Οι υπηρεσίες που σας δίνουν την δυνατότητα να ανακτήσετε έναν κωδικό πρόσβασης που ξεχάσατε στέλνοντας στο κινητό σας έναν προσωρινό με SMS δεν θα σας ζητήσουν ποτέ «απάντηση». Εάν το γνωρίζετε αυτό, τότε δεν θα ξεγελαστείτε από μια συνηθισμένη και απλή απάτη «κοινωνικής μηχανικής».
Σκεφτείτε πως αρκεί να έχει κανείς τον αριθμό του τηλεφώνου σας και την διεύθυνση του e-mail σας για να επιχειρήσει να σας εξαπατήσει. Στις υπηρεσίες e-mail Gmail, Hotmail και Yahoo Mail υπάρχει η δυνατότητα ανάκτησης του κωδικού πρόσβασης στον λογαριασμό σας με έναν κωδικό επαλήθευσης που θα λάβετε στο κινητό σας τηλέφωνο (άρα απαιτείται και ο αριθμός κλήσης).
Χρησιμοποιώντας το Gmail για παράδειγμα, τα ακόλουθα βήματα περιγράφουν τον τρόπο με τον οποίο λειτουργεί η επίθεση:
Υποθέτουμε ότι το θύμα έχει καταχωρίσει τον αριθμό του κινητού του τηλεφώνου στο Gmail, έτσι ώστε αν ξεχάσει τον κωδικό, η Google να μπορεί να του στείλει ένα SMS με έναν κωδικό επαλήθευσης μιας χρήσης ώστε να έχει πρόσβαση στο λογαριασμό του.
• Ο κακός της υπόθεσης, ο κράκερ θέλει να εισβάλει στο λογαριασμό του χρήστη, αλλά δεν γνωρίζει τον κωδικό πρόσβασής του. Γνωρίζει όμως την e-mail διεύθυνση και το τηλέφωνό του. Επισκέπτεται λοιπόν την σελίδα login του Gmail και εισάγει τα στοιχεία του υποψήφιου θύματος (χωρίς όμως το password) και στη συνέχεια αναζητά βοήθεια (μέσω του link “Need help?” -αυτή η παραπομπή είναι χρήσιμη όταν κανείς ξεχάσει τα στοιχεία εισόδου του στην υπηρεσία). Παριστάνει δηλαδή ότι είναι ο ξεχασιάρης ιδιοκτήτης του λογαριασμού που αναζητά τρόπο να ανακτήσει τον κωδικό του.
• Το σύστημα δίνει στον χρήστη αλλά και στον κράκερ πολλές επιλογές, μεταξύ των οποίων και το “Enter the last password you remember” (Eισάγετε τον τελευταίο κωδικό που θυμόσαστε) και πατήστε στο “Confirm password reset on my [MAKE AND MODEL] phone,” (Επιβεβαίωση επαναφοράς κωδικού πρόσβασης στο τηλέφωνο μου [μάρκα και μοντέλο]. Επειδή, δεν μπορεί να γνωρίζει τα στοιχεία αυτά, τα παραλείπει μέχρι να του δοθεί η επιλογή “Get a verification code on my phone: [MOBILE PHONE NUMBER] (Λήψη κωδικού επαλήθευσης στο τηλέφωνό μου: [ΚΙΝΗΤΟ ΤΗΛΕΦΩΝΟ]).
• Ο κράκερ επιβεβαιώνει την επιλογή. Το θύμα θα λάβει ένα SMS με έναν εξαψήφιο κωδικό επαλήθευσης στο τηλέφωνο του -το οποίο όμως, δεν βρίσκεται στα χέρια του «κακού». Ο χρήστης λαμβάνει ένα μήνυμα που γράφει “Your Google Verification code is [SIX-DIGIT CODE].” (Ο κωδικός επαλήθευσης του Google είναι [εξαψήφιος κωδικός]
• Στο σημείο αυτό, επεμβαίνει ο κράκερ: στέλνει στο θύμα του ένα δεύτερο SMS που γράφει κάτι πειστικό υποδυόμενος αυτή τη φορά την υπηρεσία, δηλαδή την Google, την Yahoo ή το Hotmail, ώστε να του απαντήσει το θύμα με τον κωδικό που μόλις έλαβε, όπως: “Google has detected unusual activity on your account. Please respond with the code sent to your mobile device to stop unauthorized activity". (Η Google εντόπισε ασυνήθιστη δραστηριότητα στο λογαριασμό σας. Απαντήστε με τον κωδικό που σας έχει σταλεί στο κινητό σας τηλέφωνο για να εμποδίσετε τυχόν μη εξουσιοδοτημένη δραστηριότητα).
• Ο χρήστης πιστεύει ότι το μήνυμα είναι αξιόπιστο και απαντά με τον κωδικό επαλήθευσης. Εκτός βέβαια εάν παρατηρήσει ποιος του έστειλε το μήνυμα και θελήσει να βεβαιωθεί για την ταυτότητά του (ενδεχομένως, συγκρίνοντας την προέλευση του αρχικού μηνύματος με τον εξαψήφιο κωδικό).
• Στο παράδειγμά μας, το αυθεντικό μήνυμα της Google εμφανίζει ως αποστολέα την "Google" και εάν αναζητήσετε με παρατεταμένο άγγιγμα τις «λεπτομέρειες μηνύματος» θα δείτε ως Κέντρο υπηρεσίας τον αριθμό της υπηρεσίας μηνυμάτων του παρόχου σας.
• Διαφορετικά, ο κράκερ θα λάβει και θα χρησιμοποιήσει τον κωδικό επαλήθευσης για να πάρει προσωρινά έναν κωδικό πρόσβασης και στη συνέχεια θα μπει στον λογαριασμό για να βρει ό,τι θέλει.
Η Symantec μας λέει πως η «επικοινωνία» του κράκερ με τα θύματά του δεν σταματά εδώ. Αρκετοί εξακολουθούν να στέλνουν μηνύματα στα θύματά τους όταν κάτι δεν πάει καλά με τη σύνδεση και τους κωδικούς. Βεβαίως και πάλι τα μηνύματα εξακολουθούν να είναι απλά και αληθοφανή, με αποτέλεσμα να πείθουν χωρίς ιδιαίτερη προσπάθεια τα θύματά τους.
ΔΙΑΒΑΣΤΕ ΕΔΩ:
• Τον τσάκωσαν «φτιαγμένο»: Οδηγούσε και χωρίς άδεια οδηγού - Συνελήφθη 34χρονος
• Αντίστροφη μέτρηση για το e-kalathi: Πότε θα λειτουργήσει σε δοκιμαστική μορφή
• Σοφία Βεργκάρα: Δίχνει πώς λικνίζονται οι Λατινοαμερικάνοι για το Thanksgiving - Βίντεο
Ακολουθήστε το Tothemaonline.com στο Google News και μάθετε πρώτοι όλες τις ειδήσεις