Έχουμε ακούσει για επιθέσεις phishing, αλλά υπάρχει ένα νέο είδος social engineering που χρησιμοποιεί το κινητό τηλέφωνο για να ξεγελάσει το θύμα με ένα πολύ εύκολο και αποτελεσματικό τρόπο.
Ένα βίντεο της Symantec εξηγεί ένα νέο τρόπο social engineering που χρησιμοποιούν οι επιτιθέμενοι για να παραβιάσουν κάθε λογαριασμό e-mail.
Η ιδέα είναι απλή: αν θέλετε να επαναφέρετε τον κωδικό πρόσβασης κάποιου, το μόνο που πραγματικά χρειάζεστε είναι ο αριθμός του κινητού του.
Η ανατομία της επίθεσης στο βίντεο είναι αρκετά απλή, αλλά είναι εκπληκτικά αποτελεσματική:
Στείλτε το θύμα κειμένου από έναν άγνωστο αριθμό, προειδοποιώντας το θύμα ότι θα λάβει έναν κωδικό για να διασφαλίσει ότι ο λογαριασμός του στο Google είναι ασφαλής και ζητώντας του να απαντήσει με τον κωδικό για να το επιβεβαιώσει.
Προκαλέστε την διαδικασία επαναφοράς κωδικού πρόσβασης στο Gmail, η οποία θα στέλνει ένα μήνυμα που περιέχει έναν κωδικό ξεκλειδώματος στο τηλέφωνο του θύματος.
Ο χρήστης λαμβάνει τον κωδικό που έχουμε ήδη αναφέρει ότι θα λάβει και τον στέλνει πίσω στον εισβολέα
Έτσι ο επιτιθέμενος μπορεί να ξεκλειδώσει τον λογαριασμό του Gmail χωρίς κανένα πρόβλημα
Το βίντεο, παρουσιάζει την νέα ιδέα που θα μπορούσε πιθανότατα να είναι αρκετά αποτελεσματική για πάρα πολλούς ευκολόπιστους ιδιοκτήτες κινητών.
Αν όχι οι περισσότεροι, αρκετοί πιθανότατα θα απαντούσαν σε ένα άγνωστο αριθμό απλά υποθέτοντας ότι είναι πραγματικά η εταιρεία.
Η ίδια επίθεση θα μπορούσε επίσης να χρησιμοποιηθεί για την παράκαμψη των υπηρεσιών που χρησιμοποιούν έλεγχο ταυτότητας δύο παραγόντων, αν και αξίζει να σημειωθεί ότι η Google στέλνει SMS αν έχει ρυθμιστεί ο συγκεκριμένος έλεγχος ταυτότητας.
Το πρόβλημα με αυτό το είδος της επίθεσης είναι ότι κανείς δεν μπορεί να τη σταματήσει. Το μοναδικό μέτρο προστασίας, είναι η εκπαίδευση των χρηστών, που θα μειώσει τον κίνδυνο να πέσουν σε τέτοιες παγίδες.
Έτσι να κάποια στιγμή λάβετε μήνυμα από οποιονδήποτε αριθμό που ζητά τον κωδικό πρόσβασής σας, τον κωδικό επιβεβαίωσης ή οποιαδήποτε άλλη προσωπική πληροφορία, δεν θα πρέπει να απαντήσετε.
Δεν υπάρχει κανένας λόγος να σας ζητήσουν τις παραπάνω πληροφορίες (ή οποιαδήποτε άλλη) μέσω SMS.