Studiu de caz: cum ti se poate fura identitatea in sapte pasi simpli

de Liviu Petrescu | 13 ianuarie 2012

Multi se simt in siguranta online, gandindu-se ca nu va da un hacker priceput tocmai peste ei. Din pacate, nu este nevoie sa fii hacker pentru a reusi sa furi date importante si chiar identitatea altuia in mediul online.

Kevin Mitnick, celebrul hacker american care a fost condamnat de doua ori la inchisoare pentru crime informatice, a popularizat termenul de "social engineering".

Mitnick, care a reusit sa sparga sistemele IBM, Nokia, Motorola, Fujitsu Siemens si multe altele, a laudat intotdeauna aceasta metoda drept cea mai eficienta pentru a obtine acces la date in mediul online. Ce este social engineering? O sarlatanie simpla, manipularea unei persoane sau a unui sistem pentru a obtine date ce ar trebuie sa ramana secrete.

Fara abilitati de hacker si in scop pur demonstrativ, Herbert Thompson, un software developer american, a explicat cum se poate fura identitatea unei persoane in zilele noaste, in sapte pasi simpli, prezentati de SmartPlanet.com.

Pornind de la numele victimei "Kim", locul ei de munca si banca ei, Thompson a reusit sa afle online fara mari probleme toate informatiile necesare pentru a obtine acces la contul bancar.

  1. Cautare pe Google. Blogul victimei este foarte folositor si contine informatii despre rude, animale de companie, dar cel mai important, doua adrese de mail: cea Gmail si cea de pe serverul facultatii unde a studiat Kim.
  2. "Hackerul", folosind doar metode disponibile oricui, incepe prin a intra pe site-ul bancii pentru a reseta parola, care ajunge insa in contul de Gmail.
  3. Incearca sa reseteze parola de Gmail, care il trimite la adresa de email a facultatii. In 2008, cand a fost realizat experimentul, Gmail iti dadea informatii cu privire la domeniul adresei de email folosita pentru resetarea parolei.
  4. Intrebarile de securitate de pe site-ul de webmail al facultatii nu sunt problematice, deoarece victima a fost generoasa cu informatiile personale pe blog. Exista insa un obstacol: data exacta a nasterii.
  5. Folosind sistemul de arhive publice, "hackerul" cauta numele victimei in arhiva politiei rutiere pentru a afla data nasterii, dar nu are noroc.
  6. Thompson revine la blogul lui Kim si, cautand cu mai multa atentie, afla data nasterii, insa fara an.
  7. Intors la site-ul de webmail al facultatii care ii cere data exacta a nasterii, "hackerul" incearca sa o ghiceasca. Prima incercare este gresita, dar site-ul ii mai da cinci sanse. Deoarece stie varsta aproximativa a victimei, reuseste sa ghiceasca.

Odata ce a obtinut accesul la prima adresa de email, Thompson reseteaza parola de Gmail, apoi de acolo pe cea a bancii.

Ambele sisteme au intrebari de verificare a identitatii, dar informatiile de pe blog au fost suficiente. Acum, "hackerul" are acces la contul bancar si la istoricul ei fiscal.

Chiar daca in Romania exista mai putine informatii oficiale in mediul online, utilizatorii reletelor de socializare publica singuri informatii pretioase care pot fi folosite pentru furtul de identitate.

Cei mai multi romani nu au o adresa de email creata pe serverele facultatii, dar veriga slaba poate fi intrebarea de securitate a unui cont de email Hotmail sau Yahoo, CV-ul publicat pe un site de joburi, contul Facebook sau contul, de mult uitat, Hi5.

Tu esti sigur ca nu ai o veriga slaba?

Recomanda   afisari

spacer
spacer
Articole similare
spacer
Opiniile cititorilor
spacer

Recomanda pe Google