Cum să hack-uiești conturile prietenilor și ale celor din familie!

Cum să hack-uiești conturile prietenilor și ale celor din familie!

2394

manoussos

Vassilios Manoussos, MSc.,PGC,BSc,AAS
Digital Forensics & E-Crime Consultant
Vice Chairman, Digital Forensics Society

Vassilios Manoussos este un specialist digital forensics. El s-a născut în Patra, Grecia și locuiește în UK de 14 ani. Are o experiență de peste 27 de ani în companii ca: IBM, Abbey National și HM Civil Service. Are o experiență de 7 ani în Digital Forensics și a condus investigații și a realizat rapoarte despre infracțiuni și cazuri civile, de familie și de angajare/recrutare, inclusiv în cazul lui Artur Boruc –vezi- News of the World, cazul Mecca Bing Jackpot, și cazuri de infracțiuni implicând crime violente și pornografie infantilă. Este co-fondator al Digital Forensics Society în UK, și este un speaker frecvent la universitățile scoțiene. Vassilios Manoussos este proprietarul Strathclyde Forensics, una dintre cele mai respectate firme de consultanță în domeniul Digital Forensics din Scoția și din Nordul Angliei. Este asociat la The Cyber Academy și în prezent lucrează la mai multe proiecte cu Napier University (Edinburgh, Scoția).

CERTIFICĂRI:

Domnul Manoussos deține certificările: MSc Forensic Informatics (Strathclyde University), PG Certificate in Business (Sunderland University), BSc Business și o Associate in Applied Science (AAS) de la American College of Greece. Deține certificări în Computer Forensics, White Collar Crime și Cyber Ethics, de la FEMA/DHS. În prezent studiază pentru o certificare BSc Forensic Psychology (Open University) și va începe în curând LLB English Law (University of London).

Mr Manoussos poate fi contactat la: vassilis@strathclydeforensics.co.uk sau prin Linkedin.

Lacunele ingineriei sociale.

Introducere

Serviciile web cum sunt webmail și site-urile de social media (ca Facebook) funcţionează cu autentificare într-un singur pas. Tastezi numele de utilizator sau adresa de e-mail și parola și intri în cont.

Tuturor ni s-a întâmplat ca la un moment dat să uităm parola și să încercăm să o resetăm. Resetarea se face fie după ce răspundem la niște întrebări de securitate, fie prin trimiterea unui link pentru resetare, sau a unui cod la o altă adresă de e-mail sau pe telefonul mobil.

Parolele și întrebările de securitate sunt menite să îi ţină pe străini departe de contul vostru. Cu toate că în prezent avem tot mai multe opţiuni pentru formularea unor întrebări de securitate, majoritatea le aleg pe cele mai simple, cum ar fi: numele de fată al mamei, numele primului animal de companie, numele primei școli, strada pe care au locuit. Răspunsurile simple la aceste întrebări devin un instrument în mâna experţilor în inginerie socială.

Inginerie socială

Ingineria socială este un set de abilităţi și de procese prin care cineva vă convinge să îi furnizaţi din proprie iniţiativă credenţialele de logare sau alte informaţii importante. Majoritatea atacurilor de hacking se realizează prin procese de genul phishing prin care lumea este păcălită să își divulge parolele. Hacking-ul tehnic este mai complicat și necesită mai mult timp și nu întotdeauna merită timpul pierdut pentru a fura parola cuiva.

Cred că Houdini a afirmat că lacătele sunt proiectate să oprească oamenii să intre și nu să iasă. După același principiu parolele și întrebările de securitate sunt gândite să îi ţină pe străini departe de datele voastre, dar sunt ele eficiente și în cazul prietenilor sau a familiei?

Hack-uirea unui prieten sau a unui văr

Să presupunem că vrei să hack-uiești contul unui prieten sau al cuiva din familie. Acest lucru poate fi mult mai simplu decât v-aţi putea imagina. Și aceasta pentru că s-ar putea să știi deja răspunsurile la unele dintre întrebările de securitate.

Primul pas din procedură este să decizi care cont să-l hack-uiești mai întâi și de ce. Să presupunem că persoana care te interesează are următoarele conturi:

  • Hotmail
  • Facebook
  • Paypal
  • Skype

Pe care l-aţi alege să îl hack-uiţi primul?

Pasul 1: Contul de email

Există o opţiune evidentă care prezintă avantaje competitive faţă de celelalte trei, contul de Hotmail. Bineînţeles că acesta ar putea fi un cont de e-mail de Yahoo sau Gmail sau oricare alt cont de e-mail. Motivul pentru care am ales mai întâi contul de e-mail nu este pentru că ar fi mai ușor, ci pentru că este destul de probabil ca acesta să fi fost folosit pentru setarea tuturor celorlalte 3 conturi, și din momentul în care obţinem controlul asupra acestuia vom putea reseta parolele și pentru toate celelalte.cum01

Tot ceea ce avem de făcut este să spunem că am uitat parola, să tastăm adresa de e-mail pe care dorim să o hack-uim și să ajungem la acest meniu. În mod evident nu avem acces la un cont secundar de e-mail sau la mobil, așa că vom selecta ultima opţiune. Următorul pas este să tastăm o adresă de e-mail la care să fim contactaţi pentru a ni se pune niște întrebări.

În funcţie de setările contului ţintă, se poate întâmpla să răspundeţi la câteva întrebări și să primiţi acces instant, sau este posibil să trebuiască să mai răspundeţi și la alte întrebări suplimentare. Dacă aţi avut deja schimburi de e-mailuri cu victima veţi putea răspunde cu ușurinţă la întrebări de genul „adrese de e-mail către care s-au trimis mesaje” sau „subiectul mesajelor trimise”. Celelalte întrebări sunt legate de nume, cod poștal, oraș, numele de fată al mamei, data nașterii etc.

Dacă totul merge bine și răspundeţi corect la un anumit procent din aceste întrebări, veţi primi un e-mail de resetare a contului pe care l-aţi vizat. Este suficient să daţi click pe link-ul din acel e-mail și să schimbaţi parola și întrebările de securitate.

Pasul 2: Contul de Facebook

După ce aţi primit acces la adresa de e-mail care a fost utilizată pentru setarea contului de Facebook, accesaţi contul de Facebook, daţi click pe link-ul „Aţi uitat parola?” și introduceţi adresa de e-mail. Veţi obţine un ecran ca cel din imagine:cum02

Tot ceea ce aveţi de făcut este să daţi click pe prima opţiune și să primiţi link-ul de reset. După care nu vă rămâne decât să schimbaţi parola și întrebările de securitate ale Facebook. Nu uitaţi să schimbaţi e-mailul și numerele de mobil. Aceasta ar putea să dureze ceva și ar putea permite proprietarului să încerce (și poate chiar să reușească) să primească acces la contul lui.

În trecut, dacă Facebook observa încercări repetate de reset, cerea să identificaţi oameni tag-uiţi din pozele stocate în profil. Dacă îi cunoașteţi pe acei oameni veţi reuși să alegeţi numele corecte (este un test cu opţiuni multiple!) .

Pasul 3: Celelalte conturi

Din momentul în care aveţi acces și la Facebook, folosind aceeași procedură, puteţi încerca să resetaţi și conturile de Skype și Paypal. Din contul de e-mail, parcurgând mesajele, puteţi vedea și pe ce alte site-uri web mai are conturi ţinta aleasă. Și puteţi aplica aceeași procedură și pentru acestea.

Partea cea mai sensibilă este dată de faptul că din acest moment aţi putea avea acces pentru a reseta conturile de la administraţia financiară, alte instituţii guvernamentale, iar în unele ţări chiar conturile bancare și de credit. În UK doar prin accesarea e-mail-ului nu aveţi acces și la conturile bancare.

Ce putem învăța?

Scopul acestui articol nu este să vă transforme în hacker și nici de a facilita infracţiunile. Din contră. Ne-am propus doar să vă arătăm cât de ușor puteţi pierde controlul asupra conturilor digitale pe care le aveţi. Și dacă v-ar putea fi frică de un hacker rus sau chinez, ar trebui să fiţi la fel de precaut și faţă de fosta prietenă, faţă de un văr sau faţă de un partener gelos.

Există multe concepţii greșite despre hacking și securitate și acest articol își propune doar să evidenţieze faptul că dușmanul ar putea fi mai aproape decât vă imaginaţi, și că măsurile de securitate pe care le-aţi luat s-ar putea să nu fie așa de sigure pe cât v-aţi imagina.

Ce trebuie să faceți dacă vi se întâmplă așa ceva?

Dacă consideraţi că adresa de e-mail v-a fost hack-uită, primul lucru pe care trebuie să-l faceţi este să încercaţi să schimbaţi parolele la toate site-urile web asociate cu acea adresă de e-mail.

Începeţi cu cele mai importante, cum ar fi Paypal. Apoi faceţi același lucru și la conturile de social media și la site-urile pe care v-aţi abonat la reviste online etc.
Prioritizați
și faceţi-vă un plan despre modul în care să reacţionaţi dacă v-a fost spart un cont.

Apelați la un expert. Dacă în pericol se află informaţii mai sensibile decât doar pozele din vacanţă, apelaţi la un expert cât mai curând posibil. Cu cât pierdeţi mai mult timp cu atât scad șansele de a mai recupera ceva.

Ce puteți face pentru a preveni așa ceva?

Nici o soluţie de securitate nu este perfectă. Și dacă sunteţi inteligent, întotdeauna se va găsi cineva și mai inteligent. Totuși puteţi minimiza riscurile de a pierde totul prin simpla pierdere a accesului la adresa de e-mail:

  1. Nu utilizaţi aceeași adresă de e-mail pentru toate conturile de social media.
  2. Nu folosiţi aceeași adresă de e-mail și la conturi de social media și la conturi gen Paypal și Ebay.
  3. Setaţi seturi diferite de întrebări de securitate. Dacă doriţi puteţi seta răspunsuri greșite, dar notaţi-le și păstraţi-le într-un loc sigur acasă.
  4. Setaţi alerte de securitate cu notificare prin SMS acolo unde este posibil și înregistraţi-vă telefonul mobil ca opţiune de resetare a parolei.
  5. Nu utilizaţi întrebări de securitate cum ar fi numele animalelor de companie sau numele de fată. Dacă aveţi posibilitatea stabiliţi propriile întrebări de securitate.
  6. Nu uitaţi: dacă cineva vă sparge contul de e-mail va avea acces la întrebările de securitate și la răspunsuri și le va putea folosi pentru a vă accesa și alte conturi chiar dacă sunt setate cu alte adrese de e-mail.
  7. Și nu în cele din urmă, un aspect pe care îl subliniez de fiecare dată: folosiţi-vă bunul simţ!

Și … Atenționare!

Acest articol este un proof-of-concept. Nu vă sugerăm să spargeți
conturile altor persoane, pentru că poate fi ilegal. Cât de ilegal, depinde
de pașaportul pe care îl aveţi și de jurisdicţia în care vă aflaţi. Cu siguranţă
este ilegal în UK dar și în România! Pe bune, NU HACK-UIȚI CONTURILE DE
E-MAIL ALE ALTOR PERSOANE.

Toate informațiile din acest articol sunt în zona public domain.