e-mail
Zhakowanie osobistego konta pocztowego to najlepszy sposób, aby skontrolować czyjąś obecność w Sieci. A nowe badania pokazują, że nie jest to takie trudne do wykonania.
Ostatnie badanie Lucasa Lundgrena z firmy zajmującej się bezpieczeństwem komputerowym IOActive pokazuje, że każdy, kto chciałby się włamać do prywatnej poczty elektronicznej, musi wiedzieć dwie rzeczy: jak strony internetowe obsługują żądanie zmiany hasła oraz że wystarczy odrobina wytrwałości, aby znaleźć kilka potrzebnych kluczowych informacji. Chyba każdy, kto otrzymuje na pocztę komunikaty dotyczące rachunków lub kart płatniczych (nie wspominając już o całej reszcie innych poufnych informacji), czuje dyskomfort na myśl, że ktoś obcy mógłby uzyskać do nich dostęp.
Eksperyment polegał na włamaniu się na konto Gmail za zgodą zaprzyjaźnionego właściciela. Lundgren zaczął od próby zresetowania hasła do konta. Odkrył wówczas, że jego przyjaciel ma jeszcze alternatywne konto pocztowe na Hotmailu, choć nie znał jego dokładnej nazwy. Lundgren przejrzał więc facebookowy profil ofiary, a następnie stworzył fałszywy profil osoby, która – jak zdążył się dowiedzieć – w rzeczywistości była dobrym znajomym ofiary. Kolejnym krokiem było wysłanie z tego spreparowanego konta zaproszenia do grona znajomych na Facebooku, a po zaakceptowaniu przez przyjaciela Lundgren uzyskał pełny adres zarejestrowany w domenie Hotmail.
Aby zresetować hasło do konta Hotmail, Lundgren wykorzystał wiedzę zdobytą za pośrednictwem Facebooka i bez problemu odpowiedział na pytanie pomocnicze, które pozwala na zresetowanie hasła w poczcie Hotmail (nazwisko panieńskie matki). W ten sposób pozostał mu już tylko ostatni krok do zrealizowania celu – zhakowanie konta Gmail swojego przyjaciela. Teraz było to już kwestią paru minut – Lundgren kliknął opcję zresetowania hasła do konta Gmail, więc serwis wysłał odpowiednią wiadomość na wcześniej zhakowane konto w serwisie Hotmail. W ten właśnie sposób Lucas Lundgren przejął kontrolę nad kontem Gmail swojego przyjaciela.
Lundgren z sukcesem spróbował także zhakować facebookowe konto swojego przyjaciela. W tym momencie kontrolował już prawie całe wirtualne życie przyjaciela oraz miał możliwość dokonywania różnych zakupów na jego koszt (mając dostęp do sklepu iTunes), a to wszystko dzięki informacjom znalezionym na koncie pocztowym.
Gmail oferuje podczas logowania dwustopniową weryfikację, polegającą na wysłaniu użytkownikowi SMS-a z jednorazowym kodem, który musi zostać wprowadzony oprócz standardowego hasła. Jednak możliwości tej nie posiada wiele innych stron, na których wprowadzamy te wrażliwe informacje.
„Warto zwrócić uwagę na informacje osobiste i zdecydowanie ograniczyć publikowanie ich w serwisach typu Facebook” – sugeruje Lundgren. Jak pokazuje jego eksperyment, z łatwością można znaleźć niezbędne informacje, które pozwolą całkowicie przejąć czyjąś tożsamość online. Jako dodatkowe zabezpieczenie zalecił również, aby ludzie nie przechowywali żadnych newralgicznych informacji w swoich skrzynkach pocztowych – wszelkie wyciągi bankowe, rachunki kart kredytowych itp. najlepiej wydrukować, ewentualnie zapisać jako plik na komputerze, a następnie usunąć wersję online.
Nigdy nie wiesz, czy jesteś już wystarczająco bezpieczny.
Porady