Møt søte ville ikke være nøyaktig.Foto: GREG WOOD / AFP / Getty Images Hvis øynene glir over når du ser begrepet mann-i-midten-angrep [MiTM] i tekniske nyheter om sikkerhetsbrudd, kan du bli tilgitt. Det høres veldig abstrakt ut. Vi prøvde å gjøre det litt mer spennende da vi skrev om det første store pornosiden som går TLS-sikkert , men det er fortsatt vanskelig å forestille seg. Sikkerhetsforsker og oppstartsgrunnlegger, Anthony Zboralski fra Skapningen , skrev et innlegg på Hacker Emergency Response Team’s Medium blogg hvor han setter disse svindlene i vilkår alle kan forstå: catfishing.
Jeg skriver dette for å hjelpe deg med å forestille deg hvordan nettkriminalitet fungerer og hvorfor personvern er viktig, men la oss gjøre det hele litt mer konkret først. Hvis du kan sette deg inn i to menneskers dato for å lage planer uten at de vet det, kan du trekke sprell. La oss for eksempel si at du bruker følgende teknikk slik at Shawn og Jennifer uvitende kommuniserer gjennom deg for å sette opp en dato for fredag klokka 8. Du kan da planlegge tre kvinner til å møte Shawn på samme tid og sted, uten noen av dem Shawn eller Jennifer vet hva du driver med. Med denne metoden innser de potensielle paramourene ikke at noen andre kjenner planene sine, men du gjør det.
Slik beskriver Zboralski hvordan du kan kjøre et MiTM-angrep for å lytte til to personer som planlegger og til og med sprøyter inn din egen ordning. Ikke gjør dette. Det er forferdelig. Med mindre du er en misantrop. Da er det sannsynligvis ikke en bedre måte å tilbringe helgen på.
Du må kanskje lese dette mer enn en gang for å få det. Hvis det ikke var forvirrende, ville alle gjøre disse tingene hele tiden. Når det er sagt, er det ikke teknisk i det hele tatt.
Først trenger du en Tinder-konto for å undersøke. For de raskeste resultatene, finn en profil av en ekte, ganske attraktiv mann i nærheten der du bor. La oss kalle ham Shawn. Det opprinnelige målet må være en mann, angrepet er mindre sannsynlig å lykkes hvis vi velger en kvinne, skriver Zboralski. Menn foreslår, kvinner disponerer ... (Hvis alt dette høres litt for kjønnsbinært ut for deg, kan du kjøre et mer opplyst brudd på noens personvern og gi oss beskjed om hvordan det fungerer.) Ta skjermbilder av Shawns bilder og bruk dem til å sette opp en falsk Tinder-profil (som vil kreve en falsk Facebook-profil). Husk å sette den til samme fornavn og sannsynligvis samme alder.
For det andre, sveip til høyre med den falske profilen din som en gal. Bare gå til byen. Gjør det til noen samsvarer med deg som du tror vil være vanskelig for den virkelige Shawn å motstå. Nå har du agnet ditt. Ta skjermbilder av alle bildene hennes og sett opp din andre falske profil for damen. La oss si at hun het Jennifer.
For det tredje, ta din falske Jennifer-profil og sveip til du finner den virkelige Shawn. Sveip til høyre. Faktisk foreslår Zboralski å bruke super-likes. Kryss fingrene. På dette tidspunktet vil du sannsynligvis trenge en ekstra enhet, som kanskje en billig brennertelefon eller et nettbrett, for den ekstra profilen. Så lenge den virkelige Shawn samsvarer med den falske Jennifer, er du i virksomhet (hvis han ikke gjør det, kan du alltid bare finne en ny kamp for din falske Shawn).
Nå er du i stand til å avlytte samtalen deres. Alt som den virkelige Jennifer sier til den falske Shawn, eller omvendt, kopierer du bare til en melding fra den andre falske kontoen til den andre virkelige kontoen.
Så hvis Shawn bruker Dating Hacks Keyboard , han kan åpne med noe sånt som foreldrene mine er så glade, de gleder seg til å møte deg! Bare falske Jennifer vil motta den. Så kopier det som en melding til falsk Shawn-konto og send den til ekte Jennifer - fulgte du det? Vent på svaret. Kopier igjen, og så går det.
Forutsatt at Shawn har tilstrekkelig spill, vil han snakke seg inn i sifre. Forutsatt at han gjør det, betyr ikke det at du må slutte å lytte. Bare bytt ut de virkelige telefonnumrene med telefonnumre som tilsvarer falske telefoner. Dette burde være superenkelt herfra, fordi ingen faktisk ringer lenger. Forutsatt at ingen faktisk prøver å ringe hverandre, bør det ikke være vanskeligere å kopiere tekster enn det var å kopiere Tinder-meldinger. Hvis noen faktisk blir rare og ringer, har Zboralskis innlegg instruksjoner.
SE OGSÅ: Det anti-catfishing datanettverket.
Du kommer til å kunne fortsette å lytte inn til de to endelig setter opp en ekte date og møtes ansikt til ansikt.
I det jeg nettopp har beskrevet, er alt du gjør å lytte inn. Noe som er morsomt, men ganske tamt.
Mulighetene er virkelig uendelige. Faktisk, hvis du virkelig vil målrette mot en bestemt Tinder-bruker, kan du sannsynligvis svinge den hvis du kjenner dem godt nok. Hvis du gjør dette, er du forferdelig. Morsomt, men forferdelig.
Tinder holder kanskje ikke oversikt over alle stedene du logger på, men den hadde ikke noe godt svar på Zboralskis innlegg. Tinder Security Team sendte Zboralski følgende svar da han rapporterte dette angrepet til dem.
Selv om Tinder bruker flere manuelle og automatiserte mekanismer for å avskrekke falske og / eller dupliserte profiler, er det til slutt urealistisk for ethvert selskap å validere den virkelige identiteten til millioner av brukere samtidig som det opprettholder det ofte forventede bruksnivået.
Det er ikke den eneste nylige sikkerhetsbrikken for selskapet, og falske profiler som bruker ekte ansikter for å svindle ensomme menn og kvinner på sosiale medier, er et reelt problem. Vi rapporterte tidligere om en russisk oppstart, N-Tech Labs, som kan ta mobiltelefonbilder og på en pålitelig måte matche dem med medlemmer av VK, et nettsted som ligner på Facebook. Dr. Alec Couros likhet har blitt brukt mye på nettet for å drive romantikk-svindel, uten hans samtykke . Det er bare en grunn til at online dating er forferdelig.
Dette spesielle problemet bør være løst med eksisterende teknologi. Hvis maskinlæring har blitt god nok til å matche to forskjellige bilder av samme ansikt, ville du tro at det å matche det nøyaktig samme bildet ville være en lek å matche. Tinder, som eies av Match Group av online datingsider, var ikke umiddelbart tilgjengelig for kommentarer om hvorvidt den bruker maskinlæring for å få øye på denne typen falskhet. Svaret ovenfor er imidlertid ikke oppmuntrende.
Forhåpentligvis gjør denne forklaringen av MiTM-angrep det lettere å forestille seg hvordan avlytting fungerer online, i stedet for å gjøre det lettere for deg å bilde ødelegger vennenes helger. Og hvis det smyger deg ut, så kanskje ikke bruk tjenester som Gmail og Allo, som er i utgangspunktet avlyttingsteknologi som vi velger. Hvis det er grovt for en person å høre på en samtale, hvorfor er det ikke grovt for gigantiske selskaper å høre på alle samtaler?
Vær forsiktig der ute.
t / t: Detectifys nyhetsbrev .
