Встретить милого было бы не совсем точно.Фото: ГРЭГ ВУД / AFP / Getty Images Если ваши глаза тускнеют, когда вы видите термин «атака« человек посередине »[MiTM] в технических новостях о нарушениях безопасности, вы можете быть прощены. Звучит действительно абстрактно. Мы постарались сделать его более захватывающим, когда писали о первый крупный порносайт, защищенный TLS , но это все еще сложно представить. Исследователь безопасности и основатель стартапа Энтони Зборальски из Существо , написал сообщение на канале Hacker Emergency Response Team’s блог, в котором он описывает эти афера понятными для всех словами: кетфишинг.
Я пишу это, чтобы помочь вам представить себе, как работает киберпреступность и почему важна конфиденциальность, но давайте сначала сделаем все немного более конкретным. Если вы можете участвовать в свидании двух людей, строящих планы без их ведома, вы можете пошалить. Например, предположим, вы используете следующую технику, чтобы Шон и Дженнифер неосознанно общались через вас, чтобы назначить дату на пятницу в 8. Затем вы можете запланировать встречу еще трех женщин с Шоном в одно и то же время и в одном месте, без какого-либо другого. Шон или Дженнифер знают, что ты задумал. Используя этот метод, потенциальные любовники не осознают, что кто-то еще знает их планы, но вы знаете.
Вот как Зборальски описывает, как можно запустить атаку MiTM, чтобы подслушать, как два человека строят планы, и даже вмешаться в вашу собственную схему. Не делай этого. Это ужасно. Если только вы не мизантроп. Тогда, вероятно, нет лучшего способа провести выходные.
Возможно, вам придется прочитать это несколько раз, чтобы получить его. Если бы это не сбивало с толку, все бы делали это постоянно. Тем не менее, это совсем не техническое дело.
Во-первых, вам понадобится аккаунт Tinder, чтобы провести небольшое исследование. Для наиболее быстрых результатов найдите профиль настоящего, довольно привлекательного мужчины поблизости от того места, где вы живете. Назовем его Шон. «Первоначальной целью должен быть мужчина, атака с меньшей вероятностью будет успешной, если мы выберем женщину», - пишет Зборальский. Мужчины предлагают, женщины распоряжаются… (Если все это звучит для вас слишком бинарно по гендерному признаку, просьба предпринять более осознанное нарушение чьей-либо частной жизни и сообщить нам, как это работает.) Сделайте скриншоты фотографий Шона и используйте их для настройки поддельный профиль Tinder (для которого потребуется поддельный профиль Facebook). Убедитесь, что вы указали то же имя и, возможно, того же возраста.
Во-вторых, как сумасшедший, проведите пальцем вправо своим поддельным профилем. Просто поезжай в город. Делайте это до тех пор, пока кто-то не подойдет вам, и вы считаете, что настоящему Шону будет трудно сопротивляться. Теперь у вас есть наживка. Сделайте скриншоты всех ее фотографий и создайте второй фальшивый профиль для девушки. Допустим, ее звали Дженнифер.
В-третьих, возьмите свой поддельный профиль Дженнифер и проведите пальцем по экрану, пока не найдете настоящего Шона. Проведите вправо. На самом деле Зборальский предлагает использовать суперлайки. Скрестите пальцы. На этом этапе вам, вероятно, понадобится второе устройство, например, дешевый телефон с записывающим устройством или планшет, для дополнительного профиля. Пока настоящий Шон совпадает с фальшивой Дженнифер, вы в бизнесе (если нет, вы всегда можете просто найти новую пару для своего фальшивого Шона).
Теперь вы можете подслушивать их разговор. Все, что настоящая Дженнифер говорит фальшивому Шону или наоборот, вы просто копируете в сообщение из другого фальшивого аккаунта в другой реальный аккаунт.
Итак, если Шон использует клавиатуру Dating Hacks , он может начать с чего-то вроде. Мои родители так взволнованы, что не могут дождаться встречи с вами! Только фальшивая Дженнифер получит его. Так что скопируйте это как сообщение в фальшивый аккаунт Шона и отправьте его настоящей Дженнифер - вы следовали за этим? Жду их ответа. Скопируйте снова, и так далее.
Предполагая, что у Шона адекватная игра, он будет говорить цифрами. Если он это сделает, это не означает, что вы должны прекратить прослушивание. Просто замените реальные номера телефонов, которые соответствуют поддельным телефонам. Отсюда это должно быть очень просто, потому что никто больше не звонит по телефону. При условии, что никто на самом деле не пытается позвонить друг другу, копировать текст не должно быть сложнее, чем копировать сообщения Tinder. Однако, если кто-то действительно станет странным и позвонит, в посте Зборальского есть инструкции.
СМОТРИ ТАКЖЕ: Сеть знакомств по борьбе с кетфишингом.
Вы сможете продолжать слушать, пока они, наконец, не назначат настоящее свидание и не встретятся лицом к лицу.
В том, что я только что описал, все, что вы делаете, это слушаете. Это весело, но довольно банально.
Возможности действительно безграничны. Фактически, если вы действительно хотите настроить таргетинг на конкретного пользователя Tinder, вы, вероятно, сможете его использовать, если знаете его достаточно хорошо. Если вы сделаете это, вы ужасны. Забавно, но ужасно.
Tinder может не отслеживать все места, где вы входите, но у него не было отличного ответа на сообщение Зборальского. Команда безопасности Tinder отправила Зборальскому следующий ответ, когда он сообщил им об этой атаке.
Хотя Tinder действительно использует несколько ручных и автоматических механизмов для предотвращения поддельных и / или дублирующих профилей, в конечном итоге для какой-либо компании нереально подтвердить подлинную личность миллионов пользователей при сохранении обычно ожидаемого уровня удобства использования.
Это не единственный недавний промах компании, и фальшивые профили с использованием реальных лиц для обмана одиноких мужчин и женщин в социальных сетях - настоящая проблема. Ранее мы сообщали о российском стартапе N-Tech Labs, который может делать фотографии с мобильных телефонов и надежно сопоставлять их с пользователями ВКонтакте, сайта, очень похожего на Facebook. Сходство доктора Алека Куроса очень широко использовалось в Интернете для розыгрыша романтических рассылок, без его согласия . Это еще одна причина того, почему онлайн-знакомства - это ужасно.
Эта конкретная проблема должна быть решена с помощью существующих технологий. Если машинное обучение стало достаточно хорошим, чтобы сопоставить две разные фотографии одного и того же лица, вы могли бы подумать, что сопоставление в основном одной и той же фотографии было бы проще простого. Tinder, принадлежащий Match Group сайтов онлайн-знакомств, не был немедленно доступен для комментариев о том, использует ли он машинное обучение для обнаружения такого рода подделок. Однако приведенный выше ответ не обнадеживает.
Будем надеяться, что такое объяснение атак MiTM облегчит представление о том, как работает подслушивание в сети, вместо того, чтобы представить себе, как портят выходные друзьям. А если вас это пугает, то, может быть, не используйте такие сервисы, как Gmail а также Алло, которые в основном технология подслушивания, которую мы используем. Если одному человеку плохо подслушивать один разговор, почему гигантским компаниям не плохо подслушивать все разговоры?
Будьте осторожны там.
ч / т: Информационный бюллетень Detectify .
