hur man hacka in i ett e-postkonto, bara genom att veta ditt offrets mobilnummer
Symantec har utfärdat en varning om vad som verkar vara en framgångsrik bluff som begås mot användare av webbmailtjänster som Gmail, Outlook och Yahoo.
bluffen förklaras i följande korta video gjord av Symantec.
(Jag säger att det är en kort video, och det är en kort video på bara 2 minuter 17 sekunder., Men tydligt Symantec känner att du har uppmärksamhet span av en guldfisk, så de har lagt till en funky beat i bakgrunden för att stoppa dig från att slumra).
för dem som inte kan stå bakgrundsmusik, här är en förklaring av hur du kan stjäla ett e-postkonto, bara genom att veta ditt offrets mobilnummer.
i exemplet nedan kan vi föreställa oss att en angripare försöker hacka sig in i ett Gmail-konto som tillhör ett offer som heter Alice.,
Alice registrerar sitt mobilnummer med Gmail så att om hon någonsin glömmer sitt lösenord skickar Google henne ett SMS-meddelande som innehåller en räddningsverifieringskod så att hon kan komma åt sitt konto.
en dålig kille – låt oss kalla honom Malcolm – är angelägen om att bryta sig in på Alices konto, men vet inte hennes lösenord. Men han vet Alices e-postadress och telefonnummer.
så besöker han Gmail-inloggningssidan och går in i Alices e-postadress. Men Malcolm kan inte korrekt ange Alices lösenord förstås (för att han inte vet det).,
så istället klickar han på ” behöver hjälp?”länk, som normalt används av legitima användare som har glömt sina lösenord.
i stället för att välja ett av de andra alternativen väljer Malcolm ”få en verifieringskod på min telefon:” för att få ett SMS-meddelande som innehåller en sexsiffrig säkerhetskod som skickas till Alices mobiltelefon.
detta där saker blir lömska.
eftersom Malcolm vid denna tidpunkt skickar en text till Alice som låtsas vara Google och säger något i stil med:
”Google har upptäckt ovanlig aktivitet på ditt konto., Vänligen svara med koden som skickas till din mobila enhet för att stoppa obehörig aktivitet.”
Alice, i tron att meddelandet är legitimt, svarar med verifieringskoden hon just har skickats av Google.
Malcolm kan sedan använda koden för att ställa in ett tillfälligt lösenord och få kontroll över Alices e-postkonto.,
om Malcolm var angelägen om att inte väcka misstankar, och fortsätta att se varje e-post som Alice tar emot under överskådlig framtid, då kan det vara så att han kommer att konfigurera sin e-post för att automatiskt vidarebefordra framtida meddelanden till ett konto under hans kontroll, och sedan skicka ett SMS till henne som innehåller det nyligen återställda lösenordet:
”Tack för att du verifierar din Google-konto., Ditt tillfälliga lösenord är ”
Även om Alice ändrar sitt lösenord vid ett senare tillfälle kommer Malcolm att fortsätta att ta emot sin privata e-postkorrespondens om hon inte tittar noga på kontots inställningar.
kort sagt – det är en otäck bit av social ingenjörskonst som det är lätt att föreställa sig att arbeta mot många människor.
Så, vad är lösningen?
det enklaste rådet är att vara misstänksam mot SMS – meddelanden som ber dig att skriva tillbaka en verifieringskod-särskilt om du inte begärde en verifieringskod i första hand.,
men jag undrar hur många människor när de står inför ett meddelande som de tror är från Google eller Yahoo skulle agera på det omedelbart, med lite tänkande om konsekvenserna. När allt kommer omkring, en av de största bekymmer som många människor kan ha i denna dag och ålder är att vara avskurna från deras e-postkonto.
För mer information, kolla in blogginlägget av Symantecs Slawomir Grzonkowski.
och för råd om hur du bättre skyddar ditt webb-e-postkonto, var noga med att lyssna på det här avsnittet av” Smashing Security ” podcast:
hittade den här artikeln intressant?, Följ Graham Cluley på Twitter för att läsa mer av det exklusiva innehållet vi lägger upp.
Graham Cluley är en veteran av antivirusindustrin som har arbetat för ett antal säkerhetsföretag sedan början av 1990-talet när han skrev den första någonsin versionen av Dr Solomons anti-Virus Toolkit för Windows. Nu en oberoende säkerhetsanalytiker, han gör regelbundet media framträdanden och är en internationell offentlig talare om ämnet datasäkerhet, hackare, och online integritet.Följ honom på Twitter på @gcluley, eller släpp honom ett mail.