Meet cute ne bi bil natančno natančen.Foto: GREG WOOD / AFP / Getty Images Če se vam oči zaslepijo, ko v tehničnih novicah o kršitvah varnosti vidite izraz napad človeka v sredini [MiTM], vam lahko odpustijo. Sliši se res abstraktno. Ko smo pisali, smo skušali narediti nekoliko bolj razburljivo prvo veliko porno spletno mesto, ki je šlo za TLS-varno , vendar je vseeno težko predstavljati. Raziskovalec varnosti in ustanovitelj zagonskih podjetij Anthony Zboralski iz Bitje , je napisal objavo na mediju Hacker Emergency Response Team blog, kjer te prevare opisuje tako, kot jih lahko vsi razumejo: catfishing.
To pišem, da si lažje predstavljate, kako deluje kibernetski kriminal in zakaj je zasebnost pomembna, vendar naj najprej vse skupaj nekoliko bolj konkretiziramo. Če se lahko vstavite v načrtovanje zmenkov dveh ljudi, ne da bi to vedeli, lahko potegnete potegavščine. Recimo, da uporabite naslednjo tehniko, tako da Shawn in Jennifer nevede komunicirata prek vas, da določite datum za petek ob 8. Nato bi lahko načrtovali, da se še tri ženske sestanejo s Shawnom istočasno in kraj, ne da bi Shawn ali Jennifer, ki ve, kaj nameravaš. S to metodo se potencialni paramurji ne zavedajo, da kdo drug ve njihove načrte, vi pa veste.
Zboralski opisuje, kako lahko izvedete napad MiTM, da prisluhnete dvema osebama, ki načrtujeta, in celo vstavite svojo shemo. Ne delaj tega. To je strašno. Razen če ste mizantrop. Potem verjetno ni boljšega načina, kako preživeti vikend.
Morda boste to morali prebrati več kot enkrat, da ga dobite. Če ne bi bilo zmedeno, bi vsi to počeli ves čas. Se pravi, da sploh ni tehnična.
Najprej boste potrebovali račun Tinder za nekaj raziskav. Za najhitrejše rezultate poiščite profil pravega, dokaj privlačnega moškega v bližini, kjer živite. Pokličimo ga Shawn. Začetna tarča mora biti moški, manj verjetno je, da napad uspe, če izberemo samico, piše Zboralski. Moški predlagajo, ženske razpolagajo ... (Če se vam vse to zdi preveč dvojno, prosimo, izvedite bolj razsvetljeno kršitev zasebnosti nekoga in nam sporočite, kako se to obnese.) Posnemite posnetke zaslona Shawnovih fotografij in jih uporabite za nastavitev lažni profil Tinder (za kar bo potreben lažni profil Facebook). Prepričajte se, da ste nastavili isto ime in verjetno enako starost.
Drugič, s svojim lažnim profilom povlecite v desno kot nor. Samo pojdi v mesto. Naredite to, dokler se nekdo z vami ne ujema, za katerega verjamete, da se bo pravi Shawn težko uprl. Zdaj imate svojo vabo. Posnemite posnetke zaslona vseh njenih fotografij in za damo nastavite svoj drugi lažni profil. Recimo, da ji je bilo ime Jennifer.
Tretjič, vzemite svoj lažni profil Jennifer in povlecite, dokler ne najdete pravega Shawna. Povlecite desno. Pravzaprav Zboralski predlaga uporabo super-všečkov. Prekrižaj prste. Na tem mestu boste verjetno potrebovali drugo napravo, na primer poceni telefon ali tablični računalnik, za dodaten profil. Dokler se pravi Shawn ujema z lažno Jennifer, poslujete (če se ne, lahko vedno najdete novo tekmo za svojega lažnega Shawna).
Zdaj lahko prisluhnete njihovemu pogovoru. Vse, kar prava Jennifer reče ponarejenemu Shawnu ali obratno, preprosto kopirate v sporočilo z drugega lažnega računa na drugi pravi račun.
Torej, če je Shawn uporablja tipkovnico Dating Hacks , lahko odpre z nečim, kot so Moji starši tako navdušeni, da komaj čakajo, da vas spoznajo! Prejela jo bo le ponarejena Jennifer. Torej kopirajte to kot sporočilo v lažni Shawnov račun in ga pošljite pravi Jennifer - ste temu sledili? Počakajte na njihov odgovor. Spet kopirajte in tako gre.
Ob predpostavki, da ima Shawn primerno igro, se bo spregovoril v številke. Če to stori, to še ne pomeni, da morate nehati poslušati. Samo nadomestite prave telefonske številke s telefonskimi številkami, ki ustrezajo ponarejenim telefonom. To bi moralo biti od tukaj zelo enostavno, saj dejansko nihče več ne telefonira. Če nihče dejansko ne poskuša poklicati drug drugega, ne bi smelo biti težje kopirati besedil kot kopirati Tinder sporočil. Če se kdo v resnici čudno pokliče, pa ima objava Zboralskega navodila.
GLEJ TUDI: Mreža za zmenke proti ribolovu.
Poslušali boste lahko, dokler si dokončno ne določita pravega zmenka in se ne bosta srečala iz oči v oči.
V tem, kar sem pravkar opisal, poslušate vse, kar je zabavno, a precej krotko.
Možnosti je res neskončno. Če želite resnično ciljati na določenega uporabnika Tinderja, bi ga verjetno lahko zanihali, če ga poznate dovolj dobro. Če to storite, ste grozni. Smešno, a grozno.
Tinder morda ne bo spremljal vseh krajev, v katere se prijavite, vendar na objavo Zboralskega ni imel odličnega odgovora. Tinderjeva varnostna skupina je Zboralskem poslala naslednji odgovor, ko jim je poročal o tem napadu.
Medtem ko Tinder uporablja več ročnih in avtomatiziranih mehanizmov za odvračanje od ponarejenih in / ali podvojenih profilov, je na koncu nerealno, da bi katero koli podjetje pozitivno potrdilo resnično identiteto milijonov uporabnikov, hkrati pa ohranilo običajno pričakovano raven uporabnosti.
To ni edini nedavni varnostni listek za podjetje, lažni profili, ki uporabljajo resnične obraze za prevaro osamljenih moških in žensk na družbenih omrežjih, so resnična težava. Pred tem smo poročali o ruskem zagonu N-Tech Labs, ki lahko fotografira mobilne telefone in jih zanesljivo poveže s člani VK, spletnega mesta, podobnega Facebooku. Podobnost dr. Aleca Courosa se v spletu zelo pogosto uporablja za vodenje romantičnih prevar, brez njegovega soglasja . To je samo še en razlog več, zakaj so zmenki na spletu grozni.
Ta poseben problem bi bilo treba rešiti z obstoječo tehnologijo. Če je strojno učenje postalo dovolj dobro, da se ujema z dvema različnima fotografijama istega obraza, bi mislili, da bi bilo ujemanje v bistvu popolnoma iste fotografije prepih. Tinder, ki je v lasti Match Group spletnih strani za zmenke, ni bil takoj na voljo za komentar o tem, ali s pomočjo strojnega učenja zazna tovrstno prevaro ali ne. Vendar odgovor zgoraj ni spodbuden.
Upajmo, da ta razlaga napadov MiTM lažje predstavlja, kako prisluškovanje deluje na spletu, namesto da vam olajša sliko, ki uničuje vikende vaših prijateljev. In če vas plazi, potem morda ne uporabite storitve, kot je Gmail in Allo, ki so v bistvu prisluškovalna tehnologija, za katero se odločimo. Če je eno, da ena oseba posluša en pogovor, zakaj velikanska podjetja ne poslušajo vseh pogovorov?
Bodite previdni tam zunaj.
h / t: Glasilo Detectify .
