Forestil dig, at der sidder en 'mand i midten', når du chatter med dine venner.
En mand, som videresender dine beskeder efter at have ændret lidt i dem og på samme måde manipulerer med de svar, din kammerat sender.
Truslen, der stadig kun eksisterer i forskernes laboratorier, er en slags tekstrobot, en såkaldt 'bot', som automatisk manipulerer teksten i en chat, uden at deltagerne i samtalen bemærker det.
Bot'en forsøger stille og roligt at føre konversationen i en retning, som ender med at narre brugerne til at klikke på links, der downloader programmer, som så kan stjæle personfølsomme oplysninger.
Tredjemanden, bot'en, tager altså imod beskeder fra begge deltagere og ændrer beskederne for eksempelvis at få modtageren af beskeden til at klikke på et skadeligt link, som stjæler kontooplysninger eller spreder skadelig kode.
Metoden, som virker med ethvert system, der udveksler private beskeder, baserer sig på konceptet 'man in the middle'.
De to brugere (her Alice og Carl) er sikre på, at de chatter med hinanden, men i virkeligheden bliver deres beskeder sendt frem og tilbage som illustreret her:
Bot -> Alice: Hi!
Alice -> bot: hello
Bot -> Carl: hello
Carl -> bot: hi there, how are you?
Bot -> Alice: hi there, how are you?
Alice -> bot:...
Bot'en virker menneskelig for begge brugere, fordi hele konversationen afspejles af dens placering i midten af samtalen.
Det kan være svært at skelne mellem en ægte besked og en skabt af en bot, så det enkle råd er at lade være med at klikke på links i en chat.
På vej ud i virkeligheden
Så vidt vides er dette 'man in the middle' fupnummer endnu ikke set i virkeligheden, men nummeret er altså en realitet i forskernes laboratorier, og ofte er vejen fra laboratorium til virkelighed kort.
Det er it-sikkerhedsforskere fra forskningscenteret Eurecom i det sydlige Frankrig, som i deres laboratorium har opdaget denne potentielle trussel mod Facebook-brugere og brugere af andre sociale netværk med chatfunktion.
Den nye bot, der har fået navnet Honeybot, erstatter chatdeltagernes egne links med skadelige links, og den kan også tit gætte chatdeltagernes køn og tilpasse meddelelserne, så de passer til modtagerens køn.
Rapporten "Honeybot, Your Man in the Middle for Automated Social Engineering" kan ses her.
Ifølge rapporten har rigtig mange ikke nogen skrupler overhovedet med at klikke på links, som de ikke aner en pind om.
Rapportens konklusion er, at fremgangsmåden beskrevet i rapporten kan føre til "meget realistiske automatiske 'social engineering attacks' ikke bare med henblik på phishing (identitetstyveri), men også inden for forskning og hos politiet kan kriminelle gøre sig håb om at stjæle nyttige informationer."
