7 kroków do włamania na czyjeś konto bankowe
7 kroków do włamania na konto bankowe
Eksperyment:
Herbert Thompson* w 2008 roku chciał pokazać opinii publicznej, jak łatwo można uzyskać dostęp do czyichś danych osobowych i konta bankowego.
Wykonał eksperyment na osobie, którą ledwo znał, dziewczynie o imieniu Kim. Wykorzystując wiedzę, którą o niej wiedział, jej imię, skąd pochodziła, gdzie pracowała i w przybliżeniu jej wiek, był w stanie uzyskać dostęp do jej konta bankowego w TYLKO 7 KROKACH!!!
Czytaj poniżej, aby zobaczyć, jak to zrobił – w czasach przed Facebookiem!
Krok 1
Wyszukiwanie w Google. On ją wygoogluje. Znajduje jej blog i życiorys. (Thompson nazwał jej blog „kopalnią złota”.) Dostaje informacje o dziadkach, zwierzętach domowych i rodzinnym mieście. Co najważniejsze, dostaje jej adres e-mail z uczelni i aktualny adres Gmaila.
Krok 2
Następny przystanek: Funkcja odzyskiwania hasła na stronie internetowej jej banku. Próbuje zresetować jej hasło bankowe. Bank wysyła link do resetowania na jej adres e-mail, do którego on nie ma dostępu. Musi uzyskać dostęp do jej poczty Gmail.
Krok 3
Dostęp do poczty Gmail. Próbuje zresetować jej hasło do poczty Gmail, ale Gmail wysyła to na adres e-mail jej uczelni. Gmail informuje o domenie tego adresu (przynajmniej tak było w 2008 r., kiedy Thompson przeprowadzał eksperymenty), więc Thompson wiedział, że musi uzyskać dostęp do tego konkretnego adresu.
Krok 4
Strona uczelnianego konta e-mail. Thompson klika link „zapomniałem hasła” na tej stronie i kończy się w obliczu kilku pytań. Adres domowy, kod pocztowy i kraj pochodzenia? Nie ma problemu, Thompson ma to wszystko z tego samego życiorysu. Tego samego życiorysu, który znalazł w prostym, wcześniej wykonanym wyszukiwaniu w Google. Potem pojawiła się przeszkoda: college chciał jej datę urodzenia. Ale on miał tylko przybliżone pojęcie o jej wieku, bez faktycznej daty urodzenia.
Krok 5
Strona internetowa stanowego sądu drogowego. Najwyraźniej można szukać wykroczeń i wystąpień sądowych po nazwisku! I takie zapisy zawierają datę urodzenia. (Facebook również sprawia, że ten element danych jest bardzo łatwy do zdobycia, nawet jeśli ludzie nie odnotowują roku urodzenia… Pamiętajcie, że Thompson wiedział mniej więcej, ile lat miała Kim). Ale nie miał szczęścia z Department of Motor Vehicles.
Krok 6
Thompson wraca na bloga i wyszukuje „urodziny”. Dostaje datę, ale nie ma roku.
Krok 7
W końcu Thompson próbuje ponownie zresetować hasło kolegium. Wpisuje jej datę urodzenia i po prostu zgaduje rok. Myli się. Ale strona daje mu pięć szans i mówi, w którym polu jest błąd. Więc on nadal zgaduje. Dostaje dostęp w mniej niż pięć zgadnięć. Zmienia hasło do jej uczelni. To daje mu dostęp do jej Gmail hasło reset e-mail. Google wymaga pewnych informacji osobistych, które jest w stanie łatwo uzyskać z jej bloga (np. drugie imię ojca). Thompson zmienia hasło do Gmaila, co daje mu dostęp do zresetowania hasła do konta bankowego. Tutaj znowu jest proszony o podanie informacji osobistych, ale nic, czego nie mógłby uzyskać z bloga Kim (np. imię i numer telefonu zwierzęcia domowego). Zmienia hasło bankowe i bingo, ma natychmiastowy dostęp do wszystkich jej zapisów i pieniędzy.