Procedura jest prosta pod warunkiem, że znamy ofiarę. A w szczególności znamy jej numer telefonu, adres email, nazwisko i adres.
- Płacimy €15-20 za wyrobienie fałszywego dokumentu tożsamości, z naszym zdjęciem oraz imieniem i nazwiskiem ofiary.
- Drukujemy fałszywy rachunek za prąd, z danymi ofiary.
- Idziemy do salonu GSM i mówimy, że chcemy zmienić telefon. Przedstawiamy się jako ofiara.
- Kupujemy nowy telefon, prosimy pracownika o włożenie karty SIM.
- Karta SIM się uaktywnia.
- Wchodzimy na https://accounts.google.com/ServiceLogin
- Korzystamy z procedury resetowania hasła za pomocą SMS-a. Ustawiamy nowe hasło.
- Wchodzimy w ustawienia konta Google i usuwamy z niego wszystkie opcje awaryjnego odzyskiwania hasła (zapasowy email, numer telefonu, pytanie pomocnicze itd).
- Gotowe. Teraz możemy za pomocą tego konta ukraść kolejne konta (Facebook, Twitter, niektóre banki, PayPal i wiele innych)
No dobra. A teraz załóżmy, że nie znamy żadnego typa spod ciemnej gwiazdy, który za €20 zrobi nam lewy dokument, albo po prostu nie chcemy ryzykować wpadki z fałszywym dokumentem tożsamości, ale nadal chcemy się włamać komuś na konto Google. Co wtedy?
Wtedy trzeba:
1. Znaleźć się w pobliżu ofiary, najlepiej z porządną, wysokiej jakości lornetką / kamerą / aparatem
2. Uruchomić procedurę odzyskiwania zapomnianego hasła.
3. W momencie kiedy ofiara sprawdza SMS-a, odczytać kod (czasem da się nawet przy zablokowanym ekranie, kod pojawia się na chwilę na górze w pasku powiadomień) używając wysokiej jakości urządzenia optycznego (lornetka itd).
4. Dalej tak samo jak opisałem wyżej.
Jak się przed czymś takim uchronić?
Najprościej jest albo wcale nie dodawać numeru telefonu do konta Google (ciężka sprawa, bo Google usilnie się go domaga), albo dodać numer telefonu, którego nigdzie indziej nie używamy i który leży sobie gdzieś w domu w bezpiecznym miejscu (albo w drugim slocie SIM, jeżeli mamy smartfona na dwie karty) - i nigdy, przenigdy go nikomu nie podawać.
Ewentualnie włączyć weryfikację dwuetapową i używać jej "z głową" tj. w warunkach, kiedy nikt nie jest w stanie zajrzeć nam przez ramię na ekran smartfona.
Albo skorzystać z rozwiązania gordyjskiego i przenieść się na platformę inną niż Google...
Inną niż Google, czyli jaką na przykład?
Grząskie pytanie. To znaczy tak: samo pytanie nie jest grząskie per se, ale próba udzielenia sensownej odpowiedzi grozi wkroczeniem na grząski grunt 😉
Opcji jest bowiem mnóstwo, a każda ma swoje zady i walety. Chwilowo rozpatruję: {1} ZOHO Mail (jakieś 24USD/rok/osobę, 5GB na emaile), {2} Microsoft (i tak płacę za ichniego Office 365, Outlook.com jest wliczony w subskrypcję, z nielimitowaną skrzynką pocztową i nielimitowaną ilością własnych domen), {3} FastMail (mają świetną opinię, ale są dość drodzy – 30USD rocznie za konto, no i samo konto maleńkie, tylko 2GB na łeb) no i wreszcie {4} postawienie własnego serwera pocztowego (koszt między 2 a 12 € miesięcznie, w zależności od wybranej opcji). To ostatnie jest bardzo kuszące, bo nie płacę za pojedyncze skrzynki e-mail tylko za serwer jako całość, no i mam wszystko w stu procentach pod kontrolą. Wada natomiast jest taka, że mam wszystko w stu procentach pod kontrolą, więc mam kolejny system do zarządzania, nie wiem czy nie szkoda mi na to czasu; ryzyko utraty danych jest tu sporo większe niż przy gotowych rozwiązaniach. Aha, i Google skutecznie blokuje nowe „prywatne” serwery e-mail po adresach IP twierdząc, że są nieznane, w związku z czym pewnie spamerskie. Trzeba się trochę nabiedzić, żeby „zarobić” punkty zaufania u Wielkiego Gie. Głupie to ale wyżej dupy nie podskoczysz. Summa summarum pewnie skończę na Outlook.com, tylko jeszcze nie zgłębiłem tematu ichnich zabezpieczeń…
Fałszywy dokument tożsamości. To znaczy?
W Australii tylko 2 dokumenty mają zdjęcie posiadacza i są uznawane za dokumenty tozsamosci – paszport i prawo jazdy. Tego się u nas za 20 funtów nie załatwi.
Inna sprawa, że nikt nie potrafi mi powiedzieć czym ma wylegitymować się osoba nie posiadająca prawa jazdy lub paszportu.
Spotkałem tu osobę, w wieku ponad 60 lat, która nie miała zadnego dokumentu, ze zdjeciem czy bez zdjecia. Nie miała konta w banku, nie miała karty zdrowia (Medicare) – stwierdziła, że nigdy nie chorowała. Nie miała nawet metryki urodzenia. Zastanawiam się jak zarejestrują jej zgon (niech zyje jak najdłużej).