7 trin til at hacke en persons bankkonto
7 trin til at hacke en bankkonto
Eksperimentet:
Herbert Thompson* ønskede i 2008 at vise offentligheden, hvor let det var at få adgang til en persons personlige oplysninger og bankkonto.
Han foretog eksperimentet på en person, som han knap nok kendte, en pige ved navn Kim. Ved hjælp af den viden, han kendte om hende, hendes navn, hvor hun kom fra, hvor hun arbejdede og nogenlunde hendes alder, kunne han få adgang til hendes bankkonto i KUN 7 TRIN!!!
Læs nedenfor for at se, hvordan han gjorde det – i dagene før Facebook!
Trin 1
Google-søgning. Han googler hende. Finder en blog og et cv. (Thompson kaldte hendes blog for en “guldgrube”.) Han får oplysninger om bedsteforældre, kæledyr og hjemby. Vigtigst af alt får han hendes college-e-mailadresse og nuværende Gmail-adresse.
Strin 2
Næste stop: Adgangskodegenoprettelsesfunktion på hendes banks websted. Han forsøger at nulstille hendes bankadgangskode. Banken sender et nulstillingslink til hendes e-mail, som han ikke har adgang til. Han skal have adgang til hendes Gmail.
Stræk 3
Gmail-adgang. Han forsøger at nulstille hendes Gmail-adgangskode, men Gmail sender dette til hendes kollegie-e-mailadresse. Gmail fortæller dig denne adresses domæne (det gjorde den i hvert fald i 2008, da Thompson gennemførte eksperimenterne), så han vidste, at han skulle få adgang til denne specifikke adresse.
Stræk 4
Side for college-e-mailkonto. Thompson klikker på linket “glemt adgangskode” på denne side og ender med at blive stillet over for et par spørgsmål. Hjemmeadresse, postnummer og hjemland? Intet problem, Thompson har det hele fra det samme cv. Det samme CV, som blev fundet ved den simple Google-søgning, der blev foretaget tidligere. Så kom der en snublesten: kollegiet ville have hendes fødselsdag. Men han havde kun en grov idé om hendes alder, ingen egentlig fødselsdato.
Stræk 5
State traffic court web site. Tilsyneladende kan man søge efter overtrædelser og retsmøder efter navn! Og sådanne optegnelser indeholder en fødselsdato. (Facebook gør også dette stykke data meget let at få fat i, selv om folk ikke noterer deres fødselsår… Husk, at Thompson vidste nogenlunde, hvor gammel Kim var). Men han havde ikke held med Department of Motor Vehicles.
Strin 6
Thompson går tilbage til bloggen og foretager en søgning på “fødselsdag”. Han får en dato, men ikke noget årstal.
Strin 7
Til sidst forsøger Thompson igen med college reset password. Han udfylder hendes fødselsdato og gætter blot på året. Han får det forkert. Men webstedet giver ham fem chancer og fortæller ham, hvilket felt der er fejl i. Så han fortsætter med at gætte. Han får adgang på under fem gæt. Han ændrer hendes collegeadgangskode. Dette giver ham adgang til hendes Gmail-mails e-mail til nulstilling af adgangskode. Google kræver nogle personlige oplysninger, som han nemt kan få fra hendes blog (f.eks. faderens mellemnavn.) Thompson ændrer Gmail-adgangskoden, og det giver ham adgang til e-mailen med nulstilling af adgangskoden til bankkontoen. Her bliver han igen bedt om personlige oplysninger, men ikke noget, som han ikke kunne få fra Kims blog (f.eks. navn på kæledyr og telefonnummer.) Han nulstiller bankens adgangskode og bingo, har øjeblikkelig adgang til alle hendes optegnelser og penge.