Engenheiros sociais estão ultimamente bem focados em cyber ataques, invadindo sistemas e comprometendo contas onde os hacks convencionais não funcionam, ou mesmo eles simplesmente não querem perder tempo usando isso.
Na edição desse ano da conferência Hack in The Box em Kuala Lumpur, o pesquisador Ashar Javad's da Universidade Ruhr University Bochum demonstrou as possibilidades mais básicas de engenharia social que podem ser usadas, como por exemplo "esqueci minha senha" e "Reconhecer Amigos". Em sua apresentação, demonstrou diversos vetores de ataque em redes sociais que são bem possíveis de acontecer hoje em dia.
Ele criou uma conta falsa (vítima) em diversas redes sociais e tentou obter informações pelo serviço de atendimento da rede para poder ter acesso a conta da vítima. Ele tentou isso enviando um email de um endereço totalmente diferente do email cadastrado no perfil.
O assunto do email era: "Meu email foi hackeado e minha senha foi mudada. Tem como eu recuperar minha conta?"
O suporte do site Academia.net (aproximadamente 4.3 milhões de usuários) respondeu: "Que email você gostaria que adicionássemos a sua conta? Quando você mandar o email que quiser, podemos editar essa informação para você. Daí você pode resetar sua senha."
Após isso, ele enviou o email, recebeu a confirmação e resetou a senha da vítima.
No Delicious (serviço web de bookmarking) o atendimento respondeu positivamente ao mesmo email: "Sem problemas! Substituímos o email da sua conta para *email do atacante* e te enviamos um link de reset de senha."
Meetup.com (aproximadamente 11 milhões de usuários) enviou uma resposta do suporte respondendo que a conta tinha sido bloqueada e solicitado que o cliente criasse outra conta.
Ele também enviou estes emails para redes sociais populares na Alemanha. A maioria retornou positivamente, apenas o Lokalisten.de que solicitou usuário, email, cidade e data de nascimento. Respondendo apenas as três primeiras já conseguiu um link para reset de senha.
Com isso ficou óbvio que tanto os sites e os usuários podem gastar grandes quantidades de dinheiro em segurança, mas não estarão completamente seguros, apenas com um contato com o "prestativo" time de suporte foi possível bypassar todas essas proteções.
Fonte: Net-Security
Na edição desse ano da conferência Hack in The Box em Kuala Lumpur, o pesquisador Ashar Javad's da Universidade Ruhr University Bochum demonstrou as possibilidades mais básicas de engenharia social que podem ser usadas, como por exemplo "esqueci minha senha" e "Reconhecer Amigos". Em sua apresentação, demonstrou diversos vetores de ataque em redes sociais que são bem possíveis de acontecer hoje em dia.
Ele criou uma conta falsa (vítima) em diversas redes sociais e tentou obter informações pelo serviço de atendimento da rede para poder ter acesso a conta da vítima. Ele tentou isso enviando um email de um endereço totalmente diferente do email cadastrado no perfil.
O assunto do email era: "Meu email foi hackeado e minha senha foi mudada. Tem como eu recuperar minha conta?"
O suporte do site Academia.net (aproximadamente 4.3 milhões de usuários) respondeu: "Que email você gostaria que adicionássemos a sua conta? Quando você mandar o email que quiser, podemos editar essa informação para você. Daí você pode resetar sua senha."
Após isso, ele enviou o email, recebeu a confirmação e resetou a senha da vítima.
No Delicious (serviço web de bookmarking) o atendimento respondeu positivamente ao mesmo email: "Sem problemas! Substituímos o email da sua conta para *email do atacante* e te enviamos um link de reset de senha."
Meetup.com (aproximadamente 11 milhões de usuários) enviou uma resposta do suporte respondendo que a conta tinha sido bloqueada e solicitado que o cliente criasse outra conta.
Ele também enviou estes emails para redes sociais populares na Alemanha. A maioria retornou positivamente, apenas o Lokalisten.de que solicitou usuário, email, cidade e data de nascimento. Respondendo apenas as três primeiras já conseguiu um link para reset de senha.
Com isso ficou óbvio que tanto os sites e os usuários podem gastar grandes quantidades de dinheiro em segurança, mas não estarão completamente seguros, apenas com um contato com o "prestativo" time de suporte foi possível bypassar todas essas proteções.
Fonte: Net-Security
0 comentários:
Postar um comentário