Hackers θέτουν σε κίνδυνο λογαριασμούς Gmail, Hotmail και Yahoo Mail
Νέες μεθόδους, προκειμένου να εξαπατήσουν τους χρήστες κινητών τηλεφώνων, ενεργοποιούν πλέον οι hackers. Μάλιστα, αύξηση καταγράφει, το τελευταίο διάστημα, ένας συγκεκριμένος τύπος επίθεσης, μέσω phishing με στόχο τους χρήστες κινητών τηλεφώνων. Ο απώτερος σκοπός είναι τελικά η πρόσβαση στο λογαριασμό e-mail του θύματος. Η πλειοψηφία των περιπτώσεων, που καταγράφηκε από τη Symantec, αφορά χρήστες Gmail, Hotmail και Yahoo Mail. Αυτή η επίθεση κοινωνικής μηχανικής (social engineering) είναι πολύ πειστική και οι χρήστες πέφτουν με ευκολία στην παγίδα.
Αύξηση στις απάτες με κωδικούς ανάκτησης μέσω κινητών τηλεφώνων, που δίνουν παράνομη πρόσβαση σε λογαριασμούς e-mail, με απλά μηνύματα κειμένου και μεθόδους επιθέσεων social engineeringΤη νέα μέθοδο, που χρησιμοποιούν, πλέον, οι hackers για να εξαπατήσουν θύματα κινητών τηλεφώνων, παρουσίασε χθες η Symantec. Όπως εξηγεί η εταιρεία, για να επιτύχει η επίθεση, θα πρέπει οι hackers να γνωρίζουν τη διεύθυνση ηλεκτρονικού ταχυδρομείου του στόχου και τον αριθμό του κινητού τους τηλεφώνου, δεδομένα που, τελικά, μπορούν να ληφθούν χωρίς μεγάλες προσπάθειες. Οι επιτιθέμενοι κάνουν χρήση της δυνατότητας ανάκτησης κωδικού πρόσβασης, που παρέχεται από πολλούς e-mail providers και έτσι τους “βοηθούν” να αποκτήσουν πρόσβαση στους λογαριασμούς τους, μεταξύ άλλων επιλογών, με έναν κωδικό επαλήθευσης, που λαμβάνουν στο κινητό τους τηλέφωνο (άρα τους ζητείται και ο αριθμός κλήσης).
Πως δρουν οι hackers
Σύμφωνα με τις μελέτες της επιχείρησης, χρησιμοποιώντας το Gmail για παράδειγμα, ο χρήστης - θύμα καταχωρεί τον αριθμό του κινητού τηλεφώνου στο Gmail, έτσι ώστε αν ξεχνάει τον κωδικό, η Google να αποστέλλει μήνυμα κειμένου με έναν κωδικό επαλήθευσης και ο χρήστης να μπορεί να έχει πρόσβαση στο λογαριασμό του.
Ο hacker, που θέλει να εισβάλει στο λογαριασμό του χρήστη, αλλά δεν γνωρίζει τον κωδικό πρόσβασης του, γνωρίζει την email διεύθυνση και το τηλέφωνο του. Έτσι, επισκέπτεται τη σελίδα login του Gmail και εισάγει τα στοιχεία του χρήστη (χωρίς όμως το password) και στη συνέχεια αναζητά βοήθεια μέσω του “Need help?” link (που χρησιμοποιείται όταν οι χρήστες έχουν ξεχάσει τα στοιχεία εισαγωγής τους).
Το σύστημα δίνει στο hacker πολλές επιλογές, μεταξύ των οποίων και το “Enter the last password you remember” και πατήστε στο “Confirm password reset on my phone,” παραλείποντας, όμως, αυτά τα στοιχεία μέχρι να του δοθεί η επιλογή “Get a verification code on my phone”. Ο hacker επιβεβαιώνει την επιλογή για να λάβει ο χρήστης – θύμα, πλέον, με μήνυμα SMS τον εξαψήφιο κωδικό επαλήθευσης στο τηλέφωνο του. Ο χρήστης λαμβάνει ένα μήνυμα που γράφει “Your Google Verification code is (ένας εξαψήφιος κωδικός) και ο hacker αποστέλλει στο χρήστη ένα μήνυμα SMS που γράφει κάτι σχετικό με αυτό: “Google has detected unusual activity on your account. Please respond with the code sent to your mobile device to stop unauthorized activity". Ο χρήστης, πιστεύει ότι το μήνυμα είναι αξιόπιστο και απαντά με τον κωδικό επαλήθευσης. Ο hacker χρησιμοποιεί τον κωδικό επαλήθευσης για να πάρει προσωρινά έναν κωδικό πρόσβασης και στη συνέχεια επιτίθεται στο λογαριασμό e-mail και στα δεδομένα του.