Хакер показала, как можно «угнать» чужой аккаунт с помощью звонка по телефону Статьи редакции
24 февраля редактор портала Fusion Кевин Рус (Kevin Roose) с помощью хакера Джессики Кларк (Jessica Clark) продемонстрировал, как можно заполучить доступ к аккаунту пользователя посредством простого телефонного звонка.
Джессика — специалист по социальной инженерии. Она может украсть данные другого человека, не написав ни одной строчки кода.
Чтобы «взломать» Руса, она вместе со своей командой собрала про него 13-страничное досье. Оно включало в себя данные из открытых источников, а также информацию, которую можно было получить, изучив активность жертвы в соцсетях.
Составив детальный портрет своей жертвы, Джессика клонировала его мобильный номер и позвонила в службу поддержки сервиса, которым он пользовался (название не уточняется).
Во время звонка Кларк включила запись звуков, которые издаёт плачущий ребёнок, чтобы человек на другом конце провода хотел от неё быстрее отделаться и, соответственно, уделял меньше внимания проверке её данных.
Девушка представилась женой Руса и сначала узнала его адрес электронной почты, а затем вынудила службу поддержки сбросить пароль от аккаунта.
По словам журналиста, таким образом — используя фрагменты доступных в сети данных — можно обмануть почти любую крупную компанию.
Помимо этого Рус позволил себя взломать специалисту по безопасности Дэну Тентлеру (Dan Tentler). Чтобы получить доступ к данным журналиста, Тентлер отправил жертве фейковое электронное письмо со ссылкой на фишинговый сайт.
Рус кликнул по ссылке, думая, что письмо настоящее, и тем самым установил на свой компьютер клиентский сертификат хакера. После этого Тентлер воссоздал на компьютере журналиста несколько сервисных уведомлений, с помощью которых заполучил его логин и пароль.
По словам хакера, с такими ресурсами он мог бы сделать с Русом что угодно — например, превратить его в бездомного, украв все деньги и продав жильё от его имени.
Раньше это называлось мошенничество, а теперь это социальная инженерия и она вроде как всем нравится.
Этот термин давно в ходу. Книге легендарного Кевина Митника, например, уже 14 лет, там он активно используется. При этом описывается опыт, полученный хакером в 80-90-е годы.
Вообще, в одном из купленных мной лет 15 назад номеров журнала «Хакер» совершенно точно использовался этот термин. С тех пор мне он тоже нравится :D
со звуком плачущего ребенка я сам кому угодно все свои пароли выдам, это подлый ход! DX
"social engineering" is for "social"
А айфон террориста она сможет взломать с помощью плача?
Фбр уже готовит записи плача для телефонного разговора с Куком
Комментарий недоступен
Комментарий недоступен
Комментарий недоступен
Эх, Денис!
Если на телефоне или за компьютером дурак - нет спасение. Один пароли сбросил за девичью фамилию мамы, второй сам троян себе установил.
«2 процента людей — думает, 3 процента — думает, что они думают, а 95 процентов людей лучше умрут, чем будут думать.»
Бернард Шоу
Смысл фишинговых сайтов не в установке вредоносного ПО, а в подделке страницы для ввода логина\пароля.
Более того, просто открыв сайт и не запуская ничего из того что скачалось подхватить троян невозможно. Если честно, я вообще не понимаю как люди это говнище цепляют. Каким же идиотом надо быть, чтобы запускать исполняемые файлы из непроверенных источников? И ладно еще, если это пиратский софт с торрентов, но по ссылке из письма - это уже совсем пиздец.
Посмотрел оригинал - там не было никакого вредоносного ПО. Пользователя на фишинговом сайте попросили установить клиентский сертификат хакера. Пользователь установил, не читая. Что нельзя устанавливать сертификаты с ВООБЩЕ любых сайтов знают в наше время, наверное, только специалисты.
Собсна, прочитав это в статье, тоже удивился и возмутился. Добавлю, что единственный зафиксированный в истории случай, когда можно было поймать себе что-то на машину просто открыв страницу — старая история с совокупностью оперы (ещё той, на Presto) и строго определённой версии явы. Там да, было дело. С тех пор о таких прецедентах я не слышал. Так что либо в статье неточность / ******* [враньё], либо тот чувак который это делал только что слил инсайд о втором таком прецеденте (но верится слабо).
Комментарий недоступен
Возможно. Вот только стоит такой Троян дико дорого (почём там нынче уязвимости сандбокса хрома на черном рынке?). Другое дело, что на практике это мало реально.
Социальная инженерия нынче в тренде
Стоит как-то определиться.
Стоит выпить ещё кофе.
только, пожалуйста, не растворимый, а только зерновой!
И ещё, наверное)
Склонении у имени уехало, поправь пожалуйста.
*склонение
/пишустелефона
Комментарий удален модератором
Джессика разве не женское имя?
Комментарий недоступен
Где Джессика Хайд?
Джексси Как Кларк
Но есть же правила определенные, требования безопасности...
Как можно вообще пароль по телефону сбрасывать? Что за контора такая?
Разве на западе это так просто, как у нас?
С клонированным мобильным номером обычно можно сбросить пароли от почтовых сервисов, к которым привязан телефон, безо всякого участия техподдержки, а также завладеть большей частью мессенджеров (включая "Телеграм", к слову).
Если у человека к телефону или на такую почту завязаны какие-нибудь финансовые аккаунты (мобильный или интернет-банкинг, биткоин-кошелёк, PayPal и т. д.), то за время, пока он спит, можно кучу денег вывести. И это безо всякого social engineering.
При клонировании сим-карты меняется IMSI, нормальные сервисы, тем более банковские, требуют звонка для подтверждения, что новая симка также принадлежит их клиенту.
Выходи за меня!
Спасибо за ликбез, не знал. Видимо, звонок Джессики в техподдержку был как раз с этим и связан.
Да и у нас это не так просто... вот по левой доверенности получить симку, это у нас да, любят и практикуют последние время активно.
А сделать клона, да и еще одновременно зарегистрироваться в сети это вряд ли.
Не понимаю как в 2016 году люди до сих пор ведутся на фишинговые ссылки в емейле
Как велись в 2000, так и будут вестись в 2032
Подходы Кевина Митника не теряют актуальности
Как это могло помочь взлому?
Watch Dogs в реальности
Ломай. Ломай меня полностью