Conocer lindo no sería precisamente exacto.Foto: GREG WOOD / AFP / Getty Images Si sus ojos se ponen vidriosos cuando ve el término ataque man-in-the-middle [MiTM] en las noticias de tecnología sobre violaciones de seguridad, puede ser perdonado. Suena realmente abstracto. Intentamos hacerlo un poco más emocionante cuando escribimos sobre el primer gran sitio porno en ser TLS seguro , pero aún es difícil de imaginar. Investigador de seguridad y fundador de startups, Anthony Zboralski de La criatura , escribió una publicación en el medio del equipo de respuesta a emergencias de piratas informáticos blog donde pone estas estafas en términos que todos puedan entender: catfishing.
Escribo esto para ayudarlo a imaginarse cómo funciona el ciberdelito y por qué la privacidad es importante, pero primero hagámoslo todo un poco más concreto. Si puedes meterte en la cita de dos personas haciendo planes sin que ellos lo sepan, puedes hacer bromas. Por ejemplo, supongamos que usa la siguiente técnica para que Shawn y Jennifer se comuniquen sin saberlo a través de usted para programar una cita para el viernes a las 8. Luego, podría programar a tres mujeres más para que se reúnan con Shawn a la misma hora y en el mismo lugar, sin ninguno de los dos. Shawn o Jennifer sabiendo lo que estabas haciendo. Con este método, los amantes potenciales no se dan cuenta de que nadie más conoce sus planes, pero tú sí.
Así es como Zboralski describe cómo puede ejecutar un ataque MiTM para escuchar a dos personas que hacen planes e incluso interponer su propio plan. No hagas esto. Es terrible. A menos que seas un misántropo. Entonces probablemente no haya una mejor manera de pasar su fin de semana.
Es posible que deba leer esto más de una vez para obtenerlo. Si no fuera confuso, todo el mundo haría estas cosas todo el tiempo. Dicho esto, no es técnico en absoluto.
Primero, necesitará una cuenta de Tinder para investigar un poco. Para obtener los resultados más rápidos, busque un perfil de un hombre real y bastante atractivo cerca de donde vive. Llamémoslo Shawn. El objetivo inicial tiene que ser un hombre, es menos probable que el ataque tenga éxito si elegimos a una mujer, escribe Zboralski. Los hombres proponen, las mujeres eliminan ... (Si todo esto te suena demasiado binario en cuanto al género, realiza una violación más esclarecedora de la privacidad de alguien y cuéntanos cómo funciona). Toma capturas de pantalla de las fotos de Shawn y úsalas para configurar un perfil falso de Tinder (que requerirá un perfil falso de Facebook). Asegúrese de configurarlo con el mismo nombre y probablemente la misma edad.
En segundo lugar, desliza el dedo hacia la derecha con tu perfil falso como loco. Vete a la ciudad. Hazlo hasta que alguien coincida contigo y creas que será difícil de resistir para el verdadero Shawn. Ahora tienes tu cebo. Toma capturas de pantalla de todas sus fotos y configura tu segundo perfil falso, para la dama. Digamos que su nombre era Jennifer.
En tercer lugar, toma tu perfil falso de Jennifer y desliza el dedo hasta que encuentres al verdadero Shawn. Desliza a la derecha. De hecho, Zboralski sugiere usar super-me gusta. Cruza tus dedos. En este punto, probablemente necesitará un segundo dispositivo, como tal vez un teléfono quemador barato o una tableta, para el perfil adicional. Siempre que el verdadero Shawn coincida con la falsa Jennifer, estás en el negocio (si él no lo hace, siempre puedes encontrar una nueva coincidencia para tu falso Shawn).
Ahora, está en condiciones de escuchar a escondidas su conversación. Cualquier cosa que la verdadera Jennifer le diga al falso Shawn, o viceversa, simplemente copie en un mensaje de la otra cuenta falsa a la otra cuenta real.
Entonces, si Shawn utiliza el teclado Dating Hacks , podría abrir con algo como Mis padres están tan emocionados que están ansiosos por conocerte. Solo, la falsa Jennifer lo recibirá. Copie eso como un mensaje en la cuenta falsa de Shawn y envíelo a la verdadera Jennifer. ¿Lo siguió? Espere su respuesta. Copia de nuevo, y así sigue.
Suponiendo que Shawn tiene un juego adecuado, hablará hasta los dígitos. Siempre que lo haga, eso no significa que tenga que dejar de escuchar. Simplemente sustituya los números de teléfono reales por números de teléfono que correspondan a teléfonos falsos. Esto debería ser muy fácil desde aquí, porque ya nadie hace llamadas telefónicas. Siempre que nadie intente llamarse entre sí, copiar textos no debería ser más difícil que copiar los mensajes de Tinder. Sin embargo, si alguien se pone raro y llama, la publicación de Zboralski tiene instrucciones.
VEA TAMBIÉN: La red de citas anti-catfishing.
Podrás seguir escuchando hasta que los dos finalmente establezcan una cita real y se reúnan cara a cara.
En lo que acabo de describir, todo lo que estás haciendo es escuchar. Lo cual es divertido, pero bastante dócil.
Las posibilidades son realmente ilimitadas. De hecho, si realmente desea apuntar a un usuario específico de Tinder, probablemente podría hacerlo si lo conoce lo suficientemente bien. Si haces esto, eres horrible. Gracioso, pero espantoso.
Es posible que Tinder no realice un seguimiento de todos los lugares en los que inicias sesión, pero no tuvo una gran respuesta a la publicación de Zboralski. El equipo de seguridad de Tinder le envió a Zboralski la siguiente respuesta cuando les informó de este ataque.
Si bien Tinder emplea varios mecanismos manuales y automatizados para disuadir los perfiles falsos y / o duplicados, en última instancia, no es realista que ninguna empresa valide positivamente la identidad del mundo real de millones de usuarios mientras mantiene el nivel de usabilidad comúnmente esperado.
No es el único error de seguridad reciente para la empresa, y los perfiles falsos que usan caras reales para estafar a hombres y mujeres solitarios en las redes sociales son un problema real. Anteriormente informamos sobre una startup rusa, N-Tech Labs, que puede tomar fotos de teléfonos celulares y relacionarlas de manera confiable con miembros de VK, un sitio muy parecido a Facebook. La semejanza del Dr. Alec Couros se ha utilizado mucho en línea para realizar estafas románticas, sin su consentimiento . Es solo una razón más por la que las citas en línea son horribles.
Este problema particular debería resolverse con la tecnología existente. Si el aprendizaje automático se ha vuelto lo suficientemente bueno como para hacer coincidir dos fotos diferentes de la misma cara, pensaría que hacer coincidir básicamente la misma foto sería muy fácil. Tinder, que es propiedad de Match Group de sitios de citas en línea, no estuvo disponible de inmediato para comentar sobre si está utilizando o no el aprendizaje automático para detectar este tipo de parodia. Sin embargo, la respuesta anterior no es alentadora.
Con suerte, esta explicación de los ataques MiTM hace que sea más fácil imaginarse cómo funciona la escucha clandestina en línea en lugar de hacer que le resulte más fácil imaginarse arruinando los fines de semana de sus amigos. Y si te asusta, quizás no uses servicios como Gmail y Allo, que son básicamente tecnología de escucha clandestina en la que optamos. Si es asqueroso que una persona escuche una conversación, ¿por qué no es asqueroso que las empresas gigantes escuchen todas las conversaciones?
Ten cuidado ahí fuera.
h / t: Boletín de Detectify .
