Самые простые способы социальной инженерии иногда являются самыми эффективными. Например, самый лёгкий способ угнать машину — одеться в полицейскую форму и попросить водителя отдать ключи. Специалисты компании Symantec описывают способ угона почтовых ящиков, который ничем не сложнее и тоже предусматривает банальную имперсонификацию. Только здесь атакующий выдаёт себя не за полицейского, а за почтового провайдера.
Мошенник должен заранее знать телефонный номер жертвы. Затем он заходит на почтовый сайт, вводит почтовый адрес жертвы и переходит на форму восстановления забытого пароля. Там выбирает способ получения кода по SMS. Когда жертва получает код верификации, злоумышленник отправляет ей сообщение со своего номера с текстом примерно следующего содержания: «На вашем аккаунте замечена неавторизованная активность. Пожалуйста, пришлите код верификации, который вам только что выслали».
Жертва может подумать, что сообщение пришло от почтового провайдера — и высылает код. Дело сделано. Мошенник тут же авторизуется в системе и меняет пароль.
Дальнейшие действия злоумышленника должны быть оперативными, потому что жертва может довольно быстро восстановить утраченный доступ, получив новый код верификации.
Как вариант, пишет Symantec, можно установить дополнительный адрес для получения копий всех писем, а затем отправить жертве сообщение, что всё нормально, контроль над ящиком восстановлен. Здесь следует надеяться, что жертва забудет об инциденте и не станет проверять настройки. Тогда злоумышленник сможет долгое время читать её переписку.
