Hvordan å hacke inn i en e-postkonto, bare ved å vite din offerets mobilnummer
Symantec har utstedt en advarsel om hva som synes å være en vellykket svindel blir begått mot brukere av e-tjenester, for eksempel Gmail, Outlook og Yahoo.
svindel er forklart i de følgende korte videoen er laget av Symantec.
(jeg si det er en kort video, og det er en kort video på bare 2 minutter, 17 sekunder., Men klart Symantec mener du har oppmerksomheten span av en gullfisk, så de har lagt til en funky beat i bakgrunnen for å stoppe deg fra dorma av).
For de som ikke kan stå bakgrunnsmusikk, her er en forklaring på hvordan du kan stjele en e-postkonto, bare ved å vite din offerets mobiltelefon-nummer.
I eksempelet nedenfor vil vi tenke oss at en angriper forsøker å hacke seg inn på en Gmail-konto som tilhører til et offer som heter Alice.,
Alice registrerer hennes mobilnummer i Gmail, slik at hvis hun noen gang glemmer passordet sitt Google vil sende henne en SMS-melding som inneholder en rescue bekreftelseskode, slik at hun kan få tilgang til kontoen hennes.
En dårlig fyr – la oss kalle ham Malcolm – er opptatt av å bryte seg inn i Alice ‘ s konto, men vet ikke sitt passord. Men, gjør han vet Alice ‘ s e-postadresse og telefonnummer.
Så, han besøker logg på Gmail-siden og går inn i Alice ‘ s e-postadresse. Men Malcolm kan ikke oppgi riktig Alice ‘ s passord selvfølgelig fordi han ikke vet det).,
Så i stedet han klikker på «Trenger du hjelp?»link, som vanligvis brukes av legitime brukere som har glemt sitt passord.
Snarere enn ved å velge ett av de andre alternativene, Malcolm velger «for å Få en bekreftelseskode på telefonen min:» å ha en SMS-melding som inneholder et seks-sifret pin-kode sendt til Alice ‘ s mobiltelefon.
Dette er hvor ting blir sleipe.
Fordi på dette punktet, Malcolm Alice sender en tekst som utgir seg for å være Google, og si noe sånt som:
«Google har registrert uvanlig aktivitet på kontoen din., Kan du svare med kode sendt til din mobile enhet for å stoppe uautorisert aktivitet.»
Alice, i tro på at meldingen er legitim, svarer med bekreftelseskoden hun har nettopp blitt sendt av Google.
Malcolm kan deretter bruke koden for å angi et passord og få kontroll over Alice ‘ s e-post-konto.,
Hvis Malcolm var opptatt av å ikke vekke mistanke, og fortsette å se hver e-post som Alice mottar i overskuelig fremtid, så kan det være at han vil konfigurere e-posten sin for å automatisk videresende fremtidige meldinger til en konto som er under hans kontroll, og deretter sende en SMS til henne inneholder den nylig tilbakestille passord:
«Takk for at du verifisere din Google-konto., Det midlertidige passordet er «
Selv om Alice endringer passordet sitt på en senere dato, Malcolm vil fortsette å motta hennes private e-post korrespondanse med mindre hun ser nøye på hennes konto innstillinger.
kort sagt – det er en stygg stykke social engineering som det er lett å forestille seg å jobbe mot mange mennesker.
Så hva er løsningen?
Vel, det enkleste rådet er å være mistenkelig av SMS-meldinger som ber deg om å tekst tilbake en bekreftelseskode – spesielt hvis du ikke har bedt om en bekreftelseskode i første omgang.,
Men, jeg lurer på hvor mange mennesker når møtt med en melding om at de mener å være fra Google eller Yahoo ville handle på det umiddelbart, med lite å tenke på konsekvensene. Tross alt, en av de største bekymringene for mange mennesker kan ha i denne dagen og alder er å være avskåret fra sin e-postkonto.
For mer informasjon, sjekk ut blogginnlegg fra Symantec er Slawomir Grzonkowski.
Og for å få råd om hvordan du bedre beskytte din internett-e-post-kontoen din, må du sørge for å lytte til denne episoden av «Smashing Sikkerhet» podcast:
Fant denne artikkelen interessant?, Følg Graham Cluley på Twitter til å lese mer av eksklusivt innhold vi legger ut.
Graham Cluley er en veteran av de anti-virus bransjen etter å ha jobbet for en rekke sikkerhetsselskaper siden tidlig på 1990-tallet, da han skrev den første versjonen av Dr Salomos Anti-Virus Verktøykasse for Windows. Nå en uavhengig security analyst, han jevnlig gjør media-opptredener, og er en internasjonal foredragsholder om temaet av datamaskinen sikkerhet, hackere og personvern på nettet.Følg ham på Twitter på @gcluley, eller sende ham en e-post.