Νέες μεθόδους, προκειμένου να εξαπατήσουν τους χρήστες κινητών τηλεφώνων, ενεργοποιούν πλέον οι hackers. Μάλιστα, αύξηση καταγράφει, το τελευταίο διάστημα, ένας συγκεκριμένος τύπος επίθεσης, μέσω phishing με στόχο τους χρήστες κινητών τηλεφώνων. Ο απώτερος σκοπός είναι τελικά η πρόσβαση στο λογαριασμό e-mail του θύματος.
Η πλειοψηφία των περιπτώσεων, που καταγράφηκε από τη Symantec, αφορά χρήστες Gmail, Hotmail και Yahoo Mail. Αυτή η επίθεση κοινωνικής μηχανικής (social engineering) είναι πολύ πειστική και οι χρήστες πέφτουν με ευκολία στην παγίδα.
Τη νέα μέθοδο, που χρησιμοποιούν, πλέον, οι hackers για να εξαπατήσουν θύματα κινητών τηλεφώνων, παρουσίασε χθες η Symantec. Όπως εξηγεί η εταιρεία, για να επιτύχει η επίθεση, θα πρέπει οι hackers να γνωρίζουν τη διεύθυνση ηλεκτρονικού ταχυδρομείου του στόχου και τον αριθμό του κινητού τους τηλεφώνου, δεδομένα που, τελικά, μπορούν να ληφθούν χωρίς μεγάλες προσπάθειες. Οι επιτιθέμενοι κάνουν χρήση της δυνατότητας ανάκτησης κωδικού πρόσβασης, που παρέχεται από πολλούς e-mail providers και έτσι τους “βοηθούν” να αποκτήσουν πρόσβαση στους λογαριασμούς τους, μεταξύ άλλων επιλογών, με έναν κωδικό επαλήθευσης, που λαμβάνουν στο κινητό τους τηλέφωνο (άρα τους ζητείται και ο αριθμός κλήσης).
Πως δρουν οι hackersΣύμφωνα με τις μελέτες της επιχείρησης, χρησιμοποιώντας το Gmail για παράδειγμα, ο χρήστης - θύμα καταχωρεί τον αριθμό του κινητού τηλεφώνου στο Gmail, έτσι ώστε αν ξεχνάει τον κωδικό, η Google να αποστέλλει μήνυμα κειμένου με έναν κωδικό επαλήθευσης και ο χρήστης να μπορεί να έχει πρόσβαση στο λογαριασμό του.
Ο hacker, που θέλει να εισβάλει στο λογαριασμό του χρήστη, αλλά δεν γνωρίζει τον κωδικό πρόσβασης του, γνωρίζει την email διεύθυνση και το τηλέφωνο του. Έτσι, επισκέπτεται τη σελίδα login του Gmail και εισάγει τα στοιχεία του χρήστη (χωρίς όμως το password) και στη συνέχεια αναζητά βοήθεια μέσω του “Need help?” link (που χρησιμοποιείται όταν οι χρήστες έχουν ξεχάσει τα στοιχεία εισαγωγής τους).
Το σύστημα δίνει στο hacker πολλές επιλογές, μεταξύ των οποίων και το “Enter the last password you remember” και πατήστε στο “Confirm password reset on my phone,” παραλείποντας, όμως, αυτά τα στοιχεία μέχρι να του δοθεί η επιλογή “Get a verification code on my phone”. Ο hacker επιβεβαιώνει την επιλογή για να λάβει ο χρήστης – θύμα, πλέον, με μήνυμα SMS τον εξαψήφιο κωδικό επαλήθευσης στο τηλέφωνο του.
Τη νέα μέθοδο, που χρησιμοποιούν, πλέον, οι hackers για να εξαπατήσουν θύματα κινητών τηλεφώνων, παρουσίασε χθες η Symantec. Όπως εξηγεί η εταιρεία, για να επιτύχει η επίθεση, θα πρέπει οι hackers να γνωρίζουν τη διεύθυνση ηλεκτρονικού ταχυδρομείου του στόχου και τον αριθμό του κινητού τους τηλεφώνου, δεδομένα που, τελικά, μπορούν να ληφθούν χωρίς μεγάλες προσπάθειες. Οι επιτιθέμενοι κάνουν χρήση της δυνατότητας ανάκτησης κωδικού πρόσβασης, που παρέχεται από πολλούς e-mail providers και έτσι τους “βοηθούν” να αποκτήσουν πρόσβαση στους λογαριασμούς τους, μεταξύ άλλων επιλογών, με έναν κωδικό επαλήθευσης, που λαμβάνουν στο κινητό τους τηλέφωνο (άρα τους ζητείται και ο αριθμός κλήσης).
Πως δρουν οι hackersΣύμφωνα με τις μελέτες της επιχείρησης, χρησιμοποιώντας το Gmail για παράδειγμα, ο χρήστης - θύμα καταχωρεί τον αριθμό του κινητού τηλεφώνου στο Gmail, έτσι ώστε αν ξεχνάει τον κωδικό, η Google να αποστέλλει μήνυμα κειμένου με έναν κωδικό επαλήθευσης και ο χρήστης να μπορεί να έχει πρόσβαση στο λογαριασμό του.
Ο hacker, που θέλει να εισβάλει στο λογαριασμό του χρήστη, αλλά δεν γνωρίζει τον κωδικό πρόσβασης του, γνωρίζει την email διεύθυνση και το τηλέφωνο του. Έτσι, επισκέπτεται τη σελίδα login του Gmail και εισάγει τα στοιχεία του χρήστη (χωρίς όμως το password) και στη συνέχεια αναζητά βοήθεια μέσω του “Need help?” link (που χρησιμοποιείται όταν οι χρήστες έχουν ξεχάσει τα στοιχεία εισαγωγής τους).
Το σύστημα δίνει στο hacker πολλές επιλογές, μεταξύ των οποίων και το “Enter the last password you remember” και πατήστε στο “Confirm password reset on my phone,” παραλείποντας, όμως, αυτά τα στοιχεία μέχρι να του δοθεί η επιλογή “Get a verification code on my phone”. Ο hacker επιβεβαιώνει την επιλογή για να λάβει ο χρήστης – θύμα, πλέον, με μήνυμα SMS τον εξαψήφιο κωδικό επαλήθευσης στο τηλέφωνο του.
Ο χρήστης λαμβάνει ένα μήνυμα που γράφει “Your Google Verification code is (ένας εξαψήφιος κωδικός) και ο hacker αποστέλλει στο χρήστη ένα μήνυμα SMS που γράφει κάτι σχετικό με αυτό: “Google has detected unusual activity on your account. Please respond with the code sent to your mobile device to stop unauthorized activity". Ο χρήστης, πιστεύει ότι το μήνυμα είναι αξιόπιστο και απαντά με τον κωδικό επαλήθευσης. Ο hacker χρησιμοποιεί τον κωδικό επαλήθευσης για να πάρει προσωρινά έναν κωδικό πρόσβασης και στη συνέχεια επιτίθεται στο λογαριασμό e-mail και στα δεδομένα του.
http://www.sepe.gr/
Δεν υπάρχουν σχόλια:
Δημοσίευση σχολίου
Η Γνώμη Κιλκίς- Παιονίας διευκρινίζει στους αναγνώστες της ότι θεωρεί αυτονόητο το δικαίωμα του σχολιασμού και της κριτικής έκφρασης, όταν αυτό φυσικά δεν στοχεύει στην απαξίωση, στην ύβρη και στην προσβολή ατόμων και θεσμών.
Το αναγνωστικό κοινό θα πρέπει να γνωρίζει ότι η Γνώμη, επιδιώκοντας μια υγιή και αμφίδρομη επικοινωνία, δεν δημοσιεύει ανυπόγραφα σχόλια, αλλά ούτε και σχόλια ρατσιστικού, προσβλητικού και υβριστικού περιεχομένου.
Τα ενυπόγραφα άρθρα τέλος, εκφράζουν το συντάκτη τους και δε συμπίπτουν κατ' ανάγκην με την άποψη της εφημερίδας.