7 stappen om iemands bankrekening te hacken
7 stappen om een bankrekening te hacken
Het experiment:
Herbert Thompson* wilde in 2008 aan het publiek laten zien hoe makkelijk het was om toegang te krijgen tot iemands persoonlijke gegevens en bankrekening.
Hij deed het experiment op iemand die hij nauwelijks kende, een meisje genaamd Kim. Met behulp van de kennis die hij over haar wist, haar naam, waar ze vandaan kwam, waar ze werkte en ongeveer haar leeftijd, was hij in staat om toegang te krijgen tot haar bankrekening in ENKELE 7 STAPPEN!!!
Lees hieronder hoe hij het deed – in de dagen voor Facebook!
Stap 1
Google-zoekopdracht. Hij googelt haar. Vindt een blog en een CV. (Thompson noemde haar blog een “goudmijn.”) Hij krijgt informatie over grootouders, huisdieren, en woonplaats. Het belangrijkste is dat hij het emailadres van haar school en haar huidige Gmail adres vindt.
Stap 2
De volgende stap: Wachtwoord herstel functie op de website van haar bank. Hij probeert haar bankwachtwoord te resetten. De bank stuurt een reset-link naar haar e-mail, waartoe hij geen toegang heeft. Hij moet toegang krijgen tot haar Gmail.
Stap 3
Gmail toegang. Hij probeert haar Gmail-wachtwoord te resetten, maar Gmail stuurt dit naar haar college-e-mailadres. Gmail vertelt je het domein van dit adres (althans in 2008 toen Thompson de experimenten uitvoerde), dus hij wist dat hij toegang moest krijgen tot dat specifieke adres.
Stap 4
College e-mailaccount pagina. Thompson klikt op de link “wachtwoord vergeten” op deze pagina en krijgt een paar vragen voorgeschoteld. Huisadres, postcode en land van herkomst? Geen probleem, Thompson heeft het allemaal van dezelfde cv. Hetzelfde cv dat uit de eenvoudige Google-zoekopdracht van eerder kwam. Toen kwam er een struikelblok: het college wilde haar verjaardag. Maar hij had alleen een ruw idee van haar leeftijd, geen echte geboortedatum.
Stap 5
State traffic court web site. Blijkbaar kun je zoeken naar overtredingen en rechtszaken op naam! En zulke gegevens bevatten een geboortedatum. (Facebook maakt dit soort gegevens ook heel gemakkelijk te achterhalen, zelfs als mensen hun geboortejaar niet noteren… Vergeet niet dat Thompson ongeveer wist hoe oud Kim was). Maar hij had geen geluk met het Department of Motor Vehicles.
Step 6
Thompson gaat terug naar de blog en doet een zoekactie naar “verjaardag.” Hij krijgt een datum, maar geen jaar.
Stap 7
Ten slotte probeert Thompson het college reset wachtwoord opnieuw. Hij vult haar geboortedatum in, en raadt gewoon het jaar. Hij heeft het fout. Maar de site geeft hem vijf kansen, en vertelt hem in welk veld de fout zit. Dus gaat hij verder met raden. Hij krijgt toegang in minder dan vijf keer raden. Hij verandert haar college wachtwoord. Dit geeft hem toegang tot haar Gmail wachtwoord reset e-mail. Google vraagt om wat persoonlijke informatie die hij gemakkelijk van haar blog kan halen (bijv. de middelste naam van haar vader.) Thompson verandert het Gmail wachtwoord en dat geeft hem toegang tot de bankrekening reset wachtwoord e-mail. Ook hier wordt hem om persoonlijke informatie gevraagd, maar niets dat hij niet uit Kims blog kon halen (bijvoorbeeld de naam en het telefoonnummer van zijn huisdier). Hij wijzigt het bankwachtwoord en bingo, hij heeft onmiddellijk toegang tot al haar gegevens en geld.