Articles

Jak se nabourat do e-mailového účtu, jen tím, že zná své oběti mobilní číslo

Symantec vydala varování o tom, co se zdá být úspěšný podvod páchanému na uživatele webmail služby, jako je Gmail, Outlook a Yahoo.

podvod je vysvětlen v následujícím krátkém videu vytvořeném společností Symantec.

(říkám, že je to krátké video a je to krátké video pouze za 2 minuty 17 sekund., Ale zjevně Symantec cítí, že máte rozpětí pozornosti zlaté rybky, takže přidali funky beat v pozadí, aby vás zastavili od dřímání).

Pro ty, kteří nemohou vystát hudbu na pozadí, zde je vysvětlení to, jak můžete ukrást e-mailový účet, jen tím, že zná své oběti mobilní telefonní číslo.

v níže uvedeném příkladu si představíme, že se útočník pokouší proniknout do účtu Gmail patřící oběti jménem Alice.,

Alice zaregistruje své číslo mobilního telefonu pomocí Gmailu, takže pokud někdy zapomene své heslo, Google jí pošle SMS textovou zprávu obsahující ověřovací kód záchrany, aby měla přístup ke svému účtu.

špatný chlap-říkejme mu Malcolm-se chce vloupat do účtu Alice, ale nezná její heslo. Zná však alicinu e-mailovou adresu a telefonní číslo.

takže navštíví přihlašovací stránku Gmailu a zadá e-mailovou adresu Alice. Malcolm však samozřejmě nemůže správně zadat heslo Alice (protože to neví).,

takže místo toho klikne na “ potřebujete pomoc?“link, běžně používaný legitimními uživateli, kteří zapomněli svá hesla.

Spíše než zvolit jednu z dalších možností, Malcolm vybere „Získat ověřovací kód na můj mobil:“ mít SMS zpráva obsahující šestimístný bezpečnostní kód zaslán na Alice je mobilní telefon.

to, kde se věci stávají záludnými.

Protože v tomto bodě, Malcolm posílá Alice text předstírá, že je Google, a říkat něco jako:

„Google má neobvyklou aktivitu na vašem účtu., Odpovězte prosím kódem zaslaným do vašeho mobilního zařízení, abyste zastavili neoprávněnou činnost.“

Alice, protože věří, že zpráva je legitimní, odpovídá ověřovacím kódem, který právě poslala společnost Google.

Malcolm pak může pomocí kódu nastavit dočasné heslo a získat kontrolu nad e-mailovým účtem Alice.,

Pokud se Malcolm byl zájem nevyvolávají podezření, a i nadále vidět každý e-mail, že Alice dostane v dohledné budoucnosti, pak to může být, že bude překonfigurovat její e-mail, aby se automaticky vpřed budoucí zprávy, aby účet pod jeho kontrolou, a pak poslat SMS na její obsahující nově obnovit heslo:

„Děkuji vám za ověření svého účtu Google., Dočasné heslo je „

I když Alice změní heslo později, Malcolm bude i nadále přijímat své soukromé e-mailové korespondence, pokud podívá se pozorně na její účet v nastavení.

stručně řečeno-je to ošklivý kus sociálního inženýrství, který je snadné si představit, že pracuje proti mnoha lidem.

Takže, jaké je řešení?

nejjednodušší radou je být podezřelá ze zpráv SMS, které vás požádají o text zpět ověřovací kód-zejména pokud jste nejprve nepožádali o ověřovací kód.,

Zajímalo by mě však, kolik lidí, když čelí zprávě, o které věří, že je od Googlu nebo Yahoo, by na ni okamžitě působilo, s malým přemýšlením o důsledcích. Koneckonců, jednou z největších obav, které mnoho lidí může mít v tento den a věk, je odříznout od svého e-mailového účtu.

pro více informací, Podívejte se na blog post Symantec Slawomir Grzonkowski.

a pro radu, jak lépe chránit váš webový e-mailový účet, nezapomeňte poslouchat tuto epizodu podcastu „Smashing Security“:

našel tento článek zajímavý?, Sledujte Graham Cluley na Twitteru a přečtěte si více exkluzivního obsahu, který zveřejňujeme.

Graham Cluley je veterán z anti-virus průmyslu, který pracoval pro řadu bezpečnostních firem od roku 1990, kdy napsal první verzi Dr. Solomon ‚ s Anti-Virus Toolkit pro Windows. Nyní nezávislý bezpečnostní analytik pravidelně vystupuje v médiích a je mezinárodním veřejným řečníkem na téma počítačové bezpečnosti, hackerů a soukromí online.Sledujte ho na Twitteru na @gcluley, nebo mu napište e-mail.