СБРУТ

Но на самом деле, как я уже писал, рассылка спама это для скрипткиди. Ломают и брутят аккаунты для других целей. Почты компаний брутят для того чтобы по контакт листу компании передать зараженный файл. При этом, с применением методов стеганографии и обфускации достаточно передать фотографию с подписью - найди себя на фото и пользователь уверенный в том что письмо отправлено настоящим контактом кликнет его. На этом в безопасности машины можно ставить жирную точку. Но это очень опасные вещи, поэтому о них говорить не будем. Поговорим о простых пользователях. Раньше сбрут использовали для получения доступа к аккаунтам социальных сетей, но то золотое время ушло (хотя еще много где применяется и массово юзается). Сейчас разные возрастные группы используют их под разные свои цели и именно поэтому, бывает так что вроде бы "выжатая" база на удивление приносит достаточное количество необходимых вам данных. Это может быть связано с тем что хакер или групировка получила что ей нужно и выбросила БД в открытый доступ (вот тут конкретное западло, дальше опишу). Итак, основные цели получения доступа к аккаунтам (напишу базовые, дальше додумаете сами если будет необходимость)

Опытные товарищи ломают для получения финансовой информации. Например, после получения доступа, при помощи библиотеки MimeKit распашиваются все адреса входящих сообщений и проверяются по заранее созданному словарю. И хотя много где уже требуется двухфакторная авторизация, но емае, безголовых полно и этим пользуются хакеры. Это может быть все что угодно, регистрация на криптобиржах, инвестиционных проектов, банки и прочее. Как только скрипт получает соответствие по словарю, он тут же проводит вход, получает доступ к личному кабинету и если нет дополнительных методов защит - уводит все что есть. За 2022 год при помощи взлома почтовых аккаунтов было украдено 17 миллиардов долларов. Это у частных лиц.

Другие, в основном молодежь скрипткиди - ломают ради стриминговых сервисов (угнать подписоту, прорекламить свой канал) ради игровых сервисов, например Стим (угнать игровые предметы, которые неплохо продаются за весьма неплохие суммы реальных денег), различных сервисов, тот же Нетфликс или Спотифай чтобы подлючить свой акаунт к подписке. Ну и так далее. Продолжать можно долго -Редит, Дискорд и.т.д. Другие ищут регистрации на форумах и различных площадках, чтобы при помощи спам рассылки создать сообщения по какой либо товарке. Если аккаунт не свежерег - он не модерируется и порой успевает собрать лиды. Кстати такой же метод в последнее время используют для набива посещений на сайты или накрутку просмотров на Ютубе. Вот прям взрывной рост наблюдается (надо подумать над этим)

Еще из вариантов - это регистрация на ресурсах при помощи зарубежных адресов (сообщения приходят, этого достаточно). Кто работает с антиспамом - знает как сервисы проверяют по почтовому адресу "валидность" пользователя. Это я написал только навскидку что вспомнил.

Теперь про "сосну"

Многие, "охотясь" за свежими сливами, создают демонов, которые периодически мониторят различные сайты по сливам, дампам и.т.д. Как только вылетает свежак, он автоматически скачивается и отправляется на чек. И бывают такие случаи - что там прямо всего полно и крипты и сервисов и всего остального. И возникает вопрос - а к чему такая щедрость? (кстати на сливах такие базы подписаны - валид, супервалид, не чеканная). А тут все просто. Пользователь или группа пользователей профессионально "сломали" что то "вкусное". Такие ребята работают четко и очень хороши в анонимности. Но если ты "ломаешь" что то серьезное то тебя будут искать. Поэтому в аккаунтах остается наживка (снимается не все), добавляются также акки с чем нибудь полезным и доступным, затем выкидываются в открытый доступ. А 99% скрипткиди будут юзать чек на домашних машинах "светя" себя как маяк. И если в базе было что то серьезное - то в первую очередь выйдут на того кто не соблюдал техники.

Поэтому тут простой рассчет на "дурачка" который примет на себя удар. Повезет если придут органы, а могут и другие люди.

И вот теперь представьте, всего одна база, к примеру на 1 000 000 брута, из которых пусть будет 1% валида - сколько всего разного могут наделать люди у которых руки растут правильно и отлично развито мышление.

Старые почтовые аккаунты

Рассмотреть применение сбрученных аккаунтов все таки придется полностью, иначе теряется понимание, для чего будет создавать ПО по проверке аккаунтов.

Мы остановились на рассылках и как я уже написал ранее -это обычно "убитые" аккаунты, по собственному опыту скажу что можно использовать примерно 2-3% от прочека, редко попадается больше, чаще меньше.

Но повторюсь - это для скрипткиди. Для наших целей подойдут любые аккаунты, желательно не очень старые, главное с доступом к самой панели писем (напоминаю - рассматриваю тему рассылок, но не самоцель) . Итак, допустим вы упоротый спамер, который рекламирует все подряд и которому постоянно нужны акки. Вариант выезжать на бруте - даже не вариант. Какие варианты чтобы устраивать масс рассылку? Их три, но в контексте данной статьи - рассмотрим один (остальные потом, там другой подход и кодовая база).

Самый оптимальный вариант для рассылок при которых вы владеете всей информацией как о ходе рассылок, так и доставляемости, открыванию и абузам - рассылки с собственых доменов. Зарегал с полсотни, закинул на 5 акаунтов бизнес почт того же Mail.Ru (по 10 на каждый аккаунт), подцепил постмастер, на каждый домен создал по 4495 почтовых ящиков (на домен разрешают цеплять 5000 ящиков, но нам нужны два - rua/ruf для DMARC, один под Postmaster, один админский и один abuse@ваш_домен) и ...... И ничего. Отправить со свежерега Вам не дадут много, домен сразу же попадет во все 60 спамлистов. Домену необходимо нагулять историю. Причем если это делать "нормальным" способом, то после прогрева вы еще подумаете - стоит ли дичь слать.

Другие пытаются решить это рассылкой на свои же домены, но в майле не идиоты сидят и никак не реагируют на такой "прогрев", так что можно за неделю нагнать "репу" (по дням 200/500/1000/2000/5000/10000/25000) - но вот незадача - это будет рассылка внутри сервиса, через одни и те же MX сервера, и как вы только пойдете вовне - вас сразу приземлят.

И вот тут в игру вступают сбрученные и "убитые" аккаунты. Пусть даже они завалены спамом, блокированы для отправок и.т.д. Важно чтобы они принимали письма с Ваших доменов. Таким образом имея список на сотню тысяч адресов по всему миру вы можете не только ускорить "прогрев" но и получить огромный траст. Поясняю Первое - Вы рассылаете письма по разным MX следовательно траст "нагуливается" по всем сервисам абуз. Второе - если акк заброшен или не посещается - никто не отправит жалобу Третье - если акк заблочен на отправку писем, то это не означает что у него не работает автоответ. При наличии доступа к аккаунта, не так уж сложно внести в список правил почты автоответ на письма с ваших доменов. Абуз сервисы будут видить это и ставить вам "лайк" в историю Четвертое - если какому то сервису не понравится ваше письмо и он приземлит его в спам, вы при проверке можете вытащить его со спама и отметить -НЕ СПАМ (библиотеки mail\mime kit это решают на раз-два). Исходя из этого, видно, что сбрученные аккаунты помогают максимально эффективно и быстро нагнать траст на почтовый свежерег, благодаря которому домен протянет дольше, а в пачке из 50 доменов такие живут месяцами (проверено). Таким образом не удивляетесь если какой то олд ищет старые сбрученные микс базы, он просто умеет ими пользоваться. А если повезет "утащить" сбрученные "корпоративы" то через ошибка настройки spf записи в почте можно через 25 порт домена "корпоратива" делать рассылки за счет его траста (об этом позже). Вообщем, по поводу рассылок закрыли вопрос, дальше рассмотрим другие варианты применения сбрута. Peace