Schwerwiegende Sicherheitslücke ermöglicht Hackern Angriffe auf Facebook-Konten

Der Cybersicherheitsexperte Samip Aryal, der ganz oben auf der Facebook-Liste der Kopfgeldjäger steht, hat kürzlich Informationen über eine Sicherheitslücke in dem sozialen Netzwerk veröffentlicht, die es Hackern ermöglicht, die Konten der Opfer auszunutzen. Das Problem wurde am 2. Februar entdeckt und behoben, es dauerte jedoch einen Monat, bis es (aufgrund von Sicherheitsbestimmungen) allgemein bekannt wurde.

Laut Aryal hängt die Sicherheitslücke mit dem Facebook-Passwort-Reset-Prozess zusammen. Dieser basiert auf einer optionalen Funktion, die einen sechsstelligen Authentifizierungscode an ein anderes Gerät sendet, mit dem sich der Nutzer angemeldet oder registriert hat. Dieser Code dient zur Authentifizierung des Nutzers und zur Durchführung des Passwort-Resets auf einem neuen Gerät (auf dem er sich zuvor nicht angemeldet hat).

Bei der Analyse der Abfragen stellte er fest, dass Facebook einen festen Authentifizierungscode sendet (bei dem die Zahlenfolge nicht geändert wird), der zwei Stunden lang gültig ist und über keine Sicherheitsmaßnahmen verfügt, um Brute-Force-Angriffe zu verhindern. Dabei handelt es sich um eine Art unbefugten Eindringens, bei dem alle möglichen Kennwortzeichenfolgen ausprobiert werden, um die richtige Zeichenfolge zu finden.

Das bedeutet, dass der Angreifer innerhalb von zwei Stunden nach dem Senden des Codes unzählige Male den falschen Aktivierungscode eingeben kann, ohne dass Facebook auf Schutzmaßnahmen stößt. Normalerweise sperrt ein Sicherheitssystem die Anmeldung für das verdächtige Konto vorübergehend, wenn der falsche Code oder das falsche Passwort häufiger als die angegebene Anzahl eingegeben wird.

Für normale Menschen sind 2 Stunden vielleicht nicht viel, für Hacker, die Support-Tools verwenden, ist es jedoch durchaus möglich.

Ein Angreifer muss lediglich den Anmeldenamen des Zielkontos kennen, um eine Anfrage für einen Bestätigungscode senden zu können. Anschließend kann er die Brute-Force-Methode zwei Stunden lang kontinuierlich anwenden, bis das Ergebnis so ist, dass es einfach ist, ein neues Kennwort zurückzusetzen, die Kontrolle zu übernehmen und die Zugriffssitzungen des wahren Eigentümers „rauszuwerfen“, bevor dieser etwas tun kann.

Herr Vu Ngoc Son, Technologiedirektor von NCS, erklärte, dass diese Art von Angriffen vom Benutzer nicht verhindert werden könne und als 0-Klick-Angriff bezeichnet werde. Mit dieser Art können Hacker das Konto des Opfers stehlen, ohne dass dieses etwas tun muss.

„Wenn diese Sicherheitslücke ausgenutzt wird, erhält das Opfer eine Benachrichtigung von Facebook. Wenn Sie also plötzlich eine Benachrichtigung von Facebook zur Passwortwiederherstellung erhalten, ist es sehr wahrscheinlich, dass Ihr Konto angegriffen und übernommen wird“, erklärte Herr Son. Der Experte erklärte, dass Nutzer bei Sicherheitslücken wie der oben genannten nur warten können, bis der Anbieter den Fehler behebt.

Facebook ist ein beliebtes soziales Netzwerk in vielen Ländern weltweit , darunter auch Vietnam. Nutzer veröffentlichen und speichern während der Nutzung zahlreiche persönliche Daten. Daher zielen Hacker häufig darauf ab, Konten auf der Plattform anzugreifen und die Kontrolle darüber zu übernehmen, um betrügerische Aktivitäten durchzuführen.

Besonders häufig wird die Identität des Opfers angenommen, um Verwandte in der Freundesliste zu kontaktieren und um Geldtransfers zu bitten. Diese Methode, die Deepfake-Technologie zur Fälschung von Videoanrufen nutzt, hat schon viele Menschen in die Falle gelockt. Um mehr Vertrauen zu schaffen, kaufen und verkaufen die Betrüger auch Bankkonten mit dem gleichen Namen wie der Facebook-Kontoinhaber, um ihren Betrug zu erleichtern.

Eine weitere Form besteht darin, das Konto zu kapern und anschließend zu verwenden, um Links oder Dateien mit Schadcode zu versenden und diese in sozialen Netzwerken zu verbreiten. Diese Schadcodes haben die Aufgabe, persönliche Informationen (wie Bankkontonummern, Fotos, Kontakte, Nachrichten und viele andere im Gerätespeicher gespeicherte Daten) anzugreifen und zu stehlen, nachdem sie auf dem Zielgerät (dem vom Opfer verwendeten Gerät) aktiviert wurden.