Tapaa söpö ei olisi tarkasti tarkka.Kuva: GREG WOOD / AFP / Getty Images Jos silmäsi laskeutuvat, kun näet termi man-in-the-middle-hyökkäys [MiTM] tietoturvarikkomuksista, saat anteeksi. Se kuulostaa todella abstraktilta. Yritimme tehdä siitä hieman jännittävämmän kirjoittaessamme ensimmäinen iso pornosivusto, joka on TLS-suojattu , mutta sitä on silti vaikea kuvata. Turvallisuustutkija ja startup-perustaja, Anthony Zboralski Olento , kirjoitti viestin Hacker Emergency Response Team's Medium -lehdelle blogi, jossa hän esittää nämä huijaukset siten, että kaikki voivat ymmärtää: catfishing.
Kirjoitan tämän auttaakseni sinua ymmärtämään, kuinka tietoverkkorikollisuus toimii ja miksi yksityisyys on tärkeää, mutta tehkäämme ensin kaikki konkreettisemmiksi. Jos pystyt sisällyttämään itsesi kahden ihmisen treffityösuunnitelmaan ilman heidän tietävänsä, voit vetää kepposia. Oletetaan esimerkiksi, että käytät seuraavaa tekniikkaa, jotta Shawn ja Jennifer tietämättään kommunikoivat sinun välityksellä asettamaan päivämäärän perjantaille klo 8. Voit sitten suunnitella vielä kolme naista tapaamaan Shawnia samaan aikaan ja paikassa ilman, että kumpikaan Shawn tai Jennifer tietävät mitä olit tekemässä. Tällä menetelmällä mahdolliset paramourit eivät ymmärrä, että kukaan muu tietää heidän suunnitelmansa, mutta sinä tiedät.
Näin Zboralski kuvaa, kuinka voit suorittaa MiTM-hyökkäyksen kuunnellaksesi kahta suunniteltua henkilöä ja jopa välittäen oman suunnitelmasi. Älä tee tätä. Se on kamalaa. Ellet ole väärinkäyttäjä. Sitten ei todennäköisesti ole parempaa tapaa viettää viikonloppu.
Saatat joutua lukemaan tämän useammin kuin kerran saadaksesi sen. Jos se ei olisi hämmentävää, kaikki tekisivät näitä asioita koko ajan. Se ei kuitenkaan ole lainkaan tekninen.
Ensinnäkin tarvitset Tinder-tilin tutkimustyöhön. Nopeimmat tulokset löytyvät lähellä olevan asuinpaikkasi aidon, melko houkuttelevan miehen profiilista. Kutsutaan häntä Shawniksi. Alkuperäisen kohteen on oltava mies, hyökkäys ei todennäköisesti onnistu, jos valitsemme naisen, Zboralski kirjoittaa. Miehet ehdottavat, naiset hävittävät… (Jos tämä kaikki kuulostaa sinulle liian sukupuolibinaariselta, suorita valaistuneempi jonkun yksityisyyden loukkaaminen ja ilmoita meille, miten se toimii.) Ota kuvakaappauksia Shawnin valokuvista ja käytä niitä perustamiseen väärennetty Tinder-profiili (joka vaatii väärennetyn Facebook-profiilin). Muista asettaa se samalle etunimelle ja todennäköisesti samalle iälle.
Toiseksi pyyhkäise oikealle väärennetyn profiilisi kanssa kuin hullu. Mene vain kaupunkiin. Tee sitä, kunnes joku sopii kanssasi, jonka uskot todellisen Shawnin olevan vaikea vastustaa. Nyt sinulla on syötti. Ota kuvakaappauksia kaikista hänen valokuvistaan ja aseta toinen väärennetty profiili naiselle. Sanotaan, että hänen nimensä oli Jennifer.
Kolmanneksi, ota väärennetty Jennifer-profiilisi ja pyyhkäise, kunnes löydät oikean Shawnin. Pyyhkäise oikealle. Itse asiassa Zboralski ehdottaa supertykkäysten käyttöä. Risti sormesi. Tässä vaiheessa tarvitset todennäköisesti toisen laitteen, kuten ehkä halvan polttopuhelimen tai tabletin, lisäprofiiliin. Niin kauan kuin todellinen Shawn sopii väärennetyn Jenniferin kanssa, olet liike-elämässä (jos hän ei, voit aina löytää uuden ottelun väärennetylle Shawnillesi).
Nyt voit kuunnella heidän keskusteluaan. Kaikki mitä todellinen Jennifer sanoo väärennetylle Shawnille tai päinvastoin, kopioit vain viestiksi toiselta väärältä tililtä toiselle todelliselle tilille.
Joten, jos Shawn käyttää Dating Hacks -näppäimistöä , hän saattaa avata jotain vanhempani ovat niin innoissaan, että he eivät voi odottaa tapaavansa sinua! Vain, väärennetty Jennifer saa sen. Joten kopioi se viestinä väärennetylle Shawn-tilille ja lähetä se todelliselle Jenniferille - seurasitko sitä? Odota heidän vastaustaan. Kopioi uudelleen, ja niin se menee.
Olettaen, että Shawnilla on riittävä peli, hän puhuu tiensä numeroihin. Mikäli hän tekee, se ei tarkoita, että sinun on lopetettava kuuntelu. Korvaa vain oikeat puhelinnumerot väärennettyjä puhelimia vastaavilla puhelinnumeroilla. Tämän pitäisi olla erittäin helppoa täältä, koska kukaan ei soita enää. Jos kukaan ei todellakaan yritä soittaa toisilleen, tekstien kopioinnin ei pitäisi olla vaikeampi kuin Tinder-viestien kopioiminen. Jos joku todella tulee oudoksi ja soittaa, Zboralskin postilla on ohjeet.
KATSO MYÖS: catfishing-treffiverkosto.
Pystyt jatkamaan kuuntelua, kunnes molemmat asettavat lopulta oikean treffin ja tapaavat kasvotusten.
Juuri kuvailemassani teet vain kuuntelua. Mikä on hauskaa, mutta melko kesy.
Mahdollisuudet ovat todella rajattomat. Itse asiassa, jos haluat todella kohdistaa tiettyyn Tinder-käyttäjään, voit todennäköisesti kääntää sitä, jos tunnet heidät riittävän hyvin. Jos teet tämän, olet kauhea. Hauska, mutta kauhea.
Tinder ei välttämättä seuraa kaikkia paikkoja, joihin kirjaudut, mutta sillä ei ollut hyvää vastausta Zboralskin viestiin. Tinder Security Team lähetti Zboralskille seuraavan vastauksen, kun hän ilmoitti heille tästä hyökkäyksestä.
Vaikka Tinder käyttää useita manuaalisia ja automatisoituja mekanismeja väärennettyjen ja / tai päällekkäisten profiilien estämiseksi, on viime kädessä epärealistista, että kukaan yritys vahvistaa positiivisesti miljoonien käyttäjien todellisen identiteetin säilyttäen samalla yleisesti odotetun käytettävyyden tason.
Se ei ole ainoa viimeinen turvallisuuslippu yritykselle, ja väärennetyt profiilit, joissa käytetään todellisia kasvoja yksinäisten miesten ja naisten huijaamiseksi sosiaalisessa mediassa, on todellinen ongelma. Olemme aiemmin raportoineet venäläisestä startupista, N-Tech Labsista, joka voi ottaa matkapuhelinkuvia ja sovittaa ne luotettavasti VK: n jäseniin, joka on paljon kuin Facebook. Tohtori Alec Courosin ulkonäköä on käytetty verkossa hyvin laajalti romantiikan huijauksiin, ilman hänen suostumustaan . Se on vain yksi syy, miksi online-dating on kauheaa.
Tämän erityisen ongelman pitäisi olla ratkaistavissa nykyisellä tekniikalla. Jos koneoppiminen on saanut tarpeeksi hyvää vastaamaan kahta erilaista kuvaa samasta kasvosta, luulisi, että saman kuvan sovittaminen olisi helppoa. Tinder, jonka omistaa online-treffisivustojen Match Group, ei ollut heti käytettävissä kommentoitavaksi siitä, käyttääkö se koneoppimista tällaisen huijauksen havaitsemiseksi vai ei. Yllä oleva vastaus ei kuitenkaan ole rohkaisevaa.
Toivottavasti tämä selitys MiTM-hyökkäyksistä helpottaa kuvailemista, miten salakuuntelu toimii verkossa, sen sijaan, että helpottaisi kuvien tuhoamista ystävien viikonloppuisin. Ja jos se hiipii sinut ulos, niin et ehkä käytä palveluita, kuten Gmail ja Allo, jotka ovat pohjimmiltaan salakuuntelutekniikka, johon valitsemme. Jos yhdelle henkilölle on kova kuunnella yhtä keskustelua, miksi jättiläisten yritysten ei ole kovaa kuunnella kaikkia keskusteluja?
Ole varovainen siellä.
h / t: Tunnista uutiskirje .
