A Meet cute nem lenne pontosan pontos.Fotó: GREG WOOD / AFP / Getty Images Ha megcsillan a szemed, amikor a biztonsági megsértésekről szóló technológiai hírekben meglátod az ember a középen támadás kifejezést [MiTM], megbocsáthatnak. Nagyon elvontan hangzik. Igyekeztünk kicsit izgalmasabbá tenni, amikor erről írtunk az első nagy pornó webhely, amely TLS-védetté vált , de még mindig nehéz képet alkotni. Biztonsági kutató és startup alapító, Anthony Zboralski A lény , írt egy bejegyzést a Hacker Emergency Response Team Medium oldalán blog, ahol ezeket a csalásokat mindenki számára érthető módon megfogalmazza: a macskás horgászat.
Ezt azért írom, hogy át tudjam képzelni, hogyan működik a számítógépes bűnözés, és miért fontos a magánélet, de előbb tegyük mindezt egy kicsit konkrétabbá. Ha be tudod illeszteni magad két ember randevú készítésébe anélkül, hogy tudnák őket, akkor csínyeket húzhatsz. Tegyük fel például, hogy a következő technikát használja, hogy Shawn és Jennifer öntudatlanul kommunikáljanak rajtad, hogy megbeszéljenek egy időpontot péntekre 8-kor. Ezután további három nőt ütemezhetsz, hogy találkozzanak Shawnnal ugyanabban az időben és egy helyen, anélkül, hogy Shawn vagy Jennifer tudta, mire készülsz. Ezzel a módszerrel a potenciális paramourok nem veszik észre, hogy bárki más ismeri a terveiket, de te tudod.
Zboralski a következőképpen írja le, hogyan lehet MiTM-támadást végrehajtani, hogy meghallgassák két embert, akik terveket készítenek, és még a saját sémáját is közbeiktatja. Ne csináld ezt. Ez szörnyű. Hacsak nem mizantróp vagy. Akkor valószínűleg nincs jobb módja annak, hogy hétvégét töltsön.
Lehet, hogy ezt többször el kell olvasnia, hogy megszerezze. Ha nem lenne zavaró, mindenki folyton ezt csinálná. Ennek ellenére egyáltalán nem technikai jellegű.
Először egy Tinder-fiókra lesz szüksége a kutatáshoz. A leggyorsabb eredmények érdekében keressen egy valódi, meglehetősen vonzó férfi profilját a közelben, ahol él. Hívjuk Shawnak. A kezdeti célnak hímnek kell lennie, a támadás kevésbé valószínű, hogy sikeres lesz, ha nőstényt választunk - írja Zboralski. A férfiak azt javasolják, a nők megsemmisítik ... (Ha ez az egész egy kicsit túlságosan binárisan hangzik az Ön számára, kérjük, futtasson valakinek a magánéletét jobban megvilágított megsértést, és tudassa velünk, hogyan működik.) Készítsen képernyőképeket Shawn fotóiról, és használja őket a beállításhoz egy hamis Tinder-profilt (amihez hamis Facebook-profilra lesz szükség). Ügyeljen arra, hogy ugyanazon keresztnévre és valószínűleg azonos korra állítsa.
Másodszor csúsztassa jobbra a hamis profiljával, mint egy őrült. Menj csak a városba. Addig csináld, amíg valaki nem áll veled, akiről úgy gondolod, hogy az igazi Shawn-nak nehéz lesz ellenállnia. Most megvan a csali. Készítsen képernyőképeket az összes fotójáról, és állítsa be a hamis profilját a hölgy számára. Mondjuk Jennifernek hívták.
Harmadszor, vegye be hamis Jennifer profilját, és csúsztassa ujját addig, amíg meg nem találja az igazi Shawnt. Húzza jobbra. Valójában Zboralski javasolja a szuper-like-ok használatát. Szoríts. Ezen a ponton valószínűleg szüksége lesz egy második eszközre, például egy olcsó égő telefonra vagy egy táblagépre a kiegészítő profilhoz. Amíg az igazi Shawn megegyezik a hamis Jenniferrel, addig te vállalkozol (ha ő nem, akkor mindig csak találhatsz új mérkőzést hamis Shawnod számára).
Most abban a helyzetben van, hogy lehallgassa a beszélgetésüket. Bármit, amit az igazi Jennifer mond a hamis Shawn-nak, vagy fordítva, egyszerűen átmásol egy üzenetet a másik hamis számláról a másik valódi számlára.
Tehát, ha Shawn a Dating Hacks billentyűzetet használja , olyasvalakivel nyithat, hogy a szüleim annyira izgatottak, alig várják, hogy találkozzanak veled! Csak, hamis Jennifer megkapja. Tehát másolja ezt üzenetként hamis Shawn számlájára, és küldje el az igazi Jennifernek - követte ezt? Várja meg válaszukat. Másolja újra, és így megy.
Ha feltételezzük, hogy Shawnnak megfelelő játékmenete van, akkor a számjegyekkel fog beszélni. Feltéve, hogy megteszi, ez nem azt jelenti, hogy le kell mondania a hallgatásról. Cserélje ki a valódi telefonszámokat a hamis telefonszámoknak megfelelő telefonszámokra. Ennek innentől kezdve nagyon könnyűnek kell lennie, mert valójában már senki sem telefonál. Feltéve, hogy senki sem próbálja hívni egymást, a szövegek másolása nem lehet nehezebb, mint a Tinder üzenetek másolása. Ha bárki valóban furcsává válik, és felhív, akkor Zboralski posztján utasítások vannak.
LÁSD MÉG: A harapásgátló társkereső hálózat.
Addig tudod hallgatni, amíg ketten végre összeállítanak egy igazi randit és négyszemközt találkoznak.
Az imént leírtakban csak annyit teszel, hogy hallgatsz. Ami szórakoztató, de elég szelíd.
A lehetőségek valóban végtelenek. Valójában, ha valóban egy adott Tinder felhasználót akar megcélozni, akkor valószínűleg lendíthet, ha elég jól ismeri őket. Ha ezt megteszed, szörnyű vagy. Vicces, de szörnyű.
Lehet, hogy a Tinder nem tartja nyilván az összes helyet, ahova bejelentkezett, de nem volt nagy válasza Zboralski bejegyzésére. A Tinder biztonsági csapata a következő választ küldte Zboralskinak, amikor jelentette nekik ezt a támadást.
Míg a Tinder több manuális és automatizált mechanizmust alkalmaz a hamis és / vagy duplikált profilok elrettentésére, végső soron nem reális, hogy bármely vállalat pozitívan érvényesítse a felhasználók millióinak valós identitását, miközben fenntartja a általában elvárt használhatósági szintet.
Nem ez az egyetlen közelmúltbeli biztonsági figyelmeztetés a vállalat számára, és valódi arcokat használó hamis profilok magányos férfiak és nők átverésére a közösségi médiában valódi problémát jelent. Korábban beszámoltunk egy orosz startupról, az N-Tech Labs-ról, amely mobiltelefon-fotókat készíthet, és megbízhatóan hozzáillesztheti azokat a VK tagjaihoz, egy olyan oldalhoz, mint a Facebook. Dr. Alec Couros hasonlóságát nagyon széles körben használták online romantikus csalások lebonyolítására, beleegyezése nélkül . Ez még csak egy ok, amiért az online randevúság szörnyű.
Ennek a problémának a meglévő technológiával megoldhatónak kell lennie. Ha a gépi tanulás elég jó lett ahhoz, hogy megegyezzen ugyanazon arc két különböző fotójával, akkor azt gondolná, hogy alapvetően pontosan ugyanannak a fényképnek a megfeleltetése szellő. A Tinder, amely az online társkereső oldalak Match Group tulajdonában van, nem volt azonnal elérhető annak megjegyzéséhez, hogy gépi tanulást használ-e az effajta hamisítás észlelésére. A fenti válasz azonban nem biztató.
Remélhetőleg a MiTM támadásoknak ez a magyarázata megkönnyíti a lehallgatás online működésének képét, ahelyett, hogy könnyebbé tenné a barátai hétvégéinek tönkretételét. És ha kúszik, akkor talán nem használja szolgáltatások, például a Gmail és Allo, amelyek alapvetően lehallgatási technika, amelyet választunk. Ha bruttó, ha egy ember hallgat egy beszélgetést, miért nem brutális, ha az óriáscégek minden beszélgetést meghallgatnak?
Legyen óvatos odakint.
h / t: Detectify hírlevele .
