פגיעות חמורה עוזרת להאקרים לתקוף חשבונות פייסבוק

[מודעה_1]

מומחה אבטחת הסייבר סאמיפ אריאל - שנמצא בראש רשימת "ציידי הראשים" של פייסבוק, פרסם זה עתה מידע על פגיעות אבטחה ברשת החברתית הזו, המאפשרת להאקרים לנצל חשבונות של קורבנות. הבעיה התגלתה ותוקנה ב-2 בפברואר, אך היא הוכרזה לציבור רק חודש לאחר מכן (בשל תקנות אבטחה).

לפי Aryal, הפגיעות קשורה לתהליך איפוס הסיסמה של פייסבוק באמצעות התכונה האופציונלית ששולחת קוד אימות בן 6 ספרות למכשיר אחר שאליו המשתמש התחבר או נרשם. קוד זה משמש לאימות המשתמש ולהשלמת תהליך איפוס הסיסמה במכשיר חדש (שלא היה מחובר קודם לכן).

במהלך ניתוח השאילתה, הוא גילה שפייסבוק שולחת קוד אימות קבוע (שאינו משנה את רצף המספרים), התקף למשך שעתיים, ואין לו אמצעי אבטחה למניעת התקפות Brute-Force, סוג של חדירה בלתי מורשית המשתמשת בשיטה של ניסיון של כל מחרוזות הסיסמה האפשריות כדי למצוא את רצף התווים הנכון.

Tài khoản Facebook bị chiếm quyền chỉ bằng phương thức dò mật khẩu — חשבון פייסבוק נפרץ רק על ידי סריקת קוד כניסה

משמעות הדבר היא שבתוך שעתיים משליחת הקוד, התוקף יכול להזין את קוד ההפעלה הלא נכון אינספור פעמים מבלי להיתקל באמצעי מניעה כלשהם מצד מערכת פייסבוק. בדרך כלל, אם מוזנים קוד או סיסמה שגויים יותר ממספר הפעמים שצוין, מערכת אבטחה תשהה זמנית את גישת ההתחברות לחשבון החשוד.

שעתיים אולי לא הרבה עבור אנשים רגילים, אבל עבור האקרים המשתמשים בכלי תמיכה זה בהחלט אפשרי.

תוקף צריך רק לדעת את שם המשתמש של חשבון היעד כדי שיוכל לשלוח בקשה לקוד אימות, לאחר מכן להפעיל את שיטת הכוח האכזרי ברציפות במשך שעתיים, עד שהתוצאה היא שקל לאפס את הסיסמה החדשה, להשתלט ו"לגרש" את פעילויות הגישה של הבעלים האמיתי לפני שיוכל לעשות משהו.

מר וו נגוק סון, מנהל הטכנולוגיה של NCS, אמר כי סוג זה של התקפה הוא מעבר ליכולתו של המשתמש למנוע ונקרא מתקפת 0-click. בסוג זה, האקרים יכולים לגנוב את חשבון הקורבן ללא כל פעולה מצדם.

"כאשר נקודת תורפה זו מנוצלת, הקורבן יקבל הודעה מפייסבוק. לכן, אם תקבלו פתאום הודעה מפייסבוק על שחזור סיסמה, סביר מאוד שהחשבון שלכם מותקף ונכבש", שיתף מר סון. המומחה אמר שעם נקודות תורפה כמו זו שהוזכרה לעיל, משתמשים יכולים רק לחכות שהספק יתקן את השגיאה.

פייסבוק היא רשת חברתית פופולרית במדינות רבות ברחבי העולם , כולל וייטנאם, ומשתמשים מפרסמים ומאחסנים מידע אישי רב במהלך השימוש. לכן, האקרים שואפים לעתים קרובות לתקוף ולהשתלט על חשבונות בפלטפורמה כדי לבצע תרחישי הונאה.

בין אלה, הבולטת ביותר היא צורת התחזות לקורבן ויצירת קשר עם קרובי משפחה ברשימת החברים שלהם כדי לבקש העברות כספים כדי להונות כסף. שיטה זו, בתמיכת טכנולוגיית דיפפייק לזיוף שיחות וידאו , לכדה אנשים רבים. על מנת ליצור אמון רב יותר, הנוכלים גם קונים ומוכרים חשבונות בנק עם אותו שם כמו בעל חשבון הפייסבוק כדי לבצע בקלות את התרמית שלהם.

צורה נוספת היא חטיפה ולאחר מכן שימוש בחשבון לשליחת קישורים או קבצים המכילים קוד זדוני, המתפשט ברשתות חברתיות. קוד זדוני זה מתפקד לתקוף ולגנוב מידע אישי (כגון מספרי חשבון בנק, תמונות, אנשי קשר, הודעות וסוגים רבים אחרים של נתונים המאוחסנים בזיכרון המכשיר) לאחר שהופעלו במכשיר היעד (המכשיר בו משתמש הקורבן).

[מודעה_2]
קישור למקור