Meet cute no seria precisament precís.Foto: GREG WOOD / AFP / Getty Images Si els vostres ulls s’enfonsen quan veieu el terme atac d’home enmig [MiTM] a les notícies tecnològiques sobre incompliments de seguretat, se us pot perdonar. Sona molt abstracte. Vam intentar que fos una mica més emocionant quan vam escriure sobre el primer gran lloc porno amb seguretat TLS , però encara és difícil imaginar. Investigador de seguretat i fundador de startups, Anthony Zboralski de La criatura , va escriure una publicació a l’equip de resposta d’emergència de pirates informàtics blog on posa aquestes estafes en termes que tothom pot entendre: pesca de gats.
Estic escrivint això per ajudar-vos a imaginar-vos el funcionament del ciberdelinqüència i per què és important la privadesa, però primer fem-ho una mica més concret. Si podeu inserir-vos en una cita de dues persones fent plans sense que ho sàpiguen, podeu fer broma. Per exemple, suposem que utilitzeu la tècnica següent perquè Shawn i Jennifer es comuniquin sense saber-ho per establir una data per al divendres a les 8. A continuació, podreu programar tres dones més perquè es reuneixin amb Shawn al mateix temps i lloc, sense Shawn o Jennifer saben què feies. Amb aquest mètode, els amants potencials no s’adonen que ningú coneix els seus plans, però vosaltres sí.
A continuació s’explica com Zboralski descriu com podeu executar un atac MiTM per escoltar dues persones fent plans i fins i tot interceptar el vostre propi esquema. No feu això. És terrible. A menys que siguis un misàntrop. Llavors probablement no hi hagi una millor manera de passar el cap de setmana.
És possible que hàgiu de llegir-ho més d’una vegada per aconseguir-ho. Si no fos confús, tothom faria aquestes coses tot el temps. Dit això, no és gens tècnic.
En primer lloc, necessitareu un compte de Tinder per investigar. Per obtenir els resultats més ràpids, cerqueu el perfil d’un home real i força atractiu a prop del lloc on viviu. Anem a dir-li Shawn. L’objectiu inicial ha de ser un home, l’atac és menys probable que triomfi si escollim una dona, escriu Zboralski. Els homes proposen, les dones disposen ... (Si tot això us sembla una mica binari per al gènere, executeu una violació més il·lustrada de la privadesa d'algú i feu-nos saber com funciona.) Feu captures de pantalla de les fotos de Shawn i utilitzeu-les per configurar-les un perfil fals de Tinder (que requerirà un perfil de Facebook fals). Assegureu-vos d’establir-lo amb el mateix nom i probablement la mateixa edat.
En segon lloc, llisca cap a la dreta amb el perfil fals com a boig. Només cal anar a la ciutat. Feu-ho fins que algú coincideixi amb vosaltres que creieu que serà difícil per al veritable Shawn resistir-se. Ara tens el teu esquer. Feu captures de pantalla de totes les seves fotos i configureu el vostre segon perfil fals, per a la dama. Diguem que es deia Jennifer.
En tercer lloc, agafa el teu perfil fals de Jennifer i fes lliscar el dit fins a trobar l’autèntic Shawn. Feu lliscar el dit cap a la dreta. De fet, Zboralski suggereix utilitzar super-likes. Creua els dits. Arribats a aquest punt, probablement necessiteu un segon dispositiu, com ara un telèfon mòbil o una tauleta, per al perfil addicional. Mentre el veritable Shawn coincideixi amb la falsa Jennifer, esteu en un negoci (si no ho fa, sempre podeu trobar una nova coincidència amb el vostre fals Shawn).
Ara, esteu en condicions d’espionar la seva conversa. Qualsevol cosa que digui la veritable Jennifer al fals Shawn o viceversa, només cal que copieu en un missatge de l'altre compte fals a l'altre compte real.
Per tant, si Shawn utilitza el teclat Dating Hacks , pot obrir-se amb alguna cosa com Els meus pares estan tan emocionats que no poden esperar a conèixer-vos. Només la falsa Jennifer la rebrà. Aleshores, copieu-ho com a missatge al fals compte de Shawn i envieu-lo a la veritable Jennifer: ho heu seguit? Espereu la seva resposta. Torneu a copiar, i així continua.
Suposant que Shawn tingui un joc adequat, es convertirà en xifres. Si ho fa, això no vol dir que hagi de deixar d'escoltar-lo. Només cal substituir els números de telèfon reals per números de telèfon que corresponguin a telèfons falsos. Això hauria de ser molt fàcil a partir d’aquí, perquè ja ningú no fa trucades telefòniques. Sempre que ningú intenti trucar-se mútuament, no hauria de ser més difícil copiar textos que copiar missatges Tinder. Si algú es fa estrany i truca, però, el missatge de Zboralski té instruccions.
VEURE TAMBÉ: la xarxa de cites contra la pesca de gats.
Podràs seguir escoltant fins que finalment els dos configurin una data real i es trobin cara a cara.
En el que acabo de descriure, tot el que feu és escoltar-hi. La qual cosa és divertit, però força manso.
Les possibilitats són realment infinites. De fet, si realment voleu orientar-vos a un usuari específic de Tinder, és probable que el pugueu canviar si els coneixeu prou bé. Si ho fas, ets terrible. Divertit, però horrible.
És possible que Tinder no faci un seguiment de tots els llocs on heu iniciat la sessió, però no va tenir una gran resposta a la publicació de Zboralski. L'equip de seguretat de Tinder va enviar a Zboralski la següent resposta quan els va informar d'aquest atac.
Tot i que Tinder fa servir diversos mecanismes manuals i automatitzats per dissuadir perfils falsos i / o duplicats, en última instància, no és realista per a cap empresa validar positivament la identitat del món real de milions d’usuaris mantenint el nivell d’usabilitat que s’espera habitualment.
No és l’únic full de seguretat recent de l’empresa i els perfils falsos que fan servir rostres reals per estafar homes i dones solitaris a les xarxes socials són un problema real. Anteriorment vam informar sobre una startup russa, N-Tech Labs, que pot fer fotos de telèfons mòbils i relacionar-les de manera fiable amb els membres de VK, un lloc semblant a Facebook. La semblança del doctor Alec Couros s’ha utilitzat molt en línia per executar estafes romàntiques, sense el seu consentiment . És només un motiu més pel qual les cites en línia són terribles.
Aquest problema en particular s’hauria de solucionar amb la tecnologia existent. Si l'aprenentatge automàtic ha estat prou bo per fer coincidir dues fotos diferents de la mateixa cara, pensaria que coincidir bàsicament amb la mateixa foto seria una brisa. Tinder, propietat del grup de llocs de cites en línia Match Group, no estava disponible immediatament per fer comentaris sobre si utilitza o no l'aprenentatge automàtic per detectar aquest tipus de paròdia. Tanmateix, la resposta anterior no és encoratjadora.
Amb sort, aquesta explicació dels atacs MiTM facilita la imatge del funcionament de les escoltes en línia en lloc de facilitar-vos la imatge arruïnant els caps de setmana dels vostres amics. I si us arrossega, potser no l’utilitzeu serveis com Gmail i Allo, que són bàsicament tecnologia d’espionatge que optem. Si és brutal que una persona escolti en una conversa, per què no és brutal que les empreses gegants escoltin totes les converses?
Aneu amb compte per aquí.
h / t: Butlletí de notícies de Detectify .
