Articles

Como invadir uma conta de e-mail, apenas por saber da sua vítima do número de celular

Symantec emitiu um aviso sobre o que parece ser um bem-sucedido golpe perpetrada contra os usuários de serviços de webmail, como o Gmail, Outlook e Yahoo.

o esquema é explicado no vídeo curto seguinte feito pela Symantec.

(I say it’s a short video, and it is a short video at only 2 minutes 17 seconds., Mas claramente Symantec sente que você tem a atenção de um peixinho dourado, então eles adicionaram uma batida funky no fundo para impedi-lo de adormecer).

para aqueles que não suportam a música de fundo, Aqui está uma explicação de como você pode roubar uma conta de E-mail, apenas conhecendo o número de telefone celular da sua vítima.

no exemplo abaixo vamos imaginar que um atacante está tentando invadir uma conta do Gmail pertencente a uma vítima chamada Alice.,a Alice regista o seu número de telemóvel com o Gmail para que, se alguma vez esquecer a sua palavra-passe, o Google lhe envie uma mensagem de texto SMS contendo um código de verificação de resgate para poder aceder à sua conta.

um tipo mau – vamos chamá – lo Malcolm-está interessado em entrar na conta de Alice, mas não sabe a sua senha. No entanto, ele sabe o endereço de E-mail e número de telefone de Alice.

assim, ele visita a página de login do Gmail e entra no endereço de E-mail de Alice. Mas Malcolm não pode digitar corretamente a senha de Alice ,é claro (porque ele não sabe).,então, em vez disso, ele clica no ” Need help?”link, normalmente usado por usuários legítimos que se esqueceram de suas senhas.

em vez de escolher uma das outras opções, Malcolm seleciona “obter um código de verificação no meu telefone:” para ter uma mensagem SMS contendo um código de segurança de seis dígitos enviado para o telefone celular de Alice.é aqui que as coisas ficam sorrateiras.

porque neste momento, Malcolm envia para Alice um texto fingindo ser Google, e dizendo algo como:

“Google detectou atividade incomum em sua conta., Por favor, responda com o código enviado para o seu dispositivo móvel para parar a atividade não autorizada.”

Alice, acreditando que a mensagem é legítima, responde com o código de verificação que lhe foi enviada pelo Google.

Malcolm pode então usar o código para definir uma senha temporária e ganhar o controle sobre a conta de E-mail de Alice.,

Se Malcolm estava ansioso para não levantar suspeita, e continuar a ver todos os e-mail por Alice para o futuro previsível, então pode ser que ele irá reconfigurar o seu e-mail para reencaminhar automaticamente mensagens futuras para uma conta sob o seu controle e, em seguida, enviar um SMS para ela contém o recém-redefinição de senha:

“Obrigado por verificar sua conta do Google., Sua senha temporária é “

mesmo que Alice altere sua senha em uma data posterior, Malcolm continuará a receber sua correspondência privada de E-mail a menos que ela olhe cuidadosamente para a configuração de sua conta.em resumo, é uma peça desagradável de engenharia social que é fácil de imaginar trabalhando contra muitas pessoas.então, qual é a solução?

bem, o conselho mais simples é suspeitar de mensagens SMS que lhe pedem para enviar de volta um código de verificação-em particular se você não solicitou um código de verificação em primeiro lugar.,

no entanto, eu me pergunto quantas pessoas quando confrontadas com uma mensagem que eles acreditam ser do Google ou Yahoo iria agir sobre isso imediatamente, com pouco pensamento sobre as consequências. Afinal de contas, uma das maiores preocupações que muitas pessoas podem ter nos dias de hoje é ser cortado de sua conta de E-mail.

para mais detalhes, confira o post do blog pelo Slawomir Grzonkowski da Symantec.e para obter conselhos sobre como proteger melhor a sua conta de E-mail, certifique-se de ouvir este episódio do podcast “Smashing Security”:

achou este artigo interessante?, Siga Graham Cluley no Twitter para ler mais do conteúdo exclusivo que postamos.

Graham Cluley é um veterano da indústria anti-vírus tendo trabalhado para uma série de empresas de segurança desde o início dos anos 1990, quando ele escreveu a primeira versão do kit anti-vírus do Dr. Solomon Para Windows. Agora, um analista de segurança independente, ele regularmente faz aparições na mídia e é um orador público internacional sobre o tema de segurança de computadores, hackers e privacidade online.Siga-o no Twitter no @gcluley, ou envie-lhe um e-mail.