Meet cute by nebylo úplně přesné.Foto: GREG WOOD / AFP / Getty Images Pokud se vám oči zalesknou, když v technických zprávách o narušení bezpečnosti uvidíte výraz útok man-in-the-middle [MiTM], může vám být odpuštěno. Zní to opravdu abstraktně. Když jsme psali o, snažili jsme se, aby to bylo trochu více vzrušující první velká porno stránka, která je zabezpečena pomocí TLS , ale stále je těžké si to představit. Výzkumník bezpečnosti a zakladatel startupu, Anthony Zboralski z Tvor , napsal příspěvek na médiu týmu Hacker Emergency Response Team blog, kde uvádí tyto podvody v pojmech, kterým každý rozumí: catfishing.
Píšu to proto, abych vám pomohl představit si, jak počítačová kriminalita funguje a proč je důležité chránit soukromí, ale pojďme to nejprve trochu konkrétněji. Pokud se můžete vrhnout na schůzku dvou lidí s plánováním schůzek, aniž by o tom věděli, můžete vytáhnout žerty. Řekněme například, že používáte následující techniku, aby Shawn a Jennifer skrze vás nevědomky komunikovali a stanovili datum pro pátek v 8. Pak byste mohli naplánovat další tři ženy, aby se se Shawnem setkaly ve stejnou dobu a na stejném místě, aniž by Shawn nebo Jennifer věděli, o co jde. S touto metodou si potenciální milenci neuvědomují, že někdo zná jejich plány, ale vy ano.
Takto Zboralski popisuje, jak můžete spustit útok MiTM, abyste naslouchali dvěma lidem, kteří si vytvářejí plány, a dokonce prohodili vaše vlastní schéma. Nedělej to. Je to hrozné. Pokud nejste misantrop. Pak pravděpodobně neexistuje lepší způsob, jak strávit víkend.
Možná si budete muset toto přečíst více než jednou. Pokud by to nebylo matoucí, každý by to dělal pořád. To znamená, že to není vůbec technické.
Nejprve budete potřebovat účet Tinder, abyste provedli průzkum. Chcete-li dosáhnout nejrychlejších výsledků, najděte profil skutečného, docela atraktivního muže v okolí vašeho bydliště. Říkejme mu Shawn. Počáteční cíl musí být muž, útok je méně pravděpodobné, že uspěje, pokud si vybereme ženu, píše Zboralski. Muži navrhují, ženy disponují ... (Pokud to pro vás vše zní příliš genderově binárně, proveďte osvícenější narušení soukromí někoho jiného a dejte nám vědět, jak to funguje.) Pořiďte snímky Shawnových fotografií a použijte je k nastavení falešný profil Tinder (který bude vyžadovat falešný profil na Facebooku). Nezapomeňte nastavit stejné křestní jméno a pravděpodobně stejný věk.
Za druhé, přejet prstem doprava se svým falešným profilem jako blázen. Jděte do města. Udělejte to, dokud se s vámi někdo neshoduje, o kterém si myslíte, že bude pro skutečného Shawna těžké odolat. Nyní máte svoji návnadu. Pořiďte screenshoty všech jejích fotek a nastavte pro dámu svůj druhý falešný profil. Řekněme, že se jmenovala Jennifer.
Zatřetí, vezměte si falešný profil Jennifer a přejíždějte prstem, dokud nenajdete skutečného Shawna. Přejeďte doprava. Ve skutečnosti Zboralski navrhuje použít super-lajky. Překřiž prsty. V tomto okamžiku pravděpodobně budete pro další profil potřebovat druhé zařízení, například levný telefon nebo tablet s vypalovačkou. Pokud se skutečný Shawn shoduje s falešnou Jennifer, podnikáte (pokud ne, můžete vždy najít novou shodu pro svého falešného Shawna).
Nyní můžete odposlouchávat jejich konverzaci. Cokoli, co skutečná Jennifer řekne falešnému Shawnovi, nebo naopak, stačí zkopírovat do zprávy z jiného falešného účtu do druhého skutečného účtu.
Takže pokud Shawn používá klávesnici Dating Hacks , mohl by otevřít něco jako Moji rodiče jsou tak nadšení, že se nemohou dočkat, až se s tebou setkáme! Obdrží ji pouze falešná Jennifer. Zkopírujte to tedy jako zprávu na falešný Shawnův účet a pošlete ji skutečné Jennifer - sledovali jste to? Očekávejte jejich odpověď. Zkopírujte znovu a tak to jde.
Za předpokladu, že má Shawn adekvátní hru, promluví si do číslic. Pokud to dělá, neznamená to, že musíte přestat poslouchat. Nahraďte skutečná telefonní čísla telefonními čísly, která odpovídají falešným telefonům. Odtud by to mělo být super snadné, protože už nikdo ve skutečnosti netelefonuje. Pokud se nikdo ve skutečnosti nepokouší si navzájem zavolat, nemělo by být obtížnější kopírovat texty, než bylo kopírování zpráv Tinder. Pokud se někdo skutečně stane divným a zavolá, má Zboralského příspěvek pokyny.
VIZ TÉŽ: Síť pro seznamování proti lovu ryb.
Budete moci poslouchat dál, dokud ti dva konečně nenastaví skutečné datum a nesetkají se tváří v tvář.
V tom, co jsem právě popsal, vše, co děláte, je poslouchání. Což je zábavné, ale docela krotké.
Možnosti jsou opravdu nekonečné. Ve skutečnosti, pokud opravdu chcete zacílit na konkrétního uživatele Tinderu, pravděpodobně byste ho mohli houpat, pokud ho dostatečně dobře znáte. Pokud to uděláš, jsi hrozný. Zábavné, ale hrozné.
Tinder nemusí sledovat všechna místa, kde se přihlašujete, ale na příspěvek Zboralského neměl skvělou odpověď. Bezpečnostní tým Tinder poslal Zboralskému následující odpověď, když jim oznámil tento útok.
Přestože Tinder využívá několik manuálních a automatizovaných mechanismů k odradení od falešných a / nebo duplicitních profilů, v konečném důsledku je nereálné, aby každá společnost pozitivně ověřila skutečnou identitu milionů uživatelů při zachování běžně očekávané úrovně použitelnosti.
Není to jediný nedávný bezpečnostní skluz pro společnost a falešné profily využívající skutečné tváře k podvádění osamělých mužů a žen na sociálních médiích jsou skutečným problémem. Dříve jsme informovali o ruském startupu N-Tech Labs, který dokáže pořizovat fotografie z mobilních telefonů a spolehlivě je přiřadit členům VK, což je web podobný Facebooku. Podobnost Dr. Aleca Courose byla velmi široce používána online k provádění romantických podvodů, bez jeho souhlasu . Je to jen jeden další důvod, proč je online seznamování hrozné.
Tento konkrétní problém by měl být řešitelný stávající technologií. Pokud bylo strojové učení dostatečně dobré, aby odpovídalo dvěma různým fotografiím stejné tváře, mysleli byste si, že porovnávání v podstatě přesně stejné fotografie bude hračka. Společnost Tinder, kterou vlastní skupina Match Group pro online seznamovací weby, nebyla okamžitě k dispozici k vyjádření o tom, zda k odhalení tohoto druhu parodie používá strojové učení či nikoli. Výše uvedená odpověď však není povzbudivá.
Doufejme, že toto vysvětlení útoků MiTM usnadňuje představu o tom, jak odposlouchávání funguje online, než aby vám usnadnilo představu o ničení víkendů vašich přátel. A pokud vás to plíží ven, pak možná nepoužívejte služby jako Gmail a Allo, což jsou v zásadě odposlouchávací technologie, do které se přihlásíme. Pokud je hrubé naslouchat jedné osobě v jedné konverzaci, proč to není hrubé naslouchat obřím společnostem ve všech konverzacích?
Buďte opatrní.
h / t: Newsletter Detectify .
