Не буду взламывать сервер, не буду использовать sql-инъекции, не буду воровать cookies. Потому что большинство этих способов уже не работает – дыры в почтовых сервисах залатывают. Большинство статей по взлому почты безнадежно устарели. Буду использовать социальную инженерию.

Социальная инженерия - это метод несанкционированного доступа к информации или системам хранения информации без использования технических средств. Метод основан на использовании слабостей человеческого фактора и считается очень разрушительным. Злоумышленник получает информацию, например, путем сбора информации о служащих объекта атаки, с помощью обычного телефонного звонка или путем проникновения в организацию под видом ее служащего. Злоумышленник может позвонить работнику компании (под видом технической службы) и выведать пароль, сославшись на необходимость решения небольшой проблемы в компьютерной системе. Очень часто этот трюк проходит.

Пользователю приходит письмо от администрации mail.ru, в котором написано что мы переходим на новое оборудование и ваш ящик переносится на другой сервер. Поэтому вы должны подтвердить ваши данные. Чуть ниже размещена форма для ввода данных (имя, текущий пароль и т.д.). Далее пользователь заполняет форму, нажимает кнопку отправить и данные уходят на другой сервер, где сохраняются, а потом его перекидывает обратно на mail.ru. Все это проходит незаметно для пользователя. Единственная проблема чтобы пользователь поверил в правдивость письма. Для этого подделывается ящик отправителя administration@mail.ru и все фразы в тексте должны быть стандартными (вроде “благодарим Вас за понимание…”).

Подделываем письмо.