Rencontrer mignon ne serait pas précisément exact.Photo : GREG WOOD/AFP/Getty Images Si vos yeux deviennent vitreux lorsque vous voyez le terme attaque de l'homme du milieu [MiTM] dans les actualités technologiques sur les failles de sécurité, vous pouvez être pardonné. Cela semble vraiment abstrait. Nous avons essayé de le rendre un peu plus excitant lorsque nous avons écrit sur le premier grand site porno à être sécurisé par TLS , mais c'est quand même difficile à imaginer. Chercheur en sécurité et fondateur de startup, Anthony Zboralski de La créature , a écrit un article sur Hacker Emergency Response Team’s Medium blog où il met ces arnaques en des termes que tout le monde peut comprendre : catfishing.
J'écris ceci pour vous aider à comprendre comment fonctionne la cybercriminalité et pourquoi la confidentialité est importante, mais rendons tout d'abord un peu plus concret. Si vous pouvez vous insérer dans le rendez-vous de deux personnes en faisant des plans à leur insu, vous pouvez faire des farces. Par exemple, disons que vous utilisez la technique suivante pour que Shawn et Jennifer communiquent sans le savoir à travers vous pour fixer un rendez-vous pour vendredi à 8 heures. Vous pouvez alors programmer trois autres femmes pour rencontrer Shawn au même moment et au même endroit, sans l'un ou l'autre. Shawn ou Jennifer sachant ce que vous faisiez. Avec cette méthode, les amoureux potentiels ne se rendent pas compte que quelqu'un d'autre connaît leurs plans, mais vous le faites.
Voici comment Zboralski décrit comment vous pouvez lancer une attaque MiTM pour écouter deux personnes faisant des plans et même intervenir votre propre plan. Ne fais pas ça. C'est terrible. A moins que vous ne soyez un misanthrope. Alors il n'y a probablement pas de meilleure façon de passer votre week-end.
Vous devrez peut-être le lire plus d'une fois pour l'obtenir. Si ce n'était pas déroutant, tout le monde ferait ce genre de choses tout le temps. Cela dit, ce n'est pas du tout technique.
Tout d'abord, vous aurez besoin d'un compte Tinder pour faire des recherches. Pour les résultats les plus rapides, trouvez le profil d'un homme réel et assez attrayant à proximité de chez vous. Appelons-le Shawn. La cible initiale doit être un homme, l'attaque a moins de chances de réussir si nous choisissons une femme, écrit Zboralski. Les hommes proposent, les femmes disposent… (Si tout cela semble un peu trop binaire pour vous, veuillez exécuter une violation plus éclairée de la vie privée de quelqu'un et dites-nous comment cela fonctionne.) Prenez des captures d'écran des photos de Shawn et utilisez-les pour configurer un faux profil Tinder (qui nécessitera un faux profil Facebook). Assurez-vous de le définir sur le même prénom et probablement le même âge.
Deuxièmement, balayez vers la droite avec votre faux profil comme un fou. Allez juste en ville. Faites-le jusqu'à ce que quelqu'un vous corresponde et que vous pensez qu'il sera difficile pour le vrai Shawn de résister. Maintenant, vous avez votre appât. Prenez des captures d'écran de toutes ses photos et configurez votre deuxième faux profil, pour la dame. Disons qu'elle s'appelait Jennifer.
Troisièmement, prenez votre faux profil Jennifer et glissez jusqu'à ce que vous trouviez le vrai Shawn. Balayez vers la droite. En fait, Zboralski suggère d'utiliser des super-likes. Croiser les doigts. À ce stade, vous aurez probablement besoin d'un deuxième appareil, comme peut-être un téléphone graveur bon marché ou une tablette, pour le profil supplémentaire. Tant que le vrai Shawn correspond à la fausse Jennifer, vous êtes en affaires (s'il ne le fait pas, vous pouvez toujours trouver une nouvelle correspondance pour votre faux Shawn).
Maintenant, vous êtes en mesure d'écouter leur conversation. Tout ce que la vraie Jennifer dit au faux Shawn, ou vice versa, vous copiez simplement dans un message de l'autre faux compte vers l'autre compte réel.
Donc, si Shawn utilise le clavier Dating Hacks , il pourrait commencer avec quelque chose comme Mes parents sont tellement excités, ils ont hâte de vous rencontrer ! Seulement, la fausse Jennifer le recevra. Alors copiez-le en tant que message dans le faux compte de Shawn et envoyez-le à la vraie Jennifer - avez-vous suivi cela? Attendez leur réponse. Copiez à nouveau, et ainsi de suite.
En supposant que Shawn ait un jeu adéquat, il parlera de chiffres. Pour autant qu'il le fasse, cela ne signifie pas que vous devez arrêter d'écouter. Remplacez simplement les vrais numéros de téléphone par des numéros de téléphone qui correspondent à de faux téléphones. Cela devrait être très facile à partir d'ici, car plus personne ne passe d'appels téléphoniques. À condition que personne n'essaie réellement de s'appeler, il ne devrait pas être plus difficile de copier des textes que de copier des messages Tinder. Si quelqu'un devient vraiment bizarre et appelle, le message de Zboralski contient des instructions.
VOIR AUSSI : Le réseau de rencontres anti-catfishing.
Vous allez pouvoir continuer à écouter jusqu'à ce que les deux se fixent enfin un vrai rendez-vous et se rencontrent face à face.
Dans ce que je viens de décrire, tout ce que vous faites est d'écouter. Ce qui est amusant, mais assez docile.
Les possibilités sont vraiment infinies. En fait, si vous voulez vraiment cibler un utilisateur spécifique de Tinder, vous pourriez probablement le balancer si vous le connaissez suffisamment bien. Si vous faites cela, vous êtes affreux. Drôle, mais horrible.
Tinder peut ne pas garder une trace de tous les endroits où vous vous connectez, mais il n'a pas eu une bonne réponse au message de Zboralski. L'équipe de sécurité de Tinder a envoyé à Zboralski la réponse suivante lorsqu'il leur a signalé cette attaque.
Bien que Tinder utilise plusieurs mécanismes manuels et automatisés pour dissuader les profils faux et/ou en double, il est finalement irréaliste pour une entreprise de valider positivement l'identité réelle de millions d'utilisateurs tout en maintenant le niveau de convivialité généralement attendu.
Ce n'est pas la seule fiche de sécurité récente pour l'entreprise, et les faux profils utilisant de vrais visages pour arnaquer des hommes et des femmes seuls sur les réseaux sociaux sont un vrai problème. Nous avons précédemment signalé une startup russe, N-Tech Labs, qui peut prendre des photos de téléphones portables et les faire correspondre de manière fiable aux membres de VK, un site un peu comme Facebook. La ressemblance du Dr Alec Couros a été très largement utilisée en ligne pour lancer des escroqueries amoureuses, sans son consentement . C'est juste une raison de plus pour laquelle les rencontres en ligne sont horribles.
Ce problème particulier devrait pouvoir être résolu avec la technologie existante. Si l'apprentissage automatique est devenu suffisamment performant pour faire correspondre deux photos différentes du même visage, vous penseriez que faire correspondre exactement la même photo serait un jeu d'enfant. Tinder, qui appartient au Match Group de sites de rencontres en ligne, n'était pas disponible dans l'immédiat pour savoir s'il utilisait ou non l'apprentissage automatique pour détecter ce type de parodie. Sa réponse ci-dessus n'est cependant pas encourageante.
Espérons que cette explication des attaques MiTM permet d'imaginer plus facilement comment fonctionne l'écoute clandestine en ligne plutôt que de vous permettre d'imaginer plus facilement la ruine des week-ends de vos amis. Et si ça te fait peur, alors peut-être n'utilise pas services comme Gmail et Allo, qui sont essentiellement technologie d'écoute que nous choisissons. S'il est dégueulasse pour une personne d'écouter une conversation, pourquoi n'est-il pas dégueulasse pour des entreprises géantes d'écouter toutes les conversations ?
Soyez prudent là-bas.
h/t : Newsletter de Detectify .
