Bertemu lucu tidak akan tepat akurat.Foto: GREG WOOD/AFP/Getty Images Jika mata Anda berkaca-kaca ketika Anda melihat istilah serangan man-in-the-middle [MiTM] dalam berita teknologi tentang pelanggaran keamanan, Anda dapat dimaafkan. Kedengarannya sangat abstrak. Kami mencoba membuatnya sedikit lebih menarik ketika kami menulis tentang situs porno besar pertama yang menggunakan TLS-secure , tapi masih sulit untuk digambarkan. Peneliti keamanan dan pendiri startup, Anthony Zboralski dari makhluk itu , menulis posting di Media Tim Tanggap Darurat Peretas blog di mana dia menempatkan penipuan ini dalam istilah yang dapat dipahami semua orang: memancing.
Saya menulis ini untuk membantu Anda membayangkan bagaimana kejahatan dunia maya bekerja dan mengapa privasi itu penting, tetapi mari kita buat semuanya sedikit lebih konkret terlebih dahulu. Jika Anda dapat memasukkan diri Anda ke dalam rencana kencan dua orang tanpa mereka sadari, Anda dapat melakukan lelucon. Sebagai contoh, katakanlah Anda menggunakan teknik berikut sehingga Shawn dan Jennifer tanpa sadar berkomunikasi melalui Anda untuk menetapkan tanggal pada hari Jumat pukul 8. Anda kemudian dapat menjadwalkan tiga wanita lagi untuk bertemu dengan Shawn pada waktu dan tempat yang sama, tanpa Shawn atau Jennifer tahu apa yang Anda lakukan. Dengan metode ini, calon kekasih tidak menyadari bahwa orang lain mengetahui rencana mereka, tetapi Anda mengetahuinya.
Inilah cara Zboralski menjelaskan bagaimana Anda dapat menjalankan serangan MiTM untuk mendengarkan dua orang yang membuat rencana dan bahkan menyisipkan skema Anda sendiri. Jangan lakukan ini. Ini mengerikan. Kecuali Anda seorang misanthrope. Maka mungkin tidak ada cara yang lebih baik untuk menghabiskan akhir pekan Anda.
Anda mungkin perlu membaca ini lebih dari sekali untuk mendapatkannya. Jika tidak membingungkan, semua orang akan melakukan hal ini sepanjang waktu. Yang mengatakan, itu sama sekali tidak teknis.
Pertama, Anda memerlukan akun Tinder untuk melakukan riset. Untuk hasil tercepat, temukan profil pria sejati yang cukup menarik di dekat tempat tinggal Anda. Sebut saja dia Shawn. Target awal harus laki-laki, serangannya kecil kemungkinannya berhasil jika kita memilih perempuan, tulis Zboralski. Pria melamar, wanita membuang… (Jika semua ini terdengar terlalu biner gender bagi Anda, silakan jalankan pelanggaran privasi seseorang yang lebih tercerahkan dan beri tahu kami cara kerjanya.) Ambil tangkapan layar foto Shawn dan gunakan untuk menyiapkan profil Tinder palsu (yang akan membutuhkan profil Facebook palsu). Pastikan untuk mengaturnya ke nama depan yang sama dan mungkin usia yang sama.
Kedua, geser ke kanan dengan profil palsu Anda seperti orang gila. Pergi saja ke kota. Lakukan sampai seseorang cocok dengan Anda yang Anda yakini akan sulit untuk ditolak oleh Shawn yang asli. Sekarang Anda memiliki umpan Anda. Ambil tangkapan layar dari semua fotonya dan atur profil palsu kedua Anda, untuk wanita itu. Katakanlah namanya Jennifer.
Ketiga, ambil profil Jennifer palsu Anda dan geser sampai Anda menemukan Shawn yang asli. Geser kanan. Bahkan, Zboralski menyarankan untuk menggunakan super-suka. Silangkan jarimu. Pada titik ini, Anda mungkin memerlukan perangkat kedua, seperti mungkin ponsel murah atau tablet, untuk profil tambahan. Selama Shawn asli cocok dengan Jennifer palsu, Anda berada dalam bisnis (jika tidak, Anda selalu dapat menemukan pasangan baru untuk Shawn palsu Anda).
Sekarang, Anda berada dalam posisi untuk menguping pembicaraan mereka. Apa pun yang dikatakan Jennifer asli kepada Shawn palsu, atau sebaliknya, Anda cukup menyalin pesan dari akun palsu lainnya ke akun asli lainnya.
Jadi, jika Shawn menggunakan Papan Ketik Peretasan Kencan , dia mungkin terbuka dengan sesuatu seperti Orang tua saya sangat bersemangat, mereka tidak sabar untuk bertemu dengan Anda! Hanya saja, Jennifer palsu akan menerimanya. Jadi salin itu sebagai pesan ke akun Shawn palsu dan kirimkan ke Jennifer asli — apakah Anda mengikuti itu? Tunggu balasan mereka. Salin lagi, dan begitulah seterusnya.
Dengan asumsi Shawn memiliki permainan yang memadai, dia akan berbicara dengan angka. Asalkan dia melakukannya, itu tidak berarti Anda harus berhenti mendengarkan. Ganti saja nomor telepon asli dengan nomor telepon yang sesuai dengan telepon palsu. Ini seharusnya sangat mudah dari sini, karena tidak ada yang benar-benar membuat panggilan telepon lagi. Asalkan tidak ada yang benar-benar mencoba menelepon satu sama lain, seharusnya tidak lebih sulit untuk menyalin teks daripada menyalin pesan Tinder. Namun, jika ada yang benar-benar menjadi aneh dan menelepon, pos Zboralski memiliki instruksi.
LIHAT JUGA: Jaringan kencan anti-catfishing.
Anda akan dapat terus mendengarkan sampai keduanya akhirnya mengatur kencan nyata dan bertemu muka.
Dalam apa yang baru saja saya jelaskan, yang Anda lakukan hanyalah mendengarkan. Yang menyenangkan, tapi cukup jinak.
Kemungkinannya benar-benar tidak terbatas. Faktanya, jika Anda benar-benar ingin menargetkan pengguna Tinder tertentu, Anda mungkin dapat mengayunkannya jika Anda cukup mengenal mereka. Jika Anda melakukan ini, Anda mengerikan. Lucu, tapi mengerikan.
Tinder mungkin tidak melacak semua tempat yang Anda masuki , tetapi tidak memiliki balasan yang bagus untuk pos Zboralski. Tim Keamanan Tinder mengirim Zboralski tanggapan berikut ketika dia melaporkan serangan ini kepada mereka.
Meskipun Tinder menggunakan beberapa mekanisme manual dan otomatis untuk mencegah profil palsu dan/atau duplikat, pada akhirnya, tidak realistis bagi perusahaan mana pun untuk secara positif memvalidasi identitas dunia nyata dari jutaan pengguna sambil mempertahankan tingkat kegunaan yang diharapkan secara umum.
Ini bukan satu-satunya slip keamanan terbaru untuk perusahaan, dan profil palsu menggunakan wajah asli untuk menipu pria dan wanita kesepian di media sosial adalah masalah nyata. Kami sebelumnya melaporkan tentang startup Rusia, N-Tech Labs, yang dapat mengambil foto ponsel dan secara andal mencocokkannya dengan anggota VK, situs yang mirip dengan Facebook. Kemiripan Dr. Alec Couros telah sangat banyak digunakan secara online untuk menjalankan penipuan asmara, tanpa persetujuannya . Itu hanya satu lagi alasan mengapa kencan online itu buruk.
Masalah khusus ini harus diselesaikan dengan teknologi yang ada. Jika pembelajaran mesin sudah cukup baik untuk mencocokkan dua foto berbeda dari wajah yang sama, Anda akan berpikir bahwa pada dasarnya mencocokkan foto yang sama persis akan sangat mudah. Tinder, yang dimiliki oleh Match Group dari situs kencan online, tidak segera memberikan komentar tentang apakah mereka menggunakan pembelajaran mesin untuk menemukan jenis spoof ini atau tidak. Namun, responsnya di atas tidak menggembirakan.
Mudah-mudahan, penjelasan tentang serangan MiTM ini memudahkan Anda membayangkan cara kerja penyadapan online daripada membuat Anda lebih mudah membayangkan merusak akhir pekan teman Anda. Dan jika itu membuat Anda merinding, mungkin jangan gunakan layanan seperti Gmail dan Allo, yang pada dasarnya adalah teknologi menguping yang kami pilih. Jika menjijikkan bagi satu orang untuk mendengarkan dalam satu percakapan, mengapa tidak menjijikkan bagi perusahaan raksasa untuk mendengarkan semua percakapan?
Hati-hati di luar sana.
j/t: Buletin Detectify .
