirn" *iiiiiihhhh* *würg* ;-) probieren wir es aus , oh es geht nicht probieren wir "schweinehirn" kewl wir sind dirne (also haben ein neues PWD eingetragen) ;-) , so geht das nicht haben wir pech gehabt ;-) außer wir sind soooo dreist und fragen nachdem wir das Kennwort ausprobiert haben hehe "hattest du früher ein anderes Lieblingsessen ?" oder "Hast du noch andere Lieblingsessen , ich z.B habe noch bla blab la , als Lieblingsessen" *G* so aber eigentlich nennen die betroffenden Personen schon die richtige anwort die man hören wollte ;-).

Ok nun kommen die ganzen kleine Tipps n Tricks ;-) die das noch ein bißchen kewler machen. Also ich habe mir eine kleine Liste gemacht *gg* wie die PWD fragen so aussehen können ;-) und bei manchen die E-Mail Adresse hintergeschrieben wenn ich später mal lust hätte die zu knacken *LOL*. Da gibt es diese Fragen mit "Wie heißt du" , das "du" steht in denn allermeisten fällen für "ich". Also wir haben nun die vermutliche Antwort zu der Sicherheitsfrage *g*. So was machen wir nun , wir sind ja nicht dumm wir gehen zurück zum Anfang des Einloggens und probieren dort die vermeintliche Sicherheitsabfrageantwort ... und leutz ihr werdets nicht glauben *G* viele Leute benutzten tatsächlich 2x dasselbe Passwort hehe *LOL*. So nun könnte man tatsächlich diese Email bei Outlook eintragen smtp.gmx.net , pop3.gmx.net und dann lässt man die Nachrichten auf dem Server und alle freuen sich ;-) , man kann somit die E-Mails Anonym mitlesen.

Also wir sind im Account drine nun könnten wir erstmal fleißig kranke post lesen *G* ich sage nur mein verrücktestes Erlebnis war irgendeine bekanntschaft in Urugay , oder so *LOOL* , ja nun schauen wir mal was könnten wir denn noch machen genau unter Options uns die komplette anschrift ansehen *G* oder noch nette Sachen sind irgendwelche E-Mails beantworten hehhe was man da schreibt bleibt jedem selbst überlassen ;-) PS: ich war nicht immer nett , solche scheiße würde ich heute bestimmt nicht mehr machen *G* , so man schaut sich andere Registrieungsmails an .. leider steht da ja UserName und Passwort drine und schon können wir uns noch woanderes umschauen *G*. Oder hehe es gibt Mailinglisten und man schreibt mal eben eine "nette" Kettenmail *GGGG*

So nun der HAMMER !! manche scheinen wirklich nur 1 PWD zu verwenden *G* man nehme sein ICQ sage bestehende Mitgliedschaft und trage die UIN Nummer ein und nun das gestohlenende (gespoofte) Passwort. Oh mein Gooooootttttt mit sehr sehr viel Glück hat man nun einen neuen ICQ Account und kann mit vollkommen fremden reden die einen anlabern und theoretisch die fertig machen ;-)) das wäre total gemein und würde unter das Cracken fallen!

Auszug meiner kleinen Datenbank von möglichen Opfern für euch manche mit E-Mail Addy ;-)

Viel Spaß beim Probieren bei manchen habe ich sogar als kleinen Versuch für euch die E-Mail adresse hinterlassen ;-) frei nach dem Motto Try it out , man kann ja die Personen in ICQ auch anhand der E-Mail Adresse finden , wenn ihr noch fragen haben solltet an die einzelnen Personenen *GGGG*