Spotkanie słodkie nie byłoby dokładnie dokładne.Zdjęcie: GREG WOOD/AFP/Getty Images Jeśli twoje oczy zaszkliją się, gdy zobaczysz w wiadomościach technicznych o naruszeniu bezpieczeństwa termin atak typu „man-in-the-middle” [MiTM], możesz zostać wybaczony. Brzmi naprawdę abstrakcyjnie. Kiedy pisaliśmy o tym, staraliśmy się, aby było to trochę bardziej ekscytujące pierwsza duża strona porno z zabezpieczeniem TLS , ale nadal trudno to sobie wyobrazić. Badacz bezpieczeństwa i założyciel startupu, Anthony Zboralski of Stworzenie , napisał post na Hacker Emergency Response Team’s Medium blog, na którym opisuje te oszustwa w terminach, które każdy może zrozumieć: łowienie sumów.
Piszę to, aby pomóc Ci zobrazować, jak działa cyberprzestępczość i dlaczego prywatność jest ważna, ale najpierw zróbmy to trochę bardziej konkretnie. Jeśli potrafisz włożyć się w randkę z dwiema osobami, robiąc plany bez ich wiedzy, możesz robić psikusy. Załóżmy na przykład, że używasz następującej techniki, aby Shawn i Jennifer nieświadomie komunikowali się przez ciebie, aby umówić się na randkę na piątek o 8. Możesz wtedy zaplanować spotkanie trzech kolejnych kobiet z Shawnem w tym samym czasie i miejscu, bez żadnego z nich. Shawn lub Jennifer wiedzą, co zamierzasz. Dzięki tej metodzie potencjalni kochankowie nie zdają sobie sprawy, że ktoś inny zna ich plany, ale Ty wiesz.
Oto jak Zboralski opisuje, w jaki sposób można przeprowadzić atak MiTM, aby podsłuchać dwie osoby planujące, a nawet wtrącić własny schemat. Nie rób tego. To jest straszne. Chyba że jesteś mizantropem. Wtedy prawdopodobnie nie ma lepszego sposobu na spędzenie weekendu.
Być może będziesz musiał przeczytać to więcej niż raz, aby to uzyskać. Gdyby to nie było mylące, wszyscy robiliby to cały czas. To powiedziawszy, to wcale nie jest techniczne.
Najpierw będziesz potrzebować konta Tinder, aby przeprowadzić badania. Aby uzyskać najszybsze wyniki, znajdź profil prawdziwego, dość atrakcyjnego mężczyzny w pobliżu miejsca, w którym mieszkasz. Nazwijmy go Shawn. Pierwotnym celem musi być samiec, atak ma mniejsze szanse powodzenia, jeśli wybierzemy kobietę – pisze Zboralski. Mężczyźni proponują, kobiety pozbywają się… (Jeśli to wszystko brzmi dla ciebie trochę zbyt binarnie pod względem płci, proszę o bardziej świadome naruszenie czyjejś prywatności i daj nam znać, jak to działa.) Zrób zrzuty ekranu zdjęć Shawna i użyj ich do konfiguracji fałszywy profil na Tinderze (który będzie wymagał fałszywego profilu na Facebooku). Pamiętaj, aby ustawić to samo imię i prawdopodobnie w tym samym wieku.
Po drugie, przesuń palcem w prawo swoim fałszywym profilem jak szalony. Po prostu idź do miasta. Rób to, dopóki ktoś nie pasuje do ciebie, co twoim zdaniem będzie trudne dla prawdziwego Shawna. Teraz masz swoją przynętę. Zrób zrzuty ekranu wszystkich jej zdjęć i skonfiguruj swój drugi fałszywy profil dla kobiety. Powiedzmy, że miała na imię Jennifer.
Po trzecie, weź swój fałszywy profil Jennifer i przesuwaj, aż znajdziesz prawdziwego Shawna. Przesuń w prawo. W rzeczywistości Zboralski sugeruje używanie superlajków. Skrzyżuj palce. W tym momencie prawdopodobnie będziesz potrzebować drugiego urządzenia, na przykład taniego telefonu z palnikiem lub tabletu, do dodatkowego profilu. Dopóki prawdziwy Shawn pasuje do fałszywej Jennifer, jesteś w biznesie (jeśli nie, zawsze możesz po prostu znaleźć nowego partnera dla swojego fałszywego Shawna).
Teraz możesz podsłuchać ich rozmowę. Wszystko, co prawdziwa Jennifer mówi fałszywemu Shawnowi lub odwrotnie, po prostu kopiujesz do wiadomości z innego fałszywego konta na drugie prawdziwe konto.
Więc jeśli Shawn używa klawiatury Dating Hacks , może otworzyć coś w stylu Moi rodzice są tak podekscytowani, że nie mogą się doczekać spotkania z tobą! Tylko fałszywa Jennifer to otrzyma. Więc skopiuj to jako wiadomość na fałszywe konto Shawna i wyślij do prawdziwej Jennifer - śledziłeś to? Czekaj na ich odpowiedź. Skopiuj ponownie i tak się dzieje.
Zakładając, że Shawn ma odpowiednią grę, będzie przegadywał cyfry. Pod warunkiem, że to zrobi, nie oznacza to, że musisz przestać słuchać. Po prostu zastąp prawdziwe numery telefonów numerami odpowiadającymi fałszywym telefonom. To powinno być bardzo łatwe, ponieważ nikt już nie dzwoni. Zakładając, że nikt nie próbuje do siebie dzwonić, kopiowanie tekstów nie powinno być trudniejsze niż kopiowanie wiadomości z Tindera. Jeśli jednak ktoś się zdziwi i zadzwoni, post Zboralskiego zawiera instrukcje.
ZOBACZ TAKŻE: Sieć randkowa antycatfishing .
Będziesz mógł słuchać, aż w końcu umówią się na prawdziwą randkę i spotkają twarzą w twarz.
W tym, co właśnie opisałem, jedyne, co robisz, to słuchanie. Co jest zabawne, ale dość oswojone.
Możliwości są naprawdę nieograniczone. W rzeczywistości, jeśli naprawdę chcesz celować w konkretnego użytkownika Tindera, prawdopodobnie możesz to zrobić, jeśli znasz go wystarczająco dobrze. Jeśli to zrobisz, jesteś okropny. Zabawne, ale okropne.
Tinder może nie śledzić wszystkich miejsc, w których się logujesz, ale nie miał świetnej odpowiedzi na post Zboralskiego. Zespół Bezpieczeństwa Tindera wysłał Zboralskiemu następującą odpowiedź, gdy zgłosił im ten atak.
Chociaż Tinder wykorzystuje kilka ręcznych i zautomatyzowanych mechanizmów w celu powstrzymania fałszywych i/lub duplikatów profili, ostatecznie nierealistyczne jest, aby jakakolwiek firma pozytywnie weryfikowała tożsamość milionów użytkowników w świecie rzeczywistym przy jednoczesnym zachowaniu powszechnie oczekiwanego poziomu użyteczności.
To nie jedyny niedawny błąd bezpieczeństwa dla firmy, a fałszywe profile wykorzystujące prawdziwe twarze do oszukiwania samotnych mężczyzn i kobiet w mediach społecznościowych to prawdziwy problem. Wcześniej informowaliśmy o rosyjskim startupie N-Tech Labs, który może robić zdjęcia telefonem komórkowym i niezawodnie dopasowywać je do członków VK, witryny podobnej do Facebooka. Podobizna dr Aleca Couros była bardzo szeroko wykorzystywana w Internecie do przeprowadzania oszustw romansowych, bez jego zgody . To jeszcze jeden powód, dla którego randki online są okropne.
Ten konkretny problem powinien być rozwiązany za pomocą istniejącej technologii. Jeśli uczenie maszynowe stało się wystarczająco dobre, aby dopasować dwa różne zdjęcia tej samej twarzy, można by pomyśleć, że dopasowanie w zasadzie dokładnie tego samego zdjęcia byłoby bardzo proste. Tinder, który jest własnością Match Group internetowych serwisów randkowych, nie był od razu dostępny do komentowania, czy wykorzystuje uczenie maszynowe, aby wykryć tego rodzaju fałszerstwo. Powyższa odpowiedź nie jest jednak zachęcająca.
Mamy nadzieję, że to wyjaśnienie ataków MiTM ułatwia wyobrażenie sobie, jak działa podsłuchiwanie w Internecie, zamiast wyobrażać sobie, jak rujnuje weekendy znajomych. A jeśli cię to przeraża, to może nie używaj usługi takie jak Gmail i Allo, które są w zasadzie podsłuchiwanie technologii, na którą się zdecydujemy. Jeśli słuchanie jednej rozmowy przez jedną osobę jest obrzydliwe, dlaczego nie jest obrzydliwe dla gigantycznych firm podsłuchiwanie wszystkich rozmów?
Bądź tam ostrożny.
godz./t: Biuletyn Detectify .
