Upoznajte slatko ne bi bilo precizno.Foto: GREG WOOD / AFP / Getty Images Ako vam se oči zalijepe kad u tehničkim vijestima o probojima u sigurnosti vidite pojam napada čovjek-u-sredini [MiTM], može vam se oprostiti. Zvuči stvarno apstraktno. Pokušali smo to učiniti malo uzbudljivijim kad smo o tome pisali prva velika porno stranica koja je postala TLS-sigurna , ali još uvijek je teško zamisliti. Istraživač sigurnosti i osnivač startupa, Anthony Zboralski iz Stvorenje , napisao je članak na Hacker Emergency Response Team’s Medium blog na kojem ove prijevare stavlja u termine koje svi mogu razumjeti: lov na mačke.
Pišem vam ovo kako bih vam pomogao da shvatite kako internetski kriminal djeluje i zašto je privatnost važna, ali učinimo to sve malo konkretnijim. Ako se možete umetnuti u sastavljanje planova za dvoje ljudi bez da oni to znaju, možete povući podvale. Na primjer, recimo da koristite sljedeću tehniku kako Shawn i Jennifer nesvjesno komuniciraju putem vas kako biste odredili datum za petak u 8. Tada biste mogli zakazati još tri žene da se sastanu sa Shawnom u isto vrijeme i na mjestu, bez ikakvog Shawn ili Jennifer znajući što namjeravate. Ovom metodom potencijalni paramoursi ne shvaćaju da netko drugi zna njihove planove, ali vi to znate.
Evo kako Zboralski opisuje kako možete pokrenuti MiTM napad kako biste preslušali dvoje ljudi koji planiraju i čak ubacili vlastiti plan. Ne radi to. To je strašno. Osim ako niste mizantrop. Tada vjerojatno ne postoji bolji način da provedete vikend.
Možda ćete ovo trebati pročitati više puta da biste ga dobili. Da nije zbunjujuće, svi bi stalno radili ove stvari. Usput, uopće nije tehničko.
Prvo, trebat će vam Tinder račun za neko istraživanje. Za najbrže rezultate pronađite profil pravog, prilično atraktivnog muškarca u blizini u kojoj živite. Nazovimo ga Shawn. Početna meta mora biti mužjak, manje je vjerojatno da će napad uspjeti ako odaberemo ženu, piše Zboralski. Muškarci predlažu, žene raspolažu ... (Ako vam sve ovo zvuči previše rodno binarno, molim vas pokrenite prosvijećenije kršenje nečije privatnosti i javite nam kako to funkcionira.) Snimite snimke zaslona Shawnovih fotografija i upotrijebite ih za postavljanje lažni Tinder profil (za koji će biti potreban lažni Facebook profil). Obavezno ga postavite na isto ime i vjerojatno iste dobi.
Drugo, prijeđite prstom udesno svojim lažnim profilom kao ludi. Samo idi u grad. Učinite to dok se netko ne podudara s vama za kojeg vjerujete da će pravi Shawn teško odoljeti. Sad imate svoj mamac. Snimite snimke zaslona svih njezinih fotografija i postavite svoj drugi lažni profil za damu. Recimo da se zvala Jennifer.
Treće, uzmite svoj lažni Jennifer profil i prijeđite prstom dok ne pronađete pravog Shawna. Prijeđite prstom udesno. Zapravo, Zboralski predlaže korištenje super-lajkova. Prekriži prste. U ovom trenutku vjerojatno će vam trebati drugi uređaj, poput možda jeftinog telefona s gorionikom ili tableta, za dodatni profil. Sve dok se pravi Shawn poklapa s lažnom Jennifer, poslujete (ako on to ne učini, uvijek možete jednostavno pronaći novu utakmicu za svog lažnog Shawna).
Sad ste u prilici prisluškivati njihov razgovor. Sve što prava Jennifer kaže lažnom Shawnu ili obrnuto, jednostavno kopirate u poruku s drugog lažnog računa na drugi stvarni račun.
Dakle, ako je Shawn koristi tipkovnicu Dating Hacks , mogao bi otvoriti s nečim poput Moji roditelji su toliko uzbuđeni, da jedva čekaju da vas upoznaju! Primit će ga samo lažna Jennifer. Dakle, kopirajte to kao poruku na lažni Shawnov račun i pošaljite stvarnoj Jennifer - jeste li to slijedili? Čekajte njihov odgovor. Ponovno kopirajte i tako ide.
Pod pretpostavkom da Shawn ima adekvatnu igru, pretvorit će se u brojke. Pod uvjetom da to učini, to ne znači da morate prestati slušati. Samo zamijenite stvarne telefonske brojeve telefonskim brojevima koji odgovaraju lažnim telefonima. Odavde bi ovo moglo biti vrlo jednostavno, jer zapravo više nitko ne telefonira. Pod uvjetom da nitko zapravo ne pokušava nazvati jedni druge, kopiranje tekstova ne bi trebalo biti teže nego kopiranje Tinder poruka. Ako se netko uistinu začudi i nazove, pošta Zboralskog ima upute.
POGLEDAJTE TAKOĐE: Mreža za sastanke protiv ribolova na som.
Moći ćete nastaviti slušati sve dok njih dvoje napokon ne naprave pravi spoj i ne sretnu se licem u lice.
U ovome što sam upravo opisao, sve što radite je slušanje. Što je zabavno, ali prilično pitomo.
Mogućnosti su zaista beskrajne. Zapravo, ako stvarno želite ciljati određenog korisnika Tindera, vjerojatno biste ga mogli zamahnuti ako ga dovoljno dobro poznajete. Ako to učinite, grozni ste. Smiješno, ali grozno.
Tinder možda neće pratiti sva mjesta na kojima ste se prijavili, ali nije imao sjajnog odgovora na objavu Zboralskog. Tinder sigurnosni tim poslao je Zboralskom sljedeći odgovor kada im je prijavio ovaj napad.
Iako Tinder koristi nekoliko ručnih i automatiziranih mehanizama za odvraćanje od lažnih i / ili dupliciranih profila, u konačnici je nerealno da bilo koja tvrtka pozitivno potvrdi stvarni identitet milijuna korisnika, a da istovremeno održi uobičajeno očekivanu razinu iskoristivosti.
To nije jedini nedavni sigurnosni listić za tvrtku, a lažni profili koji koriste stvarna lica za prevaru usamljenih muškaraca i žena na društvenim mrežama stvaran su problem. Prethodno smo izvještavali o ruskom startupu, N-Tech Labs, koji može snimati fotografije s mobitela i pouzdano ih podudarati s članovima VK, web mjesta poput Facebooka. Sličnost dr. Aleca Courosa vrlo se često koristi na mreži za vođenje prevara s ljubavlju, bez njegova pristanka . To je samo još jedan razlog zašto su internetska druženja užasna.
Ovaj bi se problem trebao riješiti postojećom tehnologijom. Ako je strojno učenje postalo dovoljno dobro da se podudara s dvije različite fotografije istog lica, pomislili biste da bi podudaranje potpuno iste fotografije bilo povjetarac. Tinder, koji je u vlasništvu Match grupe internetskih stranica za pronalazak partnera, nije bio odmah dostupan za komentar o tome koristi li strojno učenje za otkrivanje ove vrste laži. Odgovor iznad nije ohrabrujući, međutim.
Nadamo se da ovo objašnjenje MiTM napada olakšava prikaz načina na koji prisluškivanje djeluje na mreži, umjesto da vam olakšava prikazivanje slike koja uništava vikende vaših prijatelja. A ako vas prikrade, onda možda nemojte koristiti usluge poput Gmaila i Allo, koji su u osnovi prisluškujući tehnologiju za koju smo se odlučili. Ako je grozno da jedna osoba sluša jedan razgovor, zašto nije grozno da divovske tvrtke slušaju sve razgovore?
Budite oprezni vani.
h / t: Otkrijte bilten .
