Het blijkt relatief eenvoudig te zijn om via Social Engineering het account van een willekeurige Skype gebruiker over te nemen.
De helpdesk van Skype kan een wachtwoord reset uitvoeren voor een account als de gebruiker zijn inloggegevens is verloren.
Hierbij controleert Skype tijdens het herstelproces slechts drie zaken:
- email adres van de gebruiker
- voor- en achternaam van de gebruiker
- 3 tot 5 Skype-contacten van de gebruiker
Via Social Engineering zijn deze gegevens eenvoudig te achterhalen. Meestal volstaat een zoekopdracht met Google, het opzoeken van email adressen via Social Media, en het bekijken van websites en blogs waarop gebruikers gegevens publiceren.
Het zou natuurlijk beter zijn Skype op korte termijn betere beveiliging implementeert. Hierbij valt te denken aan persoonlijke beveiligingsvragen of ‘2-factor authenticatie’ via een SMS bericht.
Totdat het wachtwoordherstel proces van Skype is verbeterd, is het verstandig voor Skype een apart email adres te gebruiken wat niet door derden kan worden achterhaald. Dit beperkt de kans op de overname van het account.