Meet cute nu ar fi exact exact.Foto: GREG WOOD / AFP / Getty Images Dacă ochii tăi strălucesc când vezi termenul atac de om în mijloc [MiTM] în știrile tehnice despre încălcările securității, poți fi iertat. Sună foarte abstract. Am încercat să o facem un pic mai interesantă când am scris despre primul mare site pornografic securizat TLS , dar este totuși greu de imaginat. Cercetător în securitate și fondator de startupuri, Anthony Zboralski din Creatura , a scris o postare pe Hacker Emergency Response Team's Medium blog unde pune aceste escrocherii în termeni pe care toată lumea le poate înțelege: pescuitul la pisici.
Vă scriu acest lucru pentru a vă ajuta să vă imaginați cum funcționează criminalitatea informatică și de ce este importantă confidențialitatea, dar mai întâi să facem totul mai concret. Dacă vă puteți insera în întâlnirea a două persoane, făcând planuri fără ca aceștia să știe, puteți face farse. De exemplu, să presupunem că utilizați următoarea tehnică pentru ca Shawn și Jennifer să comunice fără să știe, prin intermediul dvs., să stabilească o dată pentru vineri la 8. Puteți programa apoi încă trei femei pentru a se întâlni cu Shawn în același timp și în același loc, fără Shawn sau Jennifer știind ce ai făcut. Cu această metodă, potențialii iubitori nu realizează că altcineva își cunoaște planurile, dar tu știi.
Iată cum Zboralski descrie modul în care puteți rula un atac MiTM pentru a asculta două persoane care fac planuri și chiar pentru a vă intercepta propria schemă. Nu faceți acest lucru. Este ingrozitor. Dacă nu ești un mizantrop. Atunci probabil că nu există o modalitate mai bună de a vă petrece weekendul.
Este posibil să fie nevoie să citiți acest lucru de mai multe ori pentru a-l obține. Dacă nu ar fi confuz, toată lumea ar face aceste lucruri tot timpul. Acestea fiind spuse, nu este deloc tehnic.
Mai întâi, veți avea nevoie de un cont Tinder pentru a face unele cercetări. Pentru cele mai rapide rezultate, găsiți un profil al unui bărbat real, destul de atractiv, în apropierea locului în care locuiți. Să-i spunem Shawn. Ținta inițială trebuie să fie un bărbat, atacul este mai puțin probabil să reușească dacă alegem o femeie, scrie Zboralski. Bărbații propun, femeile dispun ... (Dacă toate acestea sună un pic prea binare pentru sex, vă rugăm să rulați o încălcare mai luminată a confidențialității cuiva și să ne anunțați cum funcționează.) Faceți capturi de ecran ale fotografiilor lui Shawn și folosiți-le pentru a configura un profil fals Tinder (care va necesita un profil fals Facebook). Asigurați-vă că setați-l la același prenume și probabil la aceeași vârstă.
În al doilea rând, glisați spre dreapta cu profilul dvs. fals ca nebun. Mergeți în oraș. Fă-o până când cineva se potrivește cu tine, despre care crezi că va fi greu să reziste adevăratului Shawn. Acum ai momeala ta. Faceți capturi de ecran cu toate fotografiile ei și configurați-vă al doilea profil fals, pentru doamnă. Să spunem că se numea Jennifer.
În al treilea rând, ia-ți profilul fals Jennifer și glisează până găsești adevăratul Shawn. Glisați spre dreapta. De fapt, Zboralski sugerează utilizarea super-like-urilor. Incruciseaza-ti degetele. În acest moment, probabil veți avea nevoie de un al doilea dispozitiv, cum ar fi un telefon cu arzătoare ieftin sau o tabletă, pentru profilul suplimentar. Atâta timp cât adevăratul Shawn se potrivește cu falsa Jennifer, sunteți în afaceri (dacă nu o faceți, puteți găsi întotdeauna doar o nouă potrivire pentru Shawn-ul dvs. fals).
Acum, sunteți în măsură să ascultați conversația lor. Orice spune adevărata Jennifer falsului Shawn sau invers, trebuie doar să copiați într-un mesaj din celălalt cont fals în celălalt cont real.
Deci, dacă Shawn folosește tastatura Hacks pentru întâlniri , s-ar putea deschide cu ceva de genul Părinții mei sunt atât de încântați, încât abia așteaptă să te întâlnească! Numai că falsa Jennifer o va primi. Deci, copiați-l ca mesaj în contul fals al lui Shawn și trimiteți-l adevăratei Jennifer - ați urmat asta? Așteptați răspunsul lor. Copiază din nou și așa merge.
Presupunând că Shawn are un joc adecvat, el își va vorbi în cifre. Cu condiția să o facă, asta nu înseamnă că trebuie să renunțați la ascultare. Înlocuiți doar numerele de telefon reale cu numerele de telefon care corespund telefoanelor false. Acest lucru ar trebui să fie foarte ușor de aici, pentru că nimeni nu mai face apeluri telefonice. Cu condiția ca nimeni să nu încerce să se apeleze reciproc, nu ar trebui să fie mai greu să copiați textele decât să copiați mesajele Tinder. Totuși, dacă cineva devine ciudat și sună, postarea lui Zboralski are instrucțiuni.
VEZI ȘI: Rețeaua de întâlniri anti-pisică.
Veți putea continua să ascultați până când cei doi stabilesc în sfârșit o întâlnire reală și se vor întâlni față în față.
În ceea ce tocmai am descris, tot ce faci este să asculti. Ceea ce este distractiv, dar destul de blând.
Posibilitățile sunt cu adevărat nelimitate. De fapt, dacă doriți cu adevărat să vizați un anumit utilizator Tinder, probabil că îl puteți lega dacă îi cunoașteți suficient de bine. Dacă faci asta, ești îngrozitor. Amuzant, dar îngrozitor.
Este posibil ca Tinder să nu țină evidența tuturor locurilor în care vă conectați, dar nu a avut un răspuns excelent la postarea lui Zboralski. Echipa de securitate Tinder i-a trimis lui Zboralski următorul răspuns când le-a raportat acest atac.
În timp ce Tinder folosește mai multe mecanisme manuale și automatizate pentru a descuraja profilurile false și / sau duplicate, în cele din urmă, este nerealist ca orice companie să valideze pozitiv identitatea reală a milioane de utilizatori, menținând în același timp nivelul de utilizare așteptat în mod obișnuit.
Nu este singurul document de securitate recent pentru companie, iar profilurile false care folosesc fețe reale pentru a înșela bărbați și femei singuri pe rețelele de socializare sunt o problemă reală. Am raportat anterior despre un startup rus, N-Tech Labs, care poate face fotografii cu telefonul mobil și le poate asocia în mod fiabil cu membrii VK, un site asemănător Facebook. Asemănarea doctorului Alec Couros a fost folosită foarte mult online pentru a executa escrocherii romantice, fără acordul său . Este doar un motiv în plus pentru care întâlnirile online sunt îngrozitoare.
Această problemă specială trebuie rezolvată cu tehnologia existentă. Dacă învățarea automată a devenit suficient de bună pentru a se potrivi cu două fotografii diferite ale aceleiași fețe, ați crede că potrivirea practic a aceleiași fotografii ar fi o briză. Tinder, care este deținut de Grupul Match al site-urilor de întâlniri online, nu a fost disponibil imediat pentru comentarii cu privire la utilizarea sau nu a învățării automate pentru a identifica acest tip de parodie. Cu toate acestea, răspunsul de mai sus nu este încurajator.
Sperăm că această explicație a atacurilor MiTM face mai ușor să vă imaginați cum funcționează ascultarea online, mai degrabă decât să vă fie mai ușor să vă imaginați ruinând weekendurile prietenilor. Și dacă te strecoară afară, atunci poate nu-l folosești servicii precum Gmail și Allo, care sunt practic tehnologie de ascultare în care optăm. Dacă este grav pentru o persoană să asculte într-o conversație, de ce nu este grav pentru companiile gigantice să asculte în toate conversațiile?
Fii atent acolo.
h / t: Buletinul informativ Detectify .
