7 steg för att hacka någons bankkonto
7 steg för att hacka ett bankkonto
Experimentet:
Herbert Thompson* ville 2008 visa allmänheten hur lätt det var att komma åt någons personliga information och bankkonto.
Han gjorde experimentet på en person som han knappt kände, en flicka som hette Kim. Med hjälp av den kunskap han visste om henne, hennes namn, var hon kom ifrån, var hon arbetade och ungefär hennes ålder, kunde han komma åt hennes bankkonto i BARA 7 STEG!!!
Läs nedan för att se hur han gjorde det – på tiden före Facebook!
Steg 1
Google-sökning. Han googlar henne. Hittar en blogg och ett CV. (Thompson kallade hennes blogg för en ”guldgruva”.) Han får information om mor- och farföräldrar, husdjur och hemstad. Viktigast av allt är att han får hennes e-postadress från college och nuvarande Gmail-adress.
Steg 2
Nästa stopp: Lösenordsåterställningsfunktionen på bankens webbplats. Han försöker återställa hennes banklösenord. Banken skickar en återställningslänk till hennes e-post, som han inte har tillgång till. Han måste få tillgång till hennes Gmail.
Steg 3
Gmail. Han försöker återställa hennes Gmail-lösenord, men Gmail skickar detta till hennes college-e-postadress. Gmail talar om den här adressens domän (åtminstone gjorde det det 2008 när Thompson utförde experimenten) så han visste att han måste få tillgång till den specifika adressen.
Steg 4
Sida för college e-postkonto. Thompson klickar på länken ”glömt lösenord” på den här sidan och hamnar inför några frågor. Hemadress, postnummer och hemland? Inga problem, Thompson har allt detta från samma CV. Samma CV som hittades i den enkla Google-sökning som gjordes tidigare. Sedan kom en stötesten: högskolan ville ha hennes födelsedag. Men han hade bara en ungefärlig uppfattning om hennes ålder, inget egentligt födelsedatum.
Steg 5
State traffic court website. Tydligen kan man söka efter överträdelser och domstolsförhandlingar efter namn! Och sådana register innehåller ett födelsedatum. (Facebook gör också denna uppgift mycket lätt att få fram även om folk inte antecknar sitt födelseår… Kom ihåg att Thompson visste ungefär hur gammal Kim var). Men han hade ingen tur med Department of Motor Vehicles.
Steg 6
Thompson går tillbaka till bloggen och gör en sökning på ”birthday”. Han får ett datum men inget årtal.
Steg 7
Slutligt försöker Thompson återskapa lösenordet för college igen. Han fyller i hennes födelsedatum och gissar bara året. Han får fel. Men webbplatsen ger honom fem chanser och talar om för honom vilket fält som har felet. Så han fortsätter att gissa. Han får tillgång på mindre än fem gissningar. Han ändrar hennes lösenord för college. Detta ger honom tillgång till hennes Gmail-meddelande om återställning av lösenordet. Google kräver viss personlig information som han lätt kan få tag på från hennes blogg (t.ex. faderns mellannamn.) Thompson ändrar Gmail-lösenordet och det ger honom tillgång till e-postmeddelandet om återställning av lösenordet till bankkontot. Även här uppmanas han till personlig information, men ingenting som han inte kunde få fram från Kims blogg (t.ex. namn på husdjur och telefonnummer.) Han ändrar lösenordet till banken och bingo, har omedelbar tillgång till alla hennes register och pengar.