Nette treffen wäre nicht genau richtig.Foto: GREG WOOD/AFP/Getty Images Wenn Ihre Augen glasig werden, wenn Sie in technischen Nachrichten über Sicherheitsverletzungen den Begriff Man-in-the-Middle-Angriff [MiTM] sehen, kann Ihnen vergeben werden. Es klingt wirklich abstrakt. Wir haben versucht, es etwas spannender zu machen, als wir darüber schrieben die erste große Pornoseite, die TLS-sicher ist , aber es ist immer noch schwer vorzustellen. Sicherheitsforscher und Startup-Gründer Anthony Zboralski of Die Kreatur , hat einen Beitrag auf dem Medium des Hacker Emergency Response Teams geschrieben Blog, in dem er diese Betrügereien in für jedermann verständlichen Begriffen formuliert: Welsfischen.
Ich schreibe dies, um Ihnen zu helfen, sich vorzustellen, wie Cyberkriminalität funktioniert und warum Datenschutz wichtig ist, aber lassen Sie uns zunächst alles etwas konkreter machen. Wenn Sie sich in die Verabredungspläne von zwei Leuten einfügen können, ohne dass sie es wissen, können Sie Streiche spielen. Nehmen wir zum Beispiel an, Sie verwenden die folgende Technik, damit Shawn und Jennifer unwissentlich über Sie kommunizieren, um ein Date für Freitag um 8 Uhr zu vereinbaren. Sie könnten dann drei weitere Frauen planen, sich mit Shawn zur gleichen Zeit und am selben Ort zu treffen, ohne beides without Shawn oder Jennifer wissen, was du vorhast. Mit dieser Methode erkennen die potenziellen Geliebten nicht, dass jemand anderes ihre Pläne kennt, aber Sie tun es.
So beschreibt Zboralski, wie Sie einen MiTM-Angriff ausführen können, um zwei Leute zu belauschen, die Pläne machen, und sogar Ihren eigenen Plan einwerfen. Tun Sie dies nicht. Es ist schrecklich. Es sei denn, Sie sind ein Misanthrop. Dann gibt es wahrscheinlich keinen besseren Weg, Ihr Wochenende zu verbringen.
Möglicherweise müssen Sie dies mehr als einmal lesen, um es zu erhalten. Wenn es nicht verwirrend wäre, würde jeder dieses Zeug die ganze Zeit machen. Das heißt, es ist überhaupt nicht technisch.
Zunächst benötigen Sie ein Tinder-Konto, um Nachforschungen anzustellen. Um die schnellsten Ergebnisse zu erzielen, finden Sie ein Profil eines echten, ziemlich attraktiven Mannes in Ihrer Nähe. Nennen wir ihn Shawn. Das erste Ziel muss ein Mann sein, der Angriff ist weniger wahrscheinlich, wenn wir eine Frau auswählen, schreibt Zboralski. Männer schlagen vor, Frauen entsorgen… (Wenn dir das alles ein bisschen zu geschlechtsbinär klingt, fahre bitte eine aufgeklärtere Verletzung der Privatsphäre von jemandem und lass uns wissen, wie es funktioniert.) Mache Screenshots von Shawns Fotos und verwende sie zum Einrichten ein gefälschtes Tinder-Profil (das ein gefälschtes Facebook-Profil erfordert). Stellen Sie sicher, dass Sie denselben Vornamen und wahrscheinlich dasselbe Alter verwenden.
Zweitens wischen Sie mit Ihrem gefälschten Profil wie verrückt nach rechts. Geh einfach in die Stadt. Tun Sie es, bis jemand zu Ihnen passt, von dem Sie glauben, dass es für den echten Shawn schwer sein wird, zu widerstehen. Jetzt hast du deinen Köder. Machen Sie Screenshots von all ihren Fotos und richten Sie Ihr zweites gefälschtes Profil für die Dame ein. Sagen wir, sie hieß Jennifer.
Drittens, nehmen Sie Ihr gefälschtes Jennifer-Profil und wischen Sie, bis Sie den echten Shawn finden. Wische nach rechts. Tatsächlich schlägt Zboralski vor, Super-Likes zu verwenden. Drück die Daumen. Zu diesem Zeitpunkt benötigen Sie wahrscheinlich ein zweites Gerät, wie etwa ein billiges Brennertelefon oder ein Tablet, für das zusätzliche Profil. Solange der echte Shawn mit der falschen Jennifer übereinstimmt, sind Sie im Geschäft (wenn er dies nicht tut, können Sie immer einfach einen neuen Match für Ihren falschen Shawn finden).
Jetzt sind Sie in der Lage, ihr Gespräch zu belauschen. Alles, was die echte Jennifer dem gefälschten Shawn sagt oder umgekehrt, kopiert man einfach in eine Nachricht vom anderen gefälschten Account an den anderen echten Account.
Also, wenn Shawn verwendet die Dating-Hacks-Tastatur , er könnte mit so etwas anfangen wie Meine Eltern sind so aufgeregt, sie können es kaum erwarten, dich kennenzulernen! Nur die falsche Jennifer wird es erhalten. Kopiere das also als Nachricht in das gefälschte Shawn-Konto und sende es an die echte Jennifer – hast du das verfolgt? Warte auf ihre Antwort. Nochmals kopieren und so geht es.
Vorausgesetzt, Shawn hat ein ausreichendes Spiel, wird er sich in die Zahlen hineinreden. Wenn er das tut, bedeutet das nicht, dass Sie aufhören müssen. Ersetzen Sie einfach die echten Telefonnummern durch Telefonnummern, die gefälschten Telefonen entsprechen. Das sollte von hier aus super einfach sein, da eigentlich niemand mehr telefoniert. Vorausgesetzt, dass niemand versucht, sich gegenseitig anzurufen, sollte das Kopieren von Texten nicht schwieriger sein als das Kopieren von Tinder-Nachrichten. Wenn jedoch jemand seltsam wird und anruft, enthält Zboralskis Post Anweisungen.
SIEHE AUCH: Das Anti-Catfishing-Dating-Netzwerk .
Sie werden in der Lage sein, weiter zuzuhören, bis die beiden endlich ein richtiges Date vereinbaren und sich von Angesicht zu Angesicht treffen.
In dem, was ich gerade beschrieben habe, hört man nur zu. Das macht Spaß, ist aber ziemlich zahm.
Die Möglichkeiten sind wirklich endlos. Wenn Sie wirklich einen bestimmten Tinder-Benutzer ansprechen möchten, können Sie ihn wahrscheinlich schwingen, wenn Sie ihn gut genug kennen. Wenn Sie dies tun, sind Sie schrecklich. Komisch, aber schrecklich.
Tinder verfolgt möglicherweise nicht alle Orte, an denen du dich einloggst, aber es gab keine großartige Antwort auf Zboralskis Beitrag. Das Tinder-Sicherheitsteam schickte Zboralski die folgende Antwort, als er ihnen diesen Angriff meldete.
Obwohl Tinder mehrere manuelle und automatisierte Mechanismen einsetzt, um gefälschte und/oder doppelte Profile zu verhindern, ist es letztendlich für ein Unternehmen unrealistisch, die reale Identität von Millionen von Benutzern positiv zu validieren und gleichzeitig das allgemein erwartete Maß an Benutzerfreundlichkeit beizubehalten.
Es ist nicht der einzige aktuelle Sicherheitsschein für das Unternehmen, und gefälschte Profile mit echten Gesichtern, um einsame Männer und Frauen in den sozialen Medien zu betrügen, sind ein echtes Problem. Wir haben zuvor über ein russisches Startup, N-Tech Labs, berichtet, das Handyfotos aufnehmen und sie zuverlässig Mitgliedern von VK zuordnen kann, einer Website, die ähnlich wie Facebook ist. Das Abbild von Dr. Alec Couros wurde online sehr häufig verwendet, um Liebesbetrug zu betreiben. ohne seine Zustimmung . Dies ist nur ein weiterer Grund, warum Online-Dating schrecklich ist.
Dieses spezielle Problem sollte mit der bestehenden Technologie lösbar sein. Wenn maschinelles Lernen gut genug geworden ist, um zwei verschiedene Fotos desselben Gesichts zuzuordnen, würden Sie denken, dass das Abgleichen von genau demselben Foto ein Kinderspiel wäre. Tinder, das der Match Group von Online-Dating-Sites gehört, war nicht sofort für einen Kommentar verfügbar, ob es maschinelles Lernen verwendet, um diese Art von Parodie zu erkennen. Die obige Antwort ist jedoch nicht ermutigend.
Hoffentlich macht es diese Erklärung von MiTM-Angriffen einfacher, sich vorzustellen, wie das Abhören online funktioniert, anstatt es Ihnen leichter vorzustellen, sich vorzustellen, wie Sie die Wochenenden Ihrer Freunde ruinieren. Und wenn es dich gruselig macht, dann benutze es vielleicht nicht Dienste wie Gmail und Allo, die sind im Grunde Abhörtechnologie, für die wir uns entscheiden. Wenn es für eine Person ekelhaft ist, eine Konversation mitzuhören, warum ist es dann nicht ekelhaft für riesige Unternehmen, alle Konversationen mitzuhören?
Sei vorsichtig da draußen.
h/t: Detectifys Newsletter .
