Incontrare carino non sarebbe esattamente preciso.Foto: GREG WOOD/AFP/Getty Images Se i tuoi occhi si appannano quando vedi il termine attacco man-in-the-middle [MiTM] nelle notizie tecnologiche sulle violazioni della sicurezza, puoi essere perdonato. Sembra davvero astratto. Abbiamo cercato di renderlo un po' più eccitante quando ne abbiamo scritto il primo grande sito porno ad essere protetto da TLS , ma è ancora difficile da immaginare. Ricercatore di sicurezza e fondatore di startup, Anthony Zboralski di La creatura , ha scritto un post su Hacker Emergency Response Team's Medium blog dove mette queste truffe in termini comprensibili a tutti: catfishing.
Sto scrivendo questo per aiutarti a immaginare come funziona il crimine informatico e perché la privacy è importante, ma prima rendiamo tutto un po' più concreto. Se riesci a inserirti nei programmi di appuntamenti di due persone senza che loro lo sappiano, puoi fare scherzi. Ad esempio, supponiamo che tu usi la seguente tecnica in modo che Shawn e Jennifer comunichino inconsapevolmente attraverso di te per fissare un appuntamento per venerdì alle 8. Potresti quindi programmare altre tre donne per incontrarsi con Shawn alla stessa ora e luogo, senza che nessuna delle due Shawn o Jennifer sanno cosa stavi combinando. Con questo metodo, i potenziali amanti non si rendono conto che qualcun altro conosce i loro piani, ma tu sì.
Ecco come Zboralski descrive come puoi eseguire un attacco MiTM per ascoltare due persone che fanno piani e persino interporre il tuo schema. Non farlo. È terribile. A meno che tu non sia un misantropo. Allora probabilmente non c'è un modo migliore per trascorrere il fine settimana.
Potrebbe essere necessario leggerlo più di una volta per ottenerlo. Se non fosse confuso, tutti farebbero sempre queste cose. Detto questo, non è affatto tecnico.
Innanzitutto, avrai bisogno di un account Tinder per fare qualche ricerca. Per i risultati più rapidi, trova un profilo di un maschio reale e abbastanza attraente vicino a dove vivi. Chiamiamolo Shawn. L'obiettivo iniziale deve essere un maschio, l'attacco ha meno probabilità di successo se scegliamo una femmina, scrive Zboralski. Gli uomini propongono, le donne si liberano... (Se tutto questo ti suona un po' troppo di genere binario, per favore esegui una violazione più illuminata della privacy di qualcuno e facci sapere come funziona.) Prendi degli screenshot delle foto di Shawn e usali per impostare un falso profilo Tinder (che richiederà un falso profilo Facebook). Assicurati di impostarlo con lo stesso nome e probabilmente con la stessa età.
Secondo, scorri a destra con il tuo profilo falso come un matto. Basta andare in città. Fallo fino a quando qualcuno non si abbina a te a cui credi sarà difficile resistere per il vero Shawn. Ora hai la tua esca. Fai screenshot di tutte le sue foto e imposta il tuo secondo profilo falso, per la signora. Diciamo che si chiamava Jennifer.
Terzo, prendi il tuo falso profilo di Jennifer e scorri fino a trovare il vero Shawn. Scorri verso destra. In effetti, Zboralski suggerisce di usare i super-mi piace. Incrocia le dita. A questo punto, probabilmente avrai bisogno di un secondo dispositivo, come forse un telefono economico o un tablet, per il profilo aggiuntivo. Finché il vero Shawn corrisponde alla falsa Jennifer, sei in affari (se non lo fa, puoi sempre trovare una nuova corrispondenza per il tuo falso Shawn).
Ora sei in grado di origliare la loro conversazione. Tutto ciò che la vera Jennifer dice al falso Shawn, o viceversa, viene semplicemente copiato in un messaggio dall'altro account falso all'altro account reale.
Quindi, se Shawn usa la tastiera di incontri Hacks , potrebbe aprire con qualcosa come I miei genitori sono così eccitati, non vedono l'ora di conoscerti! Solo la finta Jennifer lo riceverà. Quindi copialo come messaggio nel falso account di Shawn e invialo alla vera Jennifer: l'hai seguito? Attendi la loro risposta. Copia di nuovo e così va.
Supponendo che Shawn abbia un gioco adeguato, si farà strada nelle cifre. A condizione che lo faccia, ciò non significa che devi smettere di ascoltare. Basta sostituire i numeri di telefono reali con i numeri di telefono che corrispondono a telefoni falsi. Dovrebbe essere semplicissimo da qui, perché nessuno fa più telefonate. A condizione che nessuno provi effettivamente a chiamarsi l'un l'altro, copiare i messaggi non dovrebbe essere più difficile di quanto non fosse copiare i messaggi di Tinder. Se qualcuno diventa davvero strano e chiama, però, il post di Zboralski contiene le istruzioni.
VEDERE ANCHE: La rete di incontri anti-catfishing.
Sarai in grado di continuare ad ascoltare fino a quando i due non fisseranno un vero appuntamento e si incontreranno faccia a faccia.
In quello che ho appena descritto, tutto ciò che stai facendo è ascoltare. Il che è divertente, ma piuttosto addomesticato.
Le possibilità sono davvero infinite. In effetti, se vuoi davvero prendere di mira un utente di Tinder specifico, potresti probabilmente farlo oscillare se lo conosci abbastanza bene. Se lo fai sei orribile. Divertente, ma terribile.
Tinder potrebbe non tenere traccia di tutti i luoghi in cui accedi, ma non ha avuto un'ottima risposta al post di Zboralski. Il team di sicurezza di Tinder ha inviato a Zboralski la seguente risposta quando ha segnalato loro questo attacco.
Sebbene Tinder utilizzi diversi meccanismi manuali e automatizzati per scoraggiare i profili falsi e/o duplicati, in definitiva, non è realistico per qualsiasi azienda convalidare positivamente l'identità del mondo reale di milioni di utenti mantenendo il livello di usabilità comunemente previsto.
Non è l'unico errore di sicurezza recente per l'azienda e i profili falsi che utilizzano volti veri per truffare uomini e donne soli sui social media sono un vero problema. In precedenza abbiamo riferito di una startup russa, N-Tech Labs, che può scattare foto con il cellulare e abbinarle in modo affidabile ai membri di VK, un sito molto simile a Facebook. La somiglianza del Dr. Alec Couros è stata ampiamente utilizzata online per eseguire truffe romantiche, senza il suo consenso . È solo un motivo in più per cui gli appuntamenti online sono orribili.
Questo particolare problema dovrebbe essere risolvibile con la tecnologia esistente. Se l'apprendimento automatico è diventato abbastanza buono da abbinare due diverse foto della stessa faccia, penseresti che abbinare praticamente la stessa foto sarebbe un gioco da ragazzi. Tinder, che è di proprietà del Match Group di siti di incontri online, non è stato immediatamente disponibile per commenti sull'utilizzo o meno dell'apprendimento automatico per individuare questo tipo di parodia. Tuttavia, la risposta di cui sopra non è incoraggiante.
Si spera che questa spiegazione degli attacchi MiTM renda più facile immaginare come funziona l'intercettazione online piuttosto che renderti più facile immaginare di rovinare i fine settimana dei tuoi amici. E se ti dà i brividi, allora forse non usarlo don servizi come Gmail e Allo, che sono fondamentalmente tecnologia di intercettazione a cui aderiamo. Se è disgustoso per una persona ascoltare una conversazione, perché non è disgustoso per le aziende giganti ascoltare tutte le conversazioni?
Stai attento là fuori.
h/t: La newsletter di Detectify .
