遇见可爱不会准确。照片:格雷格伍德/法新社/盖蒂图片社 如果您在有关安全漏洞的技术新闻中看到中间人攻击 [MiTM] 一词时眼睛呆滞了,那是可以原谅的。听起来真的很抽象。当我们写的时候,我们试图让它更令人兴奋 第一个采用 TLS 安全的大型色情网站 ,但还是很难想象。安全研究员和创业公司创始人 Anthony Zboralski 生物 , 在 Hacker Emergency Response Team 的 Medium 上写了一篇文章 他在博客中用每个人都能理解的术语来描述这些骗局:鲶鱼。
我写这篇文章是为了帮助您了解网络犯罪是如何运作的以及为什么隐私很重要,但让我们先把它说得更具体一点。如果你可以在他们不知情的情况下将自己插入到两个人的约会计划中,你就可以恶作剧了。例如,假设您使用以下技巧,让 Shawn 和 Jennifer 在不知情的情况下通过您进行沟通,以安排周五 8 点的约会。然后,您可以安排另外三个女性在同一时间和地点与 Shawn 见面,而无需任何一个肖恩或詹妮弗知道你在做什么。用这种方法,潜在的情人不会意识到其他人知道他们的计划,但你知道。
以下是 Zboralski 描述如何运行 MiTM 攻击来监听两个制定计划的人,甚至插入你自己的计划。不要这样做。它是可怕的。除非你是一个厌世者。那么可能没有比这更好的方式来度过周末了。
您可能需要多次阅读本文才能获得它。如果不是混淆,每个人都会一直做这些事情。也就是说,这根本不是技术性的。
首先,您需要一个 Tinder 帐户来进行一些研究。为获得最快的结果,请在您居住的附近找到一个真实的、相当有吸引力的男性的个人资料。我们就叫他肖恩吧。 Zboralski 写道,最初的目标必须是雄性,如果我们选择雌性,攻击就不太可能成功。男人求婚,女人处理……(如果这一切对你来说听起来有点过于性别二元性,请更明智地侵犯某人的隐私,让我们知道结果如何。)截取 Shawn 的照片并使用它们进行设置伪造的 Tinder 个人资料(需要伪造的 Facebook 个人资料)。确保将其设置为相同的名字和可能相同的年龄。
其次,像疯了一样用你的假个人资料向右滑动。去镇上就行了。这样做直到有人与你匹配,你认为真正的肖恩很难抗拒。现在你有了诱饵。截取她所有照片的屏幕截图,并为这位女士设置您的第二个假个人资料。假设她的名字是詹妮弗。
第三,获取您的假 Jennifer 个人资料并滑动,直到找到真正的 Shawn。向右滑动。事实上,Zboralski 建议使用超级赞。交叉你的手指。此时,您可能需要第二个设备,例如便宜的刻录机手机或平板电脑,用于附加配置文件。只要真正的肖恩与假的詹妮弗匹配,你就可以做生意(如果他不匹配,你总是可以为你的假肖恩找到一个新的匹配)。
现在,您可以窃听他们的谈话。真 Jennifer 对假 Shawn 说的任何话,反之亦然,您只需将另一个假帐户复制到另一个真实帐户的消息中即可。
所以,如果肖恩 使用约会黑客键盘 ,他可能会用这样的话打开我的父母很兴奋,他们迫不及待地想见到你!只有,假詹妮弗会收到它。因此,将其作为消息复制到假 Shawn 的帐户中,然后将其发送给真正的 Jennifer——你遵循了吗?等待他们的答复。再复制一次,就这样了。
假设肖恩有足够的比赛,他会谈谈他的数字。如果他这样做,这并不意味着您必须停止监听。只需将真实电话号码替换为与假电话对应的电话号码即可。从这里开始这应该非常容易,因为实际上没有人再打电话了。如果没有人真正尝试互相呼叫,复制文本应该不会比复制 Tinder 消息更难。不过,如果有人真的变得奇怪并打电话,Zboralski 的帖子有说明。
还请参见:反鲶鱼约会网络。
您将能够继续聆听,直到两人最终确定真正的约会并面对面见面。
在我刚刚描述的情况下,你所做的就是倾听。这很有趣,但很温和。
可能性真的是无穷无尽的。事实上,如果你真的想针对特定的 Tinder 用户,如果你足够了解他们,你可能会摆动它。如果你这样做,你就很糟糕。可笑,但很可怕。
Tinder 可能不会跟踪您登录的所有位置,但它对 Zboralski 的帖子没有很好的回复。当 Zboralski 向他们报告这次攻击时,Tinder 安全团队向他发送了以下回复。
虽然 Tinder 确实采用了多种手动和自动机制来阻止虚假和/或重复的个人资料,但最终,任何公司在保持普遍预期的可用性水平的同时积极验证数百万用户的真实身份是不现实的。
这不是该公司最近唯一的安全漏洞,使用真实面孔在社交媒体上欺骗孤独男女的虚假个人资料是一个真正的问题。我们之前曾报道过一家俄罗斯初创公司 N-Tech Labs,该公司可以拍摄手机照片并将其与 VK 的成员可靠地匹配,该网站很像 Facebook。亚历克·库罗斯博士的肖像在网上被广泛用于进行浪漫骗局, 未经他同意 .这只是网上约会糟糕的另一个原因。
这个特殊问题应该可以用现有技术解决。如果机器学习已经足够好,可以匹配同一张脸的两张不同照片,你会认为匹配完全相同的照片将是轻而易举的事。在线约会网站 Match Group 旗下的 Tinder 无法立即就其是否使用机器学习来发现这种欺骗行为发表评论。然而,上面的反应并不令人鼓舞。
希望这种对 MiTM 攻击的解释可以让您更轻松地想象在线窃听是如何工作的,而不是让您更轻松地想象破坏朋友的周末。如果它让你毛骨悚然,那么也许不要使用 Gmail 等服务 和 Allo,基本上是 我们选择使用的窃听技术。如果一个人听一个谈话很恶心,为什么大公司听所有谈话不恶心?
在外面小心点。
H T: Detectify 的通讯 .
