Ontmoet oulik sou nie presies akkuraat wees nie.Foto: GREG WOOD / AFP / Getty Images As u oë glinster as u die term man-in-die-middel-aanval [MiTM] in tegnologiese nuus oor veiligheidsoortredings sien, kan u vergewe word. Dit klink regtig abstrak. Ons het probeer om dit 'n bietjie meer opwindend te maak toe ons daaroor geskryf het die eerste groot pornwebwerf wat TLS-veilig is , maar dit is nog steeds moeilik om voor te stel. Sekuriteitsnavorser en oprigter, Anthony Zboralski van Die wese , het 'n berig op Hacker Emergency Response Team's Medium geskryf blog waar hy hierdie bedrogspul in terme stel wat almal kan verstaan: katvisvang.
Ek skryf dit om u te help om te sien hoe kubermisdaad werk en waarom privaatheid belangrik is, maar laat ons dit alles eers 'n bietjie meer konkreet maak. As u uself kan insit in twee mense se afspraak met planne sonder dat hulle dit weet, kan u grappies trek. Laat ons byvoorbeeld sê dat u die volgende tegniek gebruik sodat Shawn en Jennifer onwetend deur u kommunikeer om 'n datum vir Vrydag om 8 op te stel. U kan dan nog drie vroue beplan om op dieselfde tyd en plek met Shawn te ontmoet, sonder om een Shawn of Jennifer weet wat jy doen. Met hierdie metode besef die potensiële paramours nie dat iemand anders hul planne ken nie, maar u wel.
Hier is hoe Zboralski beskryf hoe u 'n MiTM-aanval kan uitvoer om na twee mense te luister wat planne beraam en selfs u eie skema kan onderbreek. Moenie dit doen nie. Dis verskriklik. Tensy jy 'n misantroop is. Dan is daar waarskynlik nie 'n beter manier om u naweek deur te bring nie.
U moet dit miskien meer as een keer lees om dit te kry. As dit nie verwarrend was nie, sou almal hierdie dinge heeltyd doen. Dit gesê, dit is glad nie tegnies nie.
Eerstens het u 'n Tinder-rekening nodig om navorsing te doen. Vir die vinnigste resultate, soek 'n profiel van 'n regte, redelik aantreklike man in die omgewing van u woonplek. Kom ons noem hom Shawn. Die aanvanklike teiken moet 'n man wees. Die aanval sal minder waarskynlik slaag as ons 'n vrou kies, skryf Zboralski. Mans stel voor, vroue verkoop ... (As dit vir u 'n bietjie geslagsbinaries klink, moet u asseblief 'n meer verligte skending van iemand se privaatheid doen en laat weet hoe dit werk.) Neem kiekies van Shawn se foto's en gebruik dit om op te stel. 'n valse Tinder-profiel (wat 'n valse Facebook-profiel benodig). Stel dit op dieselfde voornaam en waarskynlik dieselfde ouderdom.
Tweedens, vee reguit met jou vals profiel soos mal. Gaan net dorp toe. Doen dit totdat iemand met u ooreenstem wat volgens u moeilik is om die ware Shawn te weerstaan. Nou het jy jou aas. Neem kiekies van al haar foto's en stel u tweede vals profiel op vir die dame. Kom ons sê haar naam was Jennifer.
Derdens, neem u vals Jennifer-profiel en vee totdat u die regte Shawn vind. Swiep regs. In werklikheid stel Zboralski voor dat jy super-likes gebruik. Kruis jou vingers. Op hierdie stadium het u waarskynlik 'n tweede toestel nodig, soos miskien 'n goedkoop brandertelefoon of 'n tablet, vir die bykomende profiel. Solank as wat die regte Shawn ooreenstem met die vals Jennifer, is u besig (as hy dit nie doen nie, kan u altyd net 'n nuwe wedstryd vir u vals Shawn vind).
Nou is u in staat om hul gesprek af te luister. Alles wat die ware Jennifer vir die valse Shawn sê, of andersom, kopieer u net na 'n boodskap van die ander valse rekening na die ander regte rekening.
Dus, as Shawn gebruik die Dating Hacks-sleutelbord , kan hy dalk open met iets soos My ouers is so opgewonde, hulle kan nie wag om jou te ontmoet nie! Net die vals Jennifer sal dit ontvang. Kopieer dit dus as 'n boodskap in die vals Shawn-rekening en stuur dit na regte Jennifer - het u dit gevolg? Wag op hul antwoord. Kopieer weer, en so gaan dit.
As ons aanneem dat Shawn voldoende spel het, sal hy syfers in syfers bespreek. Mits hy dit doen, beteken dit nie dat u moet ophou luister nie. Vervang die regte telefoonnommers deur telefoonnommers wat ooreenstem met valse telefone. Dit behoort van hier af baie maklik te wees, want niemand bel eintlik meer nie. Mits niemand mekaar regtig probeer bel nie, moet dit nie moeiliker wees om tekste te kopieer as om Tinder-boodskappe te kopieer nie. As iemand wel vreemd raak en bel, het die boodskap van Zboralski instruksies.
SIEN OOK: Die anti-catfishing dateringsnetwerk.
U sal kan aanhou luister totdat die twee uiteindelik 'n regte afspraak opstel en van aangesig tot aangesig ontmoet.
In wat ek pas beskryf het, is alles wat u doen om in te luister. Wat lekker is, maar redelik mak.
Die moontlikhede is regtig eindeloos. In werklikheid, as u regtig 'n spesifieke Tinder-gebruiker wil teiken, kan u dit waarskynlik swaai as u hulle goed genoeg ken. As u dit doen, is u verskriklik. Snaaks, maar aaklig.
Tinder hou miskien nie al die plekke by waar u aanmeld nie, maar dit het nie 'n goeie antwoord op Zboralski se boodskap gehad nie. Die Tinder-sekuriteitspan het Zboralski die volgende reaksie gestuur toe hy hierdie aanval aan hulle rapporteer.
Alhoewel Tinder verskeie handmatige en outomatiese meganismes gebruik om vals en / of duplikaatprofiele af te skrik, is dit uiteindelik nie realisties vir enige onderneming om die werklike identiteit van miljoene gebruikers positief te bevestig nie, terwyl die algemeen verwagte bruikbaarheidsvlak behoue bly.
Dit is nie die enigste onlangse veiligheidsbriefie vir die maatskappy nie, en vals profiele wat regte gesigte gebruik om eensame mans en vroue op sosiale media te bedrieg, is 'n werklike probleem. Ons het vroeër berig oor 'n Russiese opstart, N-Tech Labs, wat selfoonfoto's kan neem en dit betroubaar kan ooreenstem met lede van VK, 'n webwerf soos Facebook. Dr. Alec Couros se gelykenis is baie wyd aanlyn gebruik om romanse-swendelary uit te voer, sonder sy toestemming . Dit is net nog een rede waarom aanlyn afsprake verskriklik is.
Hierdie spesifieke probleem moet oplosbaar wees met bestaande tegnologie. As masjienleer goed genoeg geword het om twee verskillende foto's van dieselfde gesig te pas, sou u dink dat dit presies dieselfde foto sou wees om presies dieselfde foto te pas. Tinder, wat deur die Match Group van aanlyn-afsprakwebwerwe besit word, was nie onmiddellik beskikbaar om kommentaar te lewer oor die vraag of dit masjienleer gebruik om hierdie soort bedrog te sien nie. Die antwoord hierbo is egter nie bemoedigend nie.
Hopelik maak hierdie verduideliking van MiTM-aanvalle dit makliker om voor te stel hoe afluister aanlyn werk eerder as om dit vir u makliker te maak om u vriende se naweke te verwoes. En as dit u uitkruip, gebruik dit miskien nie dienste soos Gmail en Allo, wat basies is afluister tegnologie wat ons kies. As dit vir een persoon grof is om na een gesprek te luister, waarom is dit nie vir reuse-maatskappye grof om na alle gesprekke te luister nie?
Wees versigtig daar buite.
h / t: Detectify se nuusbrief .
