Главная >> Почтовая рассылка >> Архив рассылки >> Выпуски 2008 года >> Выпуск 80 (26 марта 2008 г.)

Выпуск 80 (26 марта 2008 г.)

НОВОСТИ ДЛЯ ЗАРАБАТЫВАЮЩИХ В ИНТЕРНЕТЕ

Новости сайта "Earninguide.biz - ваш гид по заработку в сети"

Здравствуйте, дорогие подписчики! В сегодняшнем выпуске:

1. Как много зависит от e-mail! Как выбирать почтовую службу для работы

2. Акция от FreeWM в честь трехлетия сайта: оплата за промоут

1. Чем грозит потеря контроля над почтовым ящиком и как его восстановить

В этом выпуске, дорогие подписчики, я поделюсь с вами своим опытом возвращения почтовых ящиков, которые у меня угнали несколько недель назад, и выводами, которые я извлекла из этой ситуации.

Эта тема не настолько далека от вопросов заработка в сети, как могут подумать некоторые. Вдумайтесь только, как многое зависит от почтовых ящиков. В любом сервисе, котором вы регистрируетесь, вы указываете свой электронный адрес. На e-mail вам приходят важные уведомления от администраций сервисов, ссылки для подтверждения изменений, которые вы делаете в своей учетной записи. На e-mail вы получаете коды доступа платежных систем и спонсоров. А в таких платежных системах, как Rupay, электронный адрес является вашим постоянным и неизменяемым идентификатором - так что если вы его потеряете...

Кстати, я обращалась в техподдержку Rupay с вопросом, что происходит, если клиент теряет доступ к e-mail, с которым регистрировался в системе. Мне сообщили, что необходимо создать новый аккаунт с другим e-mail и сделать запрос на перенос аттестата и денег с баланса старого счета на новый. Смена e-mail'a в текущем аккаунте не производится.

Возможно, вы спросите, каким образом у меня украли пароли. К сожалению, выяснить это не представляется возможным. Тщательная проверка антивирусами показала, что система "чиста". Есть и другие моменты, которые так и остались непроясненными, но об этом в конце статьи.

Итак, мне предстояло вернуть два ящика: на mail.ru и на yandex.ru. Причем если ящик на yandex.ru я могла с чистым сердцем забросить -- он у меня предназначался, в основном, для спама, то ящик на mail.ru мне необходимо было восстановить любой ценой. Да, это величайшая глупость - привязывать какие бы то ни было важные сервисы к ящику на mail.ru, и я даже об этом знала раньше, потому что о дырах в безопасности этого сервиса не писал только ленивый. Однако нужно было пройти самой через восстановление доступа к своему ящику, чтобы в полной мере оценить все прелести системы безопасности и отзывчивости техподдержки mail.ru...

Я не исключаю, что злоумышленник изначально взломал только один из этих ящиков. В свойствах каждого из этих e-mail'ов второй был указан как альтернативный, так что, украв один, взломщик легко мог получить доступ к другому, запросив на украденный ящик пароль с другого. Запрашивание утерянного пароля от почтового ящика на другой e-mail - штука полезная, но, как видите, палка о двух концах.

Какие выводы? Можно не указывать альтернативный e-mail, рассчитывая на другие способы восстановления пароля, например, ответ на контрольный вопрос. Но это очень рискованный шаг в случае российских почтовых сервисов - далее вы поймете, почему.

Итак, мне предоставилась возможность оценить безопасность и удобство восстановления доступа к своему ящику двух широко распространенных российских почтовых сервисов. Начну с yandex.ru

Порядок восстановления пароля к почтовому ящику на Яндексе описан здесь. Вкратце, ключевыми факторами являются а) дополнительный почтовый ящик, который вы указываете при регистрации, б) ответ на контрольный вопрос, в) номер мобильного телефона, который вы можете добавить в личных данных. Процедура восстановления пароля зависит от того, что именно из трех перечисленных пунктов имеется в наличии.

1. Если вы указали в личных данных номер своего мобильного телефона, то вы имеете возможность восстановить пароль, запросив SMS-сообщение с кодом подтверждения. Введя его в форму, вы сможете сменить пароль.

2. Если вы не указали номер мобильного, но создали контрольный вопрос и ответ к нему, то вам предложат сначала ответить на контрольный вопрос, а потом - сообщить номер своего мобильного телефона. Дальнейшая последовательность действий аналогична пункту 1. Кстати, в данном случае вы можете запросить также восстановление "вручную", не через SMS, а с отправкой запроса техподдержке Яндекса. В этом случае служба оставляет за собой право рассматривать вашу просьбу до 7 рабочих дней и - по своему усмотрению - отказать вам в восстановлении доступа к ящику.

3. Если в вашем паспорте Яндекса нет ни ответа на контрольный вопрос, ни подтвержденного номера мобильного телефона, вам просто отправят письмо со специальной ссылкой на альтернативный почтовый ящик. Пройдя по ссылке, вы окажетесь на странице, где вам будет предложено завести новый пароль.

Достоинства и недостатки. Из достоинств такого метода восстановления пароля могу назвать удобство. Больше, пожалуй, ничего придумать не смогу.
А теперь о недостатках. Мной в аккаунте не был указан мобильный, но, судя по форме, которую мне предложили, мой аккаунт соответствовал пункту 1. Это значит, что взломщик добавил в аккаунте номер своего мобильного телефона. Поэтому я запросила вариант "ручного" восстановления аккаунта - без особой надежды, впрочем. И оказалась совершенно права: ящик мне не восстановили. Правда, нужно отдать должное службе поддержки Яндекса: на мою просьбу заблокировать ящик на время рассмотрения вопроса они сделали это незамедлительно. Так он заблокированным и остался...
Выводы. Если взломщик заберется в ваш аккаунт на Яндексе, он свободно может сделать так, что доступ к нему вы уже не получите: в аккаунте свободно можно добавлять и удалять номера мобильных телефонов и менять прочие настройки. Критических неизменяемых настроек в аккаунте Яндекса нет. Если же вы указываете в личных данных номер своего телефона, вы тем самым не только не повышаете безопасность своего аккаунта, но и даете в руки злоумышленнику дополнительные данные о своей персоне.

Сага об украденном пароле в Mail.ru

В mail.ru забытый или украденный пароль можно восстановить двумя способами: правильно указав дополнительный электронный адрес, который вы сообщили при регистрации, или ответив на контрольный вопрос. Схема предельно простая, только вот злоумышленник, получив доступ в ваш аккаунт, может тут же сменить и то, и другое (а если он не дурак, он сделает это первым делом, вместе со сменой пароля), и тогда вам придется заполнить большую форму восстановления пароля, которая выглядит следующим образом.

Я заполняла эту форму не один раз, и могу свидетельствовать, что ответ от поддержки mail.ru приходит спустя несколько часов, а то и на следующий день. То есть обрабатывает результаты формы не робот, как утверждают некоторые пострадавшие.

Еще хочу обратить ваше внимание на следующий пункт: в этой форме нужно указывать не текущие данные, а те, которые вы ввели при регистрации. Если вы их не помните, то с наибольшей вероятностью вы, вместо восстановления пароля, получите от службы mail.ru следующий ответ:

 

Здравствуйте.

В вашем запросе на пароль к почтовому ящику ***** Вы сообщили следующие данные:
Имя: ***
Фамилия: ***
Cекретный вопрос: ***
Ответ на секретный вопрос: ***
Пол: ***
Возраст: ***
Регион: ***
Город: ***
Дата регистрации: ***
Комментарии: ***

Для выдачи пароля этих данных недостаточно.
По предоставленным Вами данным мы не можем выслать Вам пароль.
Возможно, в Вашем запросе неверно указано имя почтового ящика или домен (mail.ru, inbox.ru, list.ru или bk.ru)
Если данный п/я был зарегистрирован не Вами лично - обратитесь за этой информацией к регистрировавшему его лицу.
Для восстановления пароля, укажите, пожалуйста, всю информацию, введённую при регистрации:
- имя п/я;
- секретный вопрос;
- ответ на него;
- город;
- ФИО.
Пожалуйста, попробуйте вспомнить:
- приблизительную дату регистрации данного п/я;
- какой электронный адрес был указан при его регистрации;
- на какой адрес стоит в нем пересылка (если таковая имеется);
- какие адреса могут находиться в адресной книге в этом п/я;
- какие папки кроме стандартных созданы в нем;
- с каких IP-адресов обычно осуществлялись заходы в этот п/я;
- приблизительную комбинацию символов в пароле;
- любую другую информацию, подтверждающую Ваши права на этот п/я.

Эту информацию введите в форме для восстановления пароля
http://mail.ru/cgi-bin/passremind?action=sendrequest&Username=***&Domain=mail.ru

С уважением,
Служба поддержки пользователей
почтовой системы Mail.ru

 

В моем случае ящик был зарегистрирован где-то в начале века, и, естественно, я уже забыла и секретный вопрос, который выбрала тогда (а после его неоднократно меняла), и дату регистрации, и уж тем более свой самый первый пароль! Что касательно других полей, то, как я выяснила потом, неверно указала при восстановлении год рождения (указала не реальный, а год регистрации в сервисе). Этого оказалось достаточно, чтобы сотрудники сервиса сочли, что ящик мне не принадлежит, и игнорировали все последующие слезные мольбы задать другие вопросы для установления личности владельца ящика. Посудите сами, кстати: кто, кроме реального владельца сайта, какой хакер стал бы вести себя так настойчиво? Правильно, никакой, потому что он "завалился" бы на любом вопросе, относящемся ко временам регистрации ящика.

Вы, наверно, так же, как и я, попытаетесь вспомнить всевозможные подробности о вашей учетной записи, возможно, будете в состоянии сообщить IP, с которого регистрировались, предоставить журнал последних подключений к сервису и IP, с которых вы выходили, а также "любую другую информацию, подтверждающую Ваши права на этот п/я" - все это будет бесполезно, говорю я вам. Ответа от поддержки вы уже не получите.

В отличие от yandex.ru, работники mail.ru игнорировали также мою просьбу о блокировке ящика на время рассмотрения вопроса о его восстановлении (кстати, оговоренной службой срок ответа - 3 рабочих дня, но опыт показал, что если вам не ответили в течение суток, то ответа вы, скорее всего, уже не дождетесь).

Опыт товарищей по несчастью. Естественно, я перерыла весь рунет в поисках жалоб людей, которые попали в такую же ситуацию, как я, и решения проблемы. Докладываю вам о результатах поиска.
1. Абсолютно все люди, оказавшиеся в такой ситуации (взлом пароля с последующей сменой секретного вопроса), писали, что поддержка игнорирует их обращения и никаким способом добиться ответа от нее не удается.
2. Ни одного путного совета пострадавшим я на просторах сети не встретила - один БРЕД!!! Наглядный пример жалоб на такие проблемы и советов посторонних смотрите, например, здесь.
3. Наиболее часто встречающаяся статья, которую растиражировали по всему рунету - о взломе ящика на mail.ru с помощью личных данных, которые "светятся" в Mail.ru Агент. Хочу сразу предупредить, что эти данные устарели, и указанная дырка закрыта (мы проверяли): теперь ваши личные данные, как-то: ФИО - не высвечиваются по умолчанию в Мейл.ру.Агенте, и с этой стороны вам ничего не грозит.

Вот такая сложилась патовая ситуация. Несколько дней бомбардировки всех возможных форм и электронных адресов различных инстанций mail.ru ничего не дали. Девицы на телефоне, указанном на сайте, твердили, что не имеют никаких прямых контактов в техподдержкой (вранье, разумеется).

Помог случай. Во время очередного звонка по этому телефону девица сначала пыталась нас уверить, что поддержка работает, как часы, и ни одно письмо без ответа не оставляет (ха!), но в итоге сообщила нам один адрес начальства (которого нет на сайте). Жалоба, отправленная на этот адрес, возымела мгновенное действие: уже не следующий день пришел ответ с предложением ответить на некоторые дополнительные вопросы. Переписка продолжалась два дня, но в итоге ящик мне все же восстановили.

Выводы о безопасности почтового ящика на Mail.ru. Безопасность - никакая, собственно говоря. Злоумышленник, которому удастся войти в вашу учетную запись, может сменить абсолютно любые данные. И в этом случае вам удастся восстановить доступ к ящику только при условии, что вы помните всё (или почти всё), что указали при регистрации, поскольку система защиты аккаунтов на Mail.ru построена на привязке к первоначальным данным. Логика в этом, определенно есть, но а) чем больше лет вашему ящику, тем меньше шансов, что вы помните эти данные - ведь вряд ли вы их где-то записываете, правда? б) ни один юзер не знает этой тонкости во время регистрации, иначе, думаю, проблемы с восстановлением пароля к ящику не было бы вообще ни у кого.

И для чего отечественным службам нужно было придумывать все эти "уникальные разработки" - сложности с SMS-ками, первоначальными данными, если есть один очень простой незамысловатый способ, который успешно используется такими службами, как ICQ или gmail.com: использование одного-единственного параметра, который можно добавить в учетной записи только один раз и более никогда невозможно изменить! В упомянутых выше сервисах это - контрольный вопрос и ответ на него. Если вы не будете иметь глупость выбрать вопрос, ответ на который вычисляется методами социального инжиниринга, вы можете не беспокоиться, что потеряете контроль над своим аккаунтом: в случае взлома вы сможете восстановить этот контроль менее, чем за минуту - это тоже проверено на собственном опыте!

Таким образом, дорогие друзья, выбирая бесплатную почтовую службу, которую собираетесь использовать для важной корреспонденции, постарайтесь уточнить, насколько хорошо в ней продумана система безопасности и насколько быстро вы в случае взлома сможете восстановить доступ к своему аккаунту. Лучше всего смоделировать утерю пароля самому и посмотреть, как все это происходит. Возможно, мой опыт убедит вас, что это вовсе не излишество, а необходимый шаг при выборе емейла для дальнейшей работы.

Еще удобнее использовать для секьюрных целей ящик на вашем сайте на платном хостинге (если он у вас есть, конечно). Восстановить украденный пароль к своему ящику проще простого через хостинговую панель. Но в этом случае хочу напомнить лишний раз, что надо с большой осторожностью подходить к выбору хостера - бывают ведь такие, у которых сервера лежат неделями и месяцами...

P.S. После того, как мне удалось зайти в восстановленный ящик, в выскочившем попапе я смогла посмотреть данные о последних заходах в свой аккаунт. Из этого лога явствовало, что в ящик не заходили со сторонних IP Но это само по себе ничего не значит, так как провайдер, услугами которого я пользуюсь, обеспечивает чуть ли не треть российского трафа, и взломщик, возможно, просто не стал себя утруждать заходами через прокси. Далее, через POP-протокол в ящик заходили в ночь взлома (и более уже не заглядывали), а вот через web-интерфейс - за неделю до взлома, что вообще не соответствует истине: во-первых, я сама была на сайте за день до взлома, во-вторых, верится с трудом, что хакер выжидал со сменой пароля целую неделю. Может, он не заходил в аккаунт на сайте? Но как же он тогда мог изменить личные данные? А может, вообще никакого хакера не было, а были технические проблемы на сервере mail.ru? Нет, второе исключено: ведь одновременно был взломан ящик на Яндексе, и в отличие от этого e-mail'а, тот активно использовали для попыток взлома других моих аккаунтов, в частности, на форумах. Так что это был не робот и не барабашка. Вопросы о способе взлома так и остаются без ответа...

1. Акция от FreeWM - 10 копеек за переход по реферальной ссылке.

Спонсору FreeWM исполняется 3 года. В честь этого события 24 марта объявлена акция: вплоть до 24 апреля пользователям будут оплачивать от 0,01 до 0,1 WMR за переход по реферальной ссылке. Но оплачиваются только переходы, у которых известен реферрер, то есть система определит, с какого именно сайта сделан переход. Если у вас нет своего сайта, где вы можете разместить рекламные ссылки FreeWM, вы можете рекламировать севис на форумах, а также в системах активной рекламы (не забывайте только отключить скрытие HTTP_REFERER), но в последнем случае клики будут оплачены по минимальной ставке. Что касается требования к уникальности переходов, то оно простое: оплачивается один переход с одного IP в сутки.

Однако уже не следующий день администрация сервиса, ошеломленная бурной активностью промоутеров, сообщила, что вскоре внесет коррективы в правила акции, ограничивающие засчитываемость кликов...

Справка. FreeWM - спонсор, предлагающий мультизаработок: оплату за клики, чтение писем, а также раздающий ежечасные бонусы. Помимо этого, есть возможность бесплатно рекламировать свой сайт в ротаторе FreeWM, а также ежедневно проводятся раздачи ICQ номеров. Заработанная денежка выводится моментально на WMZ- или WMR-кошелек Webmoney. Минимума для вывода нет. Если вы еще не с нами - присоединяйтесь!

Успехов вам в заработках!

aprika

Earninguide.biz - Все о заработке в интернете

Есть вопросы? Пишите!

Или посетите мой форум.

Самые интересные темы этого месяца на форуме:

Ваши комментарии:

Ваше имя (ник):
Комментарий:
Введите результат вычисления
     

 

Все выпуски

 
EG-портал. Заработок в интернете для каждого
Copyright © 2004-2024 aprika. Перепечатка материалов с данного сайта разрешается только с указанием прямой активной ссылки на источник.
Политика конфиденциальности | Написать мне | RSS | Реклама на сайте