Pratite nas preko RSS-aAko imate email, držite žrtvu u šaci
Tekstovi o zaštiti, 24.08.2012, 11:53 AM
Za onog koji želi da kontroliše nekog na internetu, osvajanje kontrole treba da počne emailom žrtve. Ako imate email, imate i žrtvu.
Ovakva strategija nikada nije bila delotvornija nego danas kada ima toliko mnogo društvenih mreža, servisa i sajtova za kupovinu preko interneta koji su povezani sa email adresama korisnika.
Istraživanje koje je sproveo Lukas Lungren iz IOActive pokazalo je kako može biti jednostavno sticanje kontrole nad nečijim email nalogom, a od tog trenutka, i nad ostatkom žrtvinog digitalnog života.
Za mnoge od nas, privatni email nalozi su sefovi koja čuvaju naše živote ili bar značajne pojedinosti iz njih. Izvodi iz banaka, računi, privatna prepiska, poslovna dokumentacija, i sve ostalo što možete dobiti u elektronskom obliku nalazi se u našem email inboksu. Veliki broj email sistema čuvaju korisničke inboksove samo običnim lozinkama. Gmail je izuzetak, sa svojom dvostepenom autorizacijom koja omogućava korisnicima da obezbede svoje naloge mobilnom aplikacijom koja generiše kodove za jednokratnu upotrebu koji se koriste kao dodatak već postojećim lozinkama. Ali i u slučaju Gmail-a to je samo opcija koja nije obavezna, pa je mnogi ne koriste jer, kao i inače u životu, radije biramo nesigurne prečice nego bezbednije ali duže puteve.
Imajući sve ovo u vidu, Lundgren je sproveo malo istraživanje da bi ustanovio koliko je lako upasti u email naloge dobrovoljaca. On je dobio pristanak svojih prijatelja i članova porodice koji su se saglasili da učestvuju u eksperimentu. Lundgren je otkrio da su samo podaci koje je prikupio sa Facebook-a i drugih sajtova dovoljni za upad u inboksove učesnika u eksperimentu. Ispostavilo se da je mehanizam koji mu je najviše bio od pomoći, u većini slučajeva, funkcija poništenja lozinke na mnogim sajtovima i email servisima.
Prva meta koju je odabrao Lundgren bio je njegov prijatelj koji koristi Gmail. Dok je pokušavao da resetuje lozinku Gmail naloga, Lungren je otkrio da on ima i Hotmail nalog ali nije znao tačnu email adresu. Potražio je na Facebook-u ali bez uspeha. Onda je pregledao listu prijatelja na stranici Facebook profila i pronašao jednu osobu koja je objavila zajedničku fotografiju iz srednje škole sa žrtvom. Koristeći fotografiju te osobe, Lundgren je registrovao lažni Facebook profil i poslao zahtev za prijateljstvo svojoj žrtvi. Zahtev je prihvaćen brzo, a on je tada mogao da vidi email adresu koju je tražio i koja je bila zaštićena pdešavanjima privtnosti i dostupna samo prijateljima.
Tada je pokušao da poništi lozinku za pristup Hotmail nalogu ali mu je zatražen odgovor na sigurnosno pitanje - koje je devojčako prezime majke njegove žrtve. Potrebnu informciju našao je pregledom Facebook profila žrtve i tako uspeo da resetuje lozinku Hotmail naloga. Sada je na red došao njegov primarni cilj - Gmail nalog. Zahtev za resetovanje lozinke za Gmail nalog poslat je automatski na kompromitovani Hotmail nalog, posle čega je napadač promenio lozinku za Gmail i preuzeo nalog.
Sledeći cilj je bio Facebook nalog. Koristeći isti metod, Lundgren je pristupio Facebook nalogu, zatim Flickr nalogu prijavljujući se preko Facebook naloga. A zatim i nalogu za jednu online prodavnicu elektronike u kojoj mogao da kupuje na račun žrtve.
Lundgren je tako imao ceo žrtvin online život u šaci.
A mogućnosti su se tek otvarale. Stvarni napadač mogao je da promeni adresu za isporuke i da kupuje na račun žrtve. Pored toga, žrtva je imala i iTunes nalog povezan sa emailom, što bi potencijalnom napadaču omogućilo da sa daljine obriše sve podatke iz žrtvinog telefona i iPad-a.
Na sreću, ovo je bio samo eksperiment bez loših namera koje stvarni napadači imaju.
Da to nije teorija govori i nedavni slučaj Meta Honana.
Ovakvi napadi ne zahtevaju neko posebno tehničko predznanje, već je dovoljno poznavati način na koji veb sajtovi obrađuju zahteve za resetovanjem lozinke. Pored toga, potrebno je imati i strpljenje da prečešljate žrtvin online život kako biste pronašli neophodne podatke. Mnogo je onih koji računaju da će ih sajtovi koje posećuju zaštiti, što je velika greška, kaže Lundgren.
Većina velikih sajtova zaista je zaštićena veoma dobro i prolazi kroz nekoliko revizija pre nego što se odobri impementacija, tako da napadačima nije lako da otkriju ranjivosti sajtova direktnnim napadom na njih. Ali istovremeno, mnoge kompanije zaboravljaju važnost obuke zaposlenih i to može biti problem za bezbednost.
Ne možete se uzdati u to da će vas neko drugi zaštititi, mere predostrožnosti morate sami preduzeti. Jedna od njih da svedete podatke o sebi koji su dostupni na internetu na najmanju moguću meru. Ako neko drugi napravi grešku, pa provajder usluge koju koristite bude ugrožen bar ćete znati da ste vi uradili sve što ste mogli. I da nema mnogo podataka o vama do kojih bi napadači mogli doći.
Izdvojeno
Kako prepoznati lažne onlajn recenzije
Za većinu ljudi, onlajn recenzije su često presudne u donošenju odluke o kupovini. Samo 4% ljudi kaže da nikada ne čitaju recenzije drugih kupac... Dalje
Čip vašeg kućnog ljubimca može biti zaražen malverom
Mikročip vašeg kućnog ljubimca mogao bi biti sredstvo za isporuku malvera. Šta više, samo skeniranjem čipa krznenog prijatelja cela mreža mogla... Dalje
Lažni onlajn konverteri fajlova inficiraju uređaje korisnika malverima
.jpg)
Gotovo sigurno ste se nekad našli u situaciji da pred sobom imate fajl u formatu koji ne možete da otvorite. Šta većina ljudi radi u ovom slučaj... Dalje
Zašto sajber kriminalci hakuju Telegram i WhatsApp naloge i kako se zaštititi od takvih napada
Sajber kriminalci neprestano usavršavaju svoje šeme za krađu WhatsApp, Telegram i naloga u drugim popularnim aplikacijama za razmenu poruka, a svak... Dalje
Na Dan zaljubljenih sajber kriminalci traže one koji su usamljeni
Na Dan zaljubljenih sajber kriminalci traže one koji su usamljeni, tvrdi tim Check Point Research (CPR). Samo u januaru, istraživači CRP-a su ident... Dalje
Pratite nas
Nagrade
Prijatelji
