Zoznámte sa s roztomilým by nebolo úplne presné.Foto: GREG WOOD / AFP / Getty Images Ak sa vám oči zaseknú, keď v technologických správach o narušeniach bezpečnosti uvidíte výraz útok man-in-the-middle [MiTM], bude vám odpustené. Znie to naozaj abstraktne. Snažili sme sa, aby to bolo o niečo vzrušujúcejšie, keď sme písali o prvá veľká pornografická stránka, ktorá je zabezpečená protokolom TLS , ale stále je ťažké si to predstaviť. Výskumník v oblasti bezpečnosti a zakladateľ startupu, Anthony Zboralski z To stvorenie , napísal príspevok na médiu tímu Hacker Emergency Response Team blog, kde uvádza tieto podvody tak, aby im porozumel každý: lov rýb.
Toto píšem, aby som vám pomohol predstaviť si, ako počítačová kriminalita funguje a prečo je dôležité súkromie, ale najskôr to všetko poďme trochu konkretizovať. Ak sa môžete vložiť do plánovania randenia s dvoma ľuďmi bez toho, aby o tom vedeli, môžete vytiahnuť žarty. Povedzme napríklad, že použijete nasledujúcu techniku, aby Shawn a Jennifer prostredníctvom vás nevedomky komunikovali a stanovili dátum piatku o 8. Potom by ste mohli naplánovať ďalšie tri ženy, aby sa stretli so Shawnom v rovnakom čase a na rovnakom mieste, bez Shawn alebo Jennifer vedia, o čo ti ide. Pri tejto metóde si potenciálni milenci neuvedomujú, že ich plány pozná ktokoľvek iný, vy však vy.
Takto Zboralski popisuje, ako môžete podniknúť útok MiTM, aby ste načúvali dvom ľuďom, ktorí plánujú, a dokonca zasahovali do vašej vlastnej schémy. Nerob to. Je to hrozné. Pokiaľ však nie ste mizantrop. Potom pravdepodobne neexistuje lepší spôsob, ako stráviť víkend.
Možno si to budete musieť prečítať viac ako raz. Keby to nebolo mätúce, každý by to robil stále. To znamená, že to nie je vôbec technické.
Najskôr budete potrebovať účet Tinder, aby ste mohli vykonať prieskum. Pre najrýchlejšie výsledky vyhľadajte profil skutočného, pomerne atraktívneho muža v okolí vášho bydliska. Hovorme mu Shawn. Počiatočným cieľom musí byť muž, útok je menej pravdepodobné, že uspeje, ak si vyberieme ženu, píše Zboralski. Muži navrhujú, ženy disponujú ... (Ak to pre vás všetko znie príliš rodovo-binárne, urobte jasnejšie narušenie súkromia niekoho človeka a dajte nám vedieť, ako to funguje.) Urobte snímky obrazovky Shawnových fotografií a použite ich na nastavenie. falošný profil Tinder (ktorý bude vyžadovať falošný profil na Facebooku). Nezabudnite si nastaviť rovnaké krstné meno a pravdepodobne rovnaký vek.
Po druhé, potiahnite prstom doprava so svojím falošným profilom ako blázon. Stačí ísť do mesta. Robte to, kým s vami nebude zápasovať niekto, komu veríte, že skutočnému Shawnovi bude ťažké odolať. Teraz máte svoju návnadu. Spravte screenshoty všetkých jej fotiek a vytvorte pre pani druhý falošný profil. Povedzme, že sa volala Jennifer.
Po tretie, vezmite si svoj falošný profil Jennifer a potiahnite prstom, kým nenájdete skutočného Shawna. Potiahnite prstom doprava. Zboralski v skutočnosti navrhuje používať superlajky. Drž palce. V tomto okamihu budete pravdepodobne potrebovať ďalšie zariadenie, napríklad lacný telefón alebo tablet s vypalovačkou, ako ďalší profil. Pokiaľ sa skutočný Shawn zhoduje s falošnou Jennifer, podnikáte (ak nie, vždy si môžete nájsť nový zápas pre svojho falošného Shawna).
Teraz môžete odpočúvať ich rozhovor. Čokoľvek, čo skutočná Jennifer povie falošnému Shawnovi, alebo naopak, stačí skopírovať do správy z druhého falošného účtu do druhého skutočného účtu.
Takže, ak Shawn používa klávesnicu Dating Hacks , mohol by otvoriť niečo ako Moji rodičia sú tak nadšení, že sa už nemôžu dočkať, až sa s vami stretnú! Dostane ju iba falošná Jennifer. Skopírujte to teda ako správu na falošný Shawnov účet a pošlite ich skutočnej Jennifer - sledovali ste to? Očakávajte ich odpoveď. Opäť kopírujte, a tak to ide.
Za predpokladu, že Shawn má dostatočnú hru, prehovorí si na číslice. Ak to urobí, neznamená to, že musíte prestať počúvať. Nahraďte skutočné telefónne čísla telefónnymi číslami, ktoré zodpovedajú falošným telefónom. Odtiaľ by to malo byť super ľahké, pretože v skutočnosti už nikto netelefonuje. Ak sa nikto v skutočnosti nepokúsi zavolať si, nemalo by byť ťažšie kopírovať texty, ako bolo kopírovanie správ z Tinderu. Ak sa niekto skutočne stane čudným a zavolá, Zboralského príspevok má pokyny.
POZRI TIEŽ: Zoznamovacia sieť zameraná proti lovu rýb.
Budete môcť pokračovať v počúvaní, kým títo dvaja konečne dohodnú skutočné rande a stretnú sa tvárou v tvár.
To, čo som práve popísal, všetko, čo robíte, je počúvanie. Čo je zábavné, ale celkom krotké.
Možností je naozaj neúrekom. V skutočnosti, ak sa chcete skutočne zamerať na konkrétneho používateľa Tinderu, pravdepodobne by ste ho mohli osloviť, ak ho poznáte dosť dobre. Ak to urobíš, si hrozný. Vtipné, ale hrozné.
Tinder nemusí sledovať všetky miesta, na ktoré ste sa prihlásili, ale na príspevok Zboralského nemal veľkú odpoveď. Tím Tinder Security poslal Zboralskému nasledujúcu odpoveď, keď im oznámil tento útok.
Aj keď spoločnosť Tinder využíva niekoľko manuálnych a automatizovaných mechanizmov na odradenie od falošných a / alebo duplicitných profilov, v konečnom dôsledku je nereálne, aby ktorákoľvek spoločnosť pozitívne overovala skutočnú identitu miliónov používateľov pri zachovaní bežne očakávanej úrovne použiteľnosti.
Nie je to jediný nedávny bezpečnostný list pre spoločnosť a falošné profily využívajúce skutočné tváre na podvádzanie osamelých mužov a žien na sociálnych sieťach sú skutočným problémom. Predtým sme informovali o ruskom startupe N-Tech Labs, ktorý dokáže robiť fotografie z mobilných telefónov a spoľahlivo ich priradiť k členom VK, stránky podobnej Facebooku. Podobizeň doktora Aleca Courosa sa veľmi často používala online na uskutočňovanie ľúbostných podvodov, bez jeho súhlasu . Je to len jeden ďalší dôvod, prečo je online zoznamka hrozná.
Tento konkrétny problém by mal byť riešiteľný existujúcou technológiou. Ak je strojové učenie dosť dobré na to, aby zodpovedalo dvom rôznym fotografiám tej istej tváre, mysleli by ste si, že porovnávanie v podstate tej istej fotografie by bolo hračkou. Spoločnosť Tinder, ktorú vlastní spoločnosť Match Group pre online zoznamky, nebola okamžite k dispozícii na vyjadrenie o tom, či na zistenie tohto druhu falošnosti používa strojové učenie alebo nie. Vyššie uvedená odpoveď však nie je povzbudzujúca.
Dúfajme, že toto vysvetlenie útokov MiTM uľahčuje skôr predstavenie toho, ako odpočúvanie funguje online, ako uľahčenie vyobrazenia, ktoré ničí víkendy vašich priateľov. A ak vás lezie, možno nepoužívajte služby ako Gmail a Allo, ktoré sú v podstate odpočúvacia technológia, do ktorej sa prihlásime. Ak je hrubé, aby jedna osoba počúvala jednu konverzáciu, prečo to nie je hrubé, aby obrovské spoločnosti počúvali všetky konverzácie?
Buďte opatrní.
h / t: Newsletter Detectify .
