Kevin Roose-t kíváncsi tették a nagyvállalatok ellen indított hackertámadásokról szóló hírek, elment hát a Defconra Las Vegasba. A Defcon az a konferencia és szakmai kiállítás, ahol a világ legjobb (vagy legrosszabb, ha úgy tetszik) hackerei találkoznak. Ez az a hely, ahol az ártatlan, nem-hacker résztvevőknek azt tanácsolják, hogy kapcsolják ki a Bluetootht, a wifit a telefonjukon és számítógépükön, mert itt a legveszélyesebb online lenni. Az ATM-bankautomaták használatától is óva intenek.
Szóval Roose, a Real Future munkatársa ide sétált be, felkért 4 hackert, hogy mutassák be neki, hogyan lehet behatolni egy ember digitális életének bugyraiba. Mindenféle kód nélkül.
Ez történt:
A szőke, mosolygós hacker-hölgy, Jessica Clark először elindít egy adathalász hívást (phisfing call). Vagyis saját hangján bejelentkezik telefonon és hazudik. Felhívta Roose mobiltelefonszolgáltatóját, és miközben a háttérből csecsemősírás hallatszott (a YouTube-ról lehet ilyet bejátszatni), azt hitette el az ügyintézővel, hogy egyedül van otthon a gyerekkel, ma feltétlenül pályázniuk kell egy bankkölcsönre és kellene az ura e-mail címe.
Roose megengedte a hölgynek, hogy a saját -tehát állítólagos férje- mobiltelefonjáról hívja az ügyfélszolgálatot, így hitelesítve a beszéd tartalmát. Bár egyes magyar olvasóknak, akiknek volt már szerencséjük bank vagy telekomcég ügyfélszolgálatával vitatkozni, hihetetlennek tűnhet, az ügyintéző megadta a hölgynek az e-mail címet. Az egész 30 másodpercbe került.
(fotó: YouTube/Real Future)
De ez még semmi. A hölgy azt is elintézte, hogy saját kódot és hozzáférést kapjon a férfi mobiltelefonjához. Roose barátnőjének a nevét használta és egy kamu TB-számot. Még arra is rábírta az ügyfélszolgálatost, hogy megváltoztassa Roose ügyfélkódját. Vagyis ezzel kizárta Roose-t a saját mobiljából.
Egy másik hacker, Dan Hentler más módszerekkel indult neki a feladatnak. Megtalálta Roose blogját a squarespace.com oldalon. Aztán ő maga is kreált egyet. Erről küldött egy adathalászó emailt Roose-nak, amelyben arra kérte őt, hogy látogassa meg az ő oldalát és futtassa azt, amit úgy hívnak, certificate installer. Roose megtette, mert "idióta vagyok". Amint futtatni kezdte, Hentler hozzáférést nyert a komputeréhez. Ott több olyan felugró ablakot (pop up) kreált, amik legitimnek tűntek, mintha a rendszer szólna a felhasználóhoz és Roose adatait kérné. Roose így adta meg a jelszavait. Hentler tehát ellopta a password keychain-t, azt a jelszót, ami ahhoz a helyhez kell, ahol az összes többi jelszavát tárolja Roose. Ott tárolta az American Express kártyája, a TB-kártyája, a bankszámlája, tőzsdei manőverei adatait is.
"Ha akarnám, most bárkinek küldhetek emailt úgy, mintha te lennék", mondta Hentler. Sőt 2 teljes napon át 2 percenként lefotózta Roose-t, valamint felvételt készített arról, mi látható éppen a számítógépe képernyőjén. Mi ebből a tanulság? Tessék egy kis papírcetlivel letakarni a webcamet a laptopunkon, ha nem használjuk.
"Hajléktalanná és csóróvá tehettelek volna", mondta szemrebbenés nélkül Hentler. "Fizethetek embereket a Pay Pal és AmEx számládon keresztül. Birtokollak téged. Teljesen megszemélyesíthettelek volna" mások előtt. Csak az ujjlenyomatával nem rendelkezett. (De ha bejön a Dolgok Internete, melynél már szó van róla, hogy lesz ujj-szkennelő belépés is, jelszó helyett, akkor az ujjlenyomat eltulajdonítása is csak idő kérdése.)
A heckelést ismertető filmet a Fusion Media Network készítette és itt tekinthető meg a YouTube-on. A bejátszásnak talán az a nagy hiányossága, hogy nem koncentrál arra, mit tehet az egyén, hogy megvédje digitális életét. Elvégre Roose is megnyitotta az adathalászó emailt és futtatta azt, amit nem kellett volna.
Mi viszont segítünk ebben! Kattintson ide, hogy megtudja, mit a szinte meghekkelhetetlen emberek 5 szabálya, amit bárki követhet!
