Νέες
μεθόδους, προκειμένου να εξαπατήσουν
τους χρήστες κινητών τηλεφώνων,
ενεργοποιούν πλέον οι hackers. Μάλιστα,
αύξηση καταγράφει, το τελευταίο διάστημα,
ένας συγκεκριμένος τύπος επίθεσης, μέσω
phishing με στόχο τους χρήστες κινητών
τηλεφώνων.
Ο απώτερος σκοπός είναι
τελικά η πρόσβαση στο λογαριασμό e-mail
του θύματος. Η πλειοψηφία των περιπτώσεων,
που καταγράφηκε από τη Symantec, αφορά
χρήστες Gmail, Hotmail και Yahoo Mail. Αυτή η επίθεση
κοινωνικής μηχανικής (social engineering) είναι
πολύ πειστική και οι χρήστες πέφτουν
με ευκολία στην παγίδα.
Τη
νέα μέθοδο, που χρησιμοποιούν, πλέον,
οι hackers για να εξαπατήσουν θύματα κινητών
τηλεφώνων, παρουσίασε χθες η Symantec. Όπως
εξηγεί η εταιρεία, για να επιτύχει η
επίθεση, θα πρέπει οι hackers να γνωρίζουν
τη διεύθυνση ηλεκτρονικού ταχυδρομείου
του στόχου και τον αριθμό του κινητού
τους τηλεφώνου, δεδομένα που, τελικά,
μπορούν να ληφθούν χωρίς μεγάλες
προσπάθειες. Οι επιτιθέμενοι κάνουν
χρήση της δυνατότητας ανάκτησης κωδικού
πρόσβασης, που παρέχεται από πολλούς
e-mail providers και έτσι τους “βοηθούν” να
αποκτήσουν πρόσβαση στους λογαριασμούς
τους, μεταξύ άλλων επιλογών, με έναν
κωδικό επαλήθευσης, που λαμβάνουν στο
κινητό τους τηλέφωνο (άρα τους ζητείται
και ο αριθμός κλήσης).Πως δρουν οι hackers
Σύμφωνα με τις μελέτες της επιχείρησης, χρησιμοποιώντας το Gmail για παράδειγμα, ο χρήστης - θύμα καταχωρεί τον αριθμό του κινητού τηλεφώνου στο Gmail, έτσι ώστε αν ξεχνάει τον κωδικό, η Google να αποστέλλει μήνυμα κειμένου με έναν κωδικό επαλήθευσης και ο χρήστης να μπορεί να έχει πρόσβαση στο λογαριασμό του.
Ο
hacker, που θέλει να εισβάλει στο λογαριασμό
του χρήστη, αλλά δεν γνωρίζει τον κωδικό
πρόσβασης του, γνωρίζει την email διεύθυνση
και το τηλέφωνο του. Έτσι, επισκέπτεται
τη σελίδα login του Gmail και εισάγει τα
στοιχεία του χρήστη (χωρίς όμως το
password) και στη συνέχεια αναζητά βοήθεια
μέσω του “Need help?” link (που χρησιμοποιείται
όταν οι χρήστες έχουν ξεχάσει τα στοιχεία
εισαγωγής τους). Το σύστημα δίνει
στο hacker πολλές επιλογές, μεταξύ των
οποίων και το “Enter the last password you remember”
και πατήστε στο “Confirm password reset on my phone,”
παραλείποντας, όμως, αυτά τα στοιχεία
μέχρι να του δοθεί η επιλογή “Get a
verification code on my phone”. Ο hacker επιβεβαιώνει
την επιλογή για να λάβει ο χρήστης –
θύμα, πλέον, με μήνυμα SMS τον εξαψήφιο
κωδικό επαλήθευσης στο τηλέφωνο του. Ο
χρήστης λαμβάνει ένα μήνυμα που γράφει
“Your Google Verification code is (ένας εξαψήφιος
κωδικός) και ο hacker αποστέλλει στο χρήστη
ένα μήνυμα SMS που γράφει κάτι σχετικό
με αυτό: “Google has detected unusual activity on your
account. Please respond with the code sent to your mobile device to
stop unauthorized activity". Ο χρήστης, πιστεύει
ότι το μήνυμα είναι αξιόπιστο και απαντά
με τον κωδικό επαλήθευσης. Ο hacker
χρησιμοποιεί τον κωδικό επαλήθευσης
για να πάρει προσωρινά έναν κωδικό
πρόσβασης και στη συνέχεια επιτίθεται
στο λογαριασμό e-mail και στα δεδομένα
του.
0 σχόλια:
Δημοσίευση σχολίου