Így törik föl a jelszavait a hackerek

2016. március 13. vasárnap - 10:01 / piacesprofit.hu
  •    

Hogyan működik egy magánember digitális életének, jelszavainak, eszközeinek meghekkelése? Kevin Roose a Las Vegas-i hacker-konferencián felkért 4 hackert, hogy törjenek be hozzá. Meglepően könnyen ment.

Kevin Roose-t kíváncsi tették a nagyvállalatok ellen indított hackertámadásokról szóló hírek, elment hát a Defconra Las Vegasba. A Defcon az a konferencia és szakmai kiállítás, ahol a világ legjobb (vagy legrosszabb, ha úgy tetszik) hackerei találkoznak. Ez az a hely, ahol az ártatlan, nem-hacker résztvevőknek azt tanácsolják, hogy kapcsolják ki a Bluetootht, a wifit a telefonjukon és számítógépükön, mert itt a legveszélyesebb online lenni. Az ATM-bankautomaták használatától is óva intenek.

Szóval Roose, a Real Future munkatársa ide sétált be, felkért 4 hackert, hogy mutassák be neki, hogyan lehet behatolni egy ember digitális életének bugyraiba. Mindenféle kód nélkül.

Az infrastruktúra is veszélyben van
A harmadik hecker, akivel Roose találkozott, Marina Krotofil, aki a vegyipari gyárak meghekkelését tanulja jelenleg, mint az European Network for Cybersecurity Senior Biztonsági Elemzője. Marina leginkább a műholdas rendszerekbe való betörést tartja fontosnak, hiszen ma minden a GPS segítségével történik. Az olajszállító tankhajókat teljes mértékben műholdas jelekkel navigálják. De mobiltelefonunk és autónk is a GPS-rendszserhez kapcsolódik. Sőt, akár az autónkat is meg lehet hackelni, a VW botrány ebben csak a kezdet.

Ezt hívják úgy, hogy “social engineering”. Chris Hadnagy -igen, ez a neve-, a Social Engineering nevű cég élén arra szakosodott, hogy kliensei online jelenlétének és kapcsolati hálójának érzékeny pontjait teszteli. Roose nem is gondolta volna, hogy mennyi gyenge pontja van a kibertérben.

Ez történt:

A szőke, mosolygós hacker-hölgy, Jessica Clark először elindít egy adathalász hívást (phisfing call). Vagyis saját hangján bejelentkezik telefonon és hazudik. Felhívta Roose mobiltelefonszolgáltatóját, és miközben a háttérből csecsemősírás hallatszott (a YouTube-ról lehet ilyet bejátszatni), azt hitette el az ügyintézővel, hogy egyedül van otthon a gyerekkel, ma feltétlenül pályázniuk kell egy bankkölcsönre és kellene az ura e-mail címe.

Roose megengedte a hölgynek, hogy a saját -tehát állítólagos férje- mobiltelefonjáról hívja az ügyfélszolgálatot, így hitelesítve a beszéd tartalmát. Bár egyes magyar olvasóknak, akiknek volt már szerencséjük bank vagy telekomcég ügyfélszolgálatával vitatkozni, hihetetlennek tűnhet, az ügyintéző megadta a hölgynek az e-mail címet. Az egész 30 másodpercbe került.

A Nagy Testvér figyel téged. Csak ma már hackernek hívják. (fotó: YouTube/Real Future)

Kevin Roose meghekkelt webcam-je. A Nagy Testvér figyel téged. Csak ma már hackernek hívják.
(fotó: YouTube/Real Future)

De ez még semmi. A hölgy azt is elintézte, hogy saját kódot és hozzáférést kapjon a férfi mobiltelefonjához. Roose barátnőjének a nevét használta és egy kamu TB-számot. Még arra is rábírta az ügyfélszolgálatost, hogy megváltoztassa Roose ügyfélkódját. Vagyis ezzel kizárta Roose-t a saját mobiljából.

Egy másik hacker, Dan Hentler más módszerekkel indult neki a feladatnak. Megtalálta Roose blogját a squarespace.com oldalon. Aztán ő maga is kreált egyet. Erről küldött egy adathalászó emailt Roose-nak, amelyben arra kérte őt, hogy látogassa meg az ő oldalát és futtassa azt, amit úgy hívnak, certificate installer. Roose megtette, mert “idióta vagyok”. Amint futtatni kezdte, Hentler hozzáférést nyert a komputeréhez. Ott több olyan felugró ablakot (pop up) kreált, amik legitimnek tűntek, mintha a rendszer szólna a felhasználóhoz és Roose adatait kérné. Roose így adta meg a jelszavait. Hentler tehát ellopta a password keychain-t, azt a jelszót, ami ahhoz a helyhez kell, ahol az összes többi jelszavát tárolja Roose. Ott tárolta az American Express kártyája, a TB-kártyája, a bankszámlája, tőzsdei manőverei adatait is.

“Ha akarnám, most bárkinek küldhetek emailt úgy, mintha te lennék”, mondta Hentler. Sőt 2 teljes napon át 2 percenként lefotózta Roose-t, valamint felvételt készített arról, mi látható éppen a számítógépe képernyőjén. Mi ebből a tanulság? Tessék egy kis papírcetlivel letakarni a webcamet a laptopunkon, ha nem használjuk.

“Hajléktalanná és csóróvá tehettelek volna”, mondta szemrebbenés nélkül Hentler. “Fizethetek embereket a Pay Pal és AmEx számládon keresztül. Birtokollak téged. Teljesen megszemélyesíthettelek volna” mások előtt. Csak az ujjlenyomatával nem rendelkezett. (De ha bejön a Dolgok Internete, melynél már szó  van róla, hogy lesz ujj-szkennelő belépés is, jelszó helyett, akkor az ujjlenyomat eltulajdonítása is csak idő kérdése.)

A heckelést ismertető filmet a Fusion Media Network készítette és itt tekinthető meg a YouTube-on. A bejátszásnak talán az a nagy hiányossága, hogy nem koncentrál arra, mit tehet az egyén, hogy megvédje digitális életét. Elvégre Roose is megnyitotta az adathalászó emailt és futtatta azt, amit nem kellett volna.

Mi viszont segítünk ebben! Kattintson ide, hogy megtudja, mit a szinte meghekkelhetetlen emberek 5 szabálya, amit bárki követhet!

Info & tech
Kedves Olvasónk!
Ha érdekli ez a téma, és szeretne heti hírlevelet kapni a témában, vagy értesítést a megjelent új cikkekről, kérjük, adja meg nevét és e-mail címét!

Segítünk kiszámolni

EKÁER kalkulátor

kalkulátor

Céges bankszámla

kalkulátor

Pályázatkereső

kalkulátor