เจอความน่ารักคงไม่แม่นแน่ๆภาพ: GREG WOOD/AFP/Getty Images หากคุณลืมตาขึ้นเมื่อคุณเห็นคำว่า man-in-the-middle attack [MiTM] ในข่าวเทคโนโลยีเกี่ยวกับการละเมิดความปลอดภัย คุณสามารถได้รับการอภัย ฟังดูเป็นนามธรรมจริงๆ เราพยายามทำให้มันน่าตื่นเต้นขึ้นอีกเล็กน้อยเมื่อเราเขียนเกี่ยวกับ ไซต์ลามกใหญ่แห่งแรกที่เข้าสู่ TLS-secure แต่ก็ยังยากที่จะนึกภาพ Anthony Zboralski นักวิจัยด้านความปลอดภัยและผู้ก่อตั้งสตาร์ทอัพแห่ง สิ่งมีชีวิต , เขียนโพสต์บน Medium ของ Hacker Emergency Response Team บล็อกที่เขากล่าวถึงการหลอกลวงเหล่านี้ในแง่ที่ทุกคนสามารถเข้าใจได้: การตกปลาดุก
ฉันกำลังเขียนสิ่งนี้เพื่อช่วยให้คุณเห็นภาพว่าอาชญากรรมในโลกไซเบอร์ทำงานอย่างไร และเหตุใดความเป็นส่วนตัวจึงสำคัญ แต่มาทำให้ทุกอย่างเป็นรูปธรรมมากขึ้นก่อน หากคุณสามารถแทรกตัวเองเข้าไปในแผนการเดทของคนสองคนโดยที่พวกเขาไม่รู้ตัว คุณก็อาจแกล้งทำเป็นแกล้งได้ ตัวอย่างเช่น สมมติว่าคุณใช้เทคนิคต่อไปนี้เพื่อให้ Shawn และเจนนิเฟอร์สื่อสารกันโดยที่คุณไม่รู้ตัวเพื่อกำหนดวันสำหรับวันศุกร์ที่ 8 จากนั้นคุณสามารถกำหนดเวลาให้ผู้หญิงอีกสามคนนัดพบกับ Shawn ในเวลาเดียวกันและสถานที่โดยไม่ต้อง Shawn หรือ Jennifer รู้ว่าคุณกำลังทำอะไรอยู่ ด้วยวิธีนี้ ผู้ที่อาจเป็นชู้สาวจะไม่รู้ว่าใครก็ตามที่รู้แผนการของพวกเขา แต่คุณก็รู้
นี่คือวิธีที่ Zboralski อธิบายวิธีที่คุณสามารถเรียกใช้การโจมตี MiTM เพื่อรับฟังคนสองคนที่กำลังวางแผนและแม้แต่แทรกแผนการของคุณเอง อย่าทำเช่นนี้ มันน่ากลัว. เว้นแต่คุณจะเป็นคนเกลียดชัง คงไม่มีวิธีที่ดีกว่าที่จะใช้เวลาช่วงสุดสัปดาห์ของคุณ
คุณอาจต้องอ่านข้อความนี้มากกว่าหนึ่งครั้งจึงจะเข้าใจ ถ้ามันไม่สับสน ทุกคนก็จะทำสิ่งนี้ตลอดเวลา ที่กล่าวว่าไม่ใช่เทคนิคเลย
ขั้นแรก คุณจะต้องมีบัญชี Tinder เพื่อทำการวิจัย เพื่อให้ได้ผลลัพธ์ที่รวดเร็วที่สุด ให้ค้นหาโปรไฟล์ของผู้ชายที่มีเสน่ห์และน่าดึงดูดจริง ๆ ในบริเวณใกล้เคียง เรียกเขาว่าชอว์น เป้าหมายเริ่มต้นจะต้องเป็นผู้ชาย การโจมตีมีโอกาสน้อยที่จะสำเร็จถ้าเราเลือกผู้หญิง Zboralski เขียน ผู้ชายขอแต่งงาน ผู้หญิงเลิกกัน... (หากทั้งหมดนี้ฟังดูเป็นเพศทางเลือกมากเกินไปสำหรับคุณ โปรดดำเนินการละเมิดความเป็นส่วนตัวของผู้อื่นอย่างรู้แจ้งยิ่งขึ้นและแจ้งให้เราทราบว่ามันทำงานอย่างไร) จับภาพหน้าจอของภาพถ่ายของ Shawn และใช้พวกเขาเพื่อตั้งค่า โปรไฟล์ Tinder ปลอม (ซึ่งจะต้องใช้โปรไฟล์ Facebook ปลอม) อย่าลืมตั้งเป็นชื่อเดียวกันและอาจอายุเท่ากัน
ประการที่สอง ปัดไปทางขวาด้วยโปรไฟล์ปลอมของคุณอย่างบ้าคลั่ง แค่ไปในเมือง ทำจนกว่าจะมีคนมาจับคู่กับคุณที่คุณเชื่อว่ายากที่ Shawn ตัวจริงจะต้านทานได้ ตอนนี้คุณมีเหยื่อของคุณแล้ว จับภาพหน้าจอของภาพถ่ายทั้งหมดของเธอและตั้งค่าโปรไฟล์ปลอมที่สองของคุณสำหรับสุภาพสตรี สมมติว่าเธอชื่อเจนนิเฟอร์
ประการที่สาม ใช้โปรไฟล์ปลอมของเจนนิเฟอร์แล้วปัดจนกว่าคุณจะพบชอว์นตัวจริง ปัดไปทางขวา อันที่จริง Zboralski แนะนำให้ใช้ super-likes ไขว้นิ้วของคุณ ณ จุดนี้ คุณอาจต้องใช้อุปกรณ์ที่สอง เช่น โทรศัพท์หรือแท็บเล็ตราคาประหยัดสำหรับโปรไฟล์เพิ่มเติม ตราบใดที่ Shawn ตัวจริงเข้ากับเจนนิเฟอร์ตัวปลอม คุณก็อยู่ในธุรกิจ (หากเขาไม่จับคู่ คุณก็หาคู่ใหม่ให้ Shawn ตัวปลอมของคุณได้เสมอ)
ตอนนี้ คุณอยู่ในฐานะที่จะแอบฟังการสนทนาของพวกเขาได้ อะไรก็ตามที่เจนนิเฟอร์ตัวจริงพูดกับชอว์นตัวปลอม หรือในทางกลับกัน คุณก็แค่คัดลอกข้อความจากบัญชีปลอมอีกบัญชีหนึ่งไปยังบัญชีจริงอีกบัญชีหนึ่ง
ดังนั้น ถ้าชอว์น ใช้ Dating Hacks Keyboard , เขาอาจจะเปิดด้วยบางอย่างเช่น พ่อแม่ของฉันตื่นเต้นมาก พวกเขาแทบรอไม่ไหวที่จะพบคุณ! เฉพาะเจนนิเฟอร์ปลอมเท่านั้นที่จะได้รับมัน คัดลอกข้อความนั้นไปยังบัญชีของ Shawn ปลอมแล้วส่งให้เจนนิเฟอร์ตัวจริง—คุณทำตามนั้นหรือเปล่า รอการตอบกลับของพวกเขา คัดลอกอีกครั้งและก็ไป
สมมติว่า Shawn มีเกมเพียงพอ เขาจะพูดถึงตัวเลขของเขาเอง หากเป็นเช่นนั้น ไม่ได้หมายความว่าคุณต้องเลิกฟัง เพียงแทนที่หมายเลขโทรศัพท์จริงเป็นหมายเลขโทรศัพท์ที่ตรงกับโทรศัพท์ปลอม จากที่นี่ควรจะง่ายสุด ๆ เพราะไม่มีใครโทรออกอีกต่อไป หากไม่มีใครพยายามโทรหากันจริงๆ การคัดลอกข้อความก็ไม่น่าจะยากไปกว่าการคัดลอกข้อความของ Tinder หากใครก็ตามที่แปลกและโทรมาจริงๆ โพสต์ของ Zboralski มีคำแนะนำ
ดูเพิ่มเติม: เครือข่ายต่อต้านการตกปลาดุก
คุณจะสามารถฟังต่อไปได้จนกว่าทั้งสองจะนัดเดทที่แท้จริงและพบกันแบบเห็นหน้ากันในที่สุด
ในสิ่งที่ฉันเพิ่งอธิบายไป สิ่งที่คุณทำคือฟังเท่านั้น ซึ่งสนุก แต่ค่อนข้างเชื่อง
ความเป็นไปได้ไม่มีที่สิ้นสุดจริงๆ ที่จริงแล้ว หากคุณต้องการกำหนดเป้าหมายผู้ใช้ Tinder เฉพาะเจาะจง คุณอาจจะแกว่งไกวหากคุณรู้จักพวกเขาดีพอ ถ้าคุณทำสิ่งนี้คุณแย่มาก ตลก แต่น่ากลัว
Tinder อาจไม่ติดตามสถานที่ทั้งหมดที่คุณเข้าสู่ระบบ แต่ก็ไม่มีการตอบกลับที่ดีต่อโพสต์ของ Zboralski ทีมรักษาความปลอดภัย Tinder ได้ส่ง Zboralski ตอบกลับไปเมื่อเขารายงานการโจมตีนี้ให้พวกเขาทราบ
แม้ว่า Tinder จะใช้กลไกแบบแมนนวลและแบบอัตโนมัติหลายอย่างเพื่อยับยั้งการปลอมแปลงและ/หรือโปรไฟล์ที่ซ้ำกัน แต่ท้ายที่สุดแล้ว มันไม่สมเหตุสมผลเลยที่บริษัทใดๆ จะตรวจสอบยืนยันตัวตนจริงของผู้ใช้นับล้านในขณะที่ยังคงระดับการใช้งานที่คาดหวังโดยทั่วไป
ไม่ใช่เพียงใบความปลอดภัยล่าสุดของบริษัท และโปรไฟล์ปลอมที่ใช้ใบหน้าจริงเพื่อหลอกลวงผู้ชายและผู้หญิงที่โดดเดี่ยวบนโซเชียลมีเดียเป็นปัญหาที่แท้จริง ก่อนหน้านี้เราได้รายงานเกี่ยวกับบริษัทสตาร์ทอัพสัญชาติรัสเซีย N-Tech Labs ที่สามารถถ่ายภาพโทรศัพท์มือถือและจับคู่กับสมาชิกของ VK ซึ่งเป็นเว็บไซต์ที่คล้ายกับ Facebook ได้อย่างน่าเชื่อถือ อุปมาของ ดร.อเล็ก คูรอส ถูกใช้อย่างแพร่หลายในโลกออนไลน์เพื่อหลอกลวงเรื่องรักๆ ใคร่ๆ โดยปราศจากความยินยอมของเขา . เป็นอีกเหตุผลหนึ่งที่ทำให้การหาคู่ออนไลน์แย่มาก
ปัญหานี้ควรแก้ไขได้ด้วยเทคโนโลยีที่มีอยู่ หากแมชชีนเลิร์นนิงทำได้ดีพอที่จะจับคู่รูปภาพสองรูปที่มีใบหน้าเดียวกันได้ คุณอาจคิดว่าการจับคู่รูปภาพเดียวกันโดยพื้นฐานแล้วจะเป็นเรื่องง่าย Tinder ซึ่งเป็นเจ้าของโดย Match Group ของเว็บไซต์หาคู่ออนไลน์ ไม่สามารถแสดงความคิดเห็นได้ทันทีว่ากำลังใช้การเรียนรู้ของเครื่องเพื่อตรวจจับการปลอมแปลงประเภทนี้หรือไม่ การตอบสนองข้างต้นไม่สนับสนุนอย่างไรก็ตาม
หวังว่าคำอธิบายของการโจมตี MiTM นี้จะทำให้เห็นภาพว่าการดักฟังทำงานอย่างไรทางออนไลน์ได้ง่ายขึ้น แทนที่จะทำให้คุณเห็นภาพการทำลายวันหยุดสุดสัปดาห์ของเพื่อนคุณได้ง่ายขึ้น และถ้ามันคืบคลานคุณออกมาก็อย่าใช้ บริการเช่น Gmail และ Allo ซึ่งโดยพื้นฐานแล้ว การดักฟังเทคโนโลยีที่เราเลือกใช้ ถ้าคนๆ เดียวฟังในบทสนทนาเดียวก็แย่ ทำไมบริษัทยักษ์ใหญ่ถึงไม่รับฟังทุกบทสนทนาล่ะ?
ระวังออกไปที่นั่น
ชั่วโมง/ที: จดหมายข่าวของ Detectify .
