Möt söt skulle inte vara exakt exakt.Foto: GREG WOOD / AFP / Getty Images Om dina ögon glaserar när du ser termen man-in-the-middle attack [MiTM] i tekniska nyheter om säkerhetsöverträdelser, kan du bli förlåten. Det låter riktigt abstrakt. Vi försökte göra det lite mer spännande när vi skrev om den första stora porrsajten som går TLS-säkert , men det är fortfarande svårt att föreställa sig. Säkerhetsforskare och startgrundare, Anthony Zboralski från Varelsen , skrev ett inlägg på Hacker Emergency Response Team's Medium blogg där han sätter dessa bedrägerier i termer som alla kan förstå: catfishing.
Jag skriver detta för att hjälpa dig föreställa dig hur it-brottslighet fungerar och varför integritet är viktigt, men låt oss först göra allt lite mer konkret. Om du kan sätta dig in i två människors datum och planera utan att de vet det, kan du dra skämt. Låt oss till exempel säga att du använder följande teknik så att Shawn och Jennifer omedvetet kommunicerar genom dig för att sätta upp ett datum för fredagen kl. 8. Du kan sedan planera ytterligare tre kvinnor att träffa Shawn samtidigt och plats, utan någon av dem Shawn eller Jennifer vet vad du gör. Med den här metoden inser de potentiella paramourerna inte att någon annan känner till sina planer, men du gör det.
Så här beskriver Zboralski hur du kan köra en MiTM-attack för att lyssna på två personer som planerar och till och med interject ditt eget schema. Gör inte det här. Det är hemskt. Om du inte är en misantrop. Då finns det förmodligen inte ett bättre sätt att tillbringa din helg.
Du kan behöva läsa detta mer än en gång för att få det. Om det inte var förvirrande skulle alla göra det här hela tiden. Som sagt, det är inte tekniskt alls.
Först behöver du ett Tinder-konto för att undersöka. För de snabbaste resultaten, hitta en profil av en riktig, ganska attraktiv man i närheten där du bor. Låt oss kalla honom Shawn. Det ursprungliga målet måste vara en man, det är mindre sannolikt att attacken lyckas om vi väljer en kvinna, skriver Zboralski. Män föreslår, kvinnor förfogar över ... (Om allt detta låter lite för könsbinärt för dig, snälla kör en mer upplyst kränkning av någons integritet och låt oss veta hur det fungerar.) Ta skärmdumpar av Shawns foton och använd dem för att ställa in en falsk Tinder-profil (som kräver en falsk Facebook-profil). Var noga med att ställa in den på samma förnamn och förmodligen samma ålder.
För det andra, svep åt höger med din falska profil som galen. Gå bara till stan. Gör det tills någon matchar med dig som du tror kommer att vara svårt för den verkliga Shawn att motstå. Nu har du ditt bete. Ta skärmdumpar av alla hennes foton och sätt upp din andra falska profil för damen. Låt oss säga att hon hette Jennifer.
För det tredje, ta din falska Jennifer-profil och svep tills du hittar den riktiga Shawn. Svep åt höger. Faktum är att Zboralski föreslår att man använder super-likes. Håll tummarna. Vid den här tiden behöver du förmodligen en andra enhet, som kanske en billig brännartelefon eller en surfplatta, för den ytterligare profilen. Så länge den riktiga Shawn matchar med den falska Jennifer, är du i affärer (om han inte gör det, kan du alltid bara hitta en ny match för din falska Shawn).
Nu är du i stånd att avlyssna deras samtal. Allt som den riktiga Jennifer säger till falska Shawn, eller tvärtom, kopierar du bara till ett meddelande från det andra falska kontot till det andra riktiga kontot.
Så, om Shawn använder Dating Hacks Keyboard , kanske han öppnar med något som Mina föräldrar är så glada att de inte kan vänta med att träffa dig! Bara, falska Jennifer kommer att få det. Så kopiera det som ett meddelande till falskt Shawn-konto och skicka det till riktiga Jennifer - följde du det? Vänta på deras svar. Kopiera igen, och så går det.
Förutsatt att Shawn har tillräckligt spel, kommer han att prata in i siffror. Förutsatt att han gör det betyder det inte att du måste sluta lyssna. Ersätt bara de riktiga telefonnummer med telefonnummer som motsvarar falska telefoner. Det här ska vara super enkelt härifrån, för ingen ringer faktiskt längre. Förutsatt att ingen faktiskt försöker ringa varandra bör det inte vara svårare att kopiera texter än att kopiera Tinder-meddelanden. Om någon verkligen blir konstig och ringer har Zboralskis inlägg instruktioner.
SE OCH: Anti-catfishing dating nätverk.
Du kommer att kunna fortsätta att lyssna tills de två äntligen skapar ett riktigt datum och träffas ansikte mot ansikte.
I det jag precis har beskrivit är allt du gör att lyssna på. Vilket är roligt, men ganska tamt.
Möjligheterna är verkligen oändliga. Faktum är att om du verkligen vill rikta dig mot en viss Tinder-användare kan du förmodligen svänga den om du känner dem tillräckligt bra. Om du gör det här är du hemsk. Roligt, men hemskt.
Tinder kan inte hålla reda på alla platser du loggar in, men det fick inte ett bra svar på Zboralskis inlägg. Tinder Security Team skickade Zboralski följande svar när han rapporterade denna attack till dem.
Medan Tinder använder flera manuella och automatiserade mekanismer för att avskräcka falska och / eller duplicera profiler, är det i slutändan orealistiskt för alla företag att positivt bekräfta miljontals användares verkliga identitet samtidigt som den allmänt förväntade användbarhetsnivån bibehålls.
Det är inte det enda säkerhetsavtalet för företaget nyligen, och falska profiler som använder riktiga ansikten för att bluffa ensamma män och kvinnor på sociala medier är ett verkligt problem. Vi rapporterade tidigare om en rysk start, N-Tech Labs, som kan ta mobiltelefonfoton och på ett tillförlitligt sätt matcha dem till medlemmar i VK, en webbplats som liknar Facebook. Dr. Alec Couros likhet har använts mycket ofta online för att köra romantikbedrägerier, utan hans samtycke . Det är bara en anledning till varför online dating är hemskt.
Detta specifika problem bör lösas med befintlig teknik. Om maskininlärning har blivit tillräckligt bra för att matcha två olika bilder av samma ansikte, skulle du tro att matcha i princip exakt samma foto skulle vara en lek. Tinder, som ägs av Match Group av online-dejtingsajter, var inte omedelbart tillgängligt för kommentarer om huruvida det använder maskininlärning för att upptäcka den här typen av förfalskning. Svaret ovan är dock inte uppmuntrande.
Förhoppningsvis gör denna förklaring av MiTM-attacker det lättare att föreställa sig hur avlyssning fungerar online snarare än att göra det lättare för dig att föreställa dina vänners helger. Och om det smyger dig ut, använd det kanske inte tjänster som Gmail och Allo, som i princip är avlyssningsteknik som vi väljer. Om det är grovt för en person att lyssna på en konversation, varför är det inte grovt för jätteföretag att lyssna på alla samtal?
Var försiktig där ute.
h / t: Detectifys nyhetsbrev .
