Kerentanan serius membantu penggodam menyerang akaun Facebook

Pakar keselamatan siber Samip Aryal - yang berada di bahagian atas senarai "pemburu hadiah" Facebook, baru sahaja mengumumkan maklumat tentang kelemahan keselamatan pada rangkaian sosial ini, membolehkan penggodam mengeksploitasi akaun mangsa. Masalah itu ditemui dan ditampal pada 2 Februari, tetapi ia hanya diumumkan kepada orang ramai sebulan kemudian (kerana peraturan keselamatan).

Menurut Aryal, kerentanan itu berkaitan dengan proses penetapan semula kata laluan Facebook melalui ciri pilihan yang menghantar kod pengesahan 6 digit ke peranti lain yang pengguna telah log masuk atau daftar dengannya. Kod ini digunakan untuk mengesahkan pengguna dan melengkapkan proses penetapan semula kata laluan pada peranti baharu (yang belum dilog masuk sebelum ini).

Semasa analisis pertanyaan, beliau mendapati bahawa Facebook menghantar kod pengesahan tetap (yang tidak mengubah urutan nombor), yang sah selama 2 jam, dan tidak mempunyai langkah keselamatan untuk mencegah serangan kekerasan, sejenis pencerobohan tanpa kebenaran yang menggunakan kaedah mencuba semua kemungkinan rentetan kata laluan untuk mencari urutan aksara yang betul.

Ini bermakna dalam masa 2 jam selepas menghantar kod, penyerang boleh memasukkan kod pengaktifan yang salah berkali-kali tanpa menghadapi sebarang langkah pencegahan daripada sistem Facebook. Biasanya, jika kod atau kata laluan yang salah dimasukkan lebih daripada bilangan kali yang ditetapkan, sistem keselamatan akan menggantung sementara akses log masuk untuk akaun yang mencurigakan.

2 jam mungkin tidak banyak untuk orang biasa, tetapi untuk penggodam yang menggunakan alat sokongan ia mungkin sepenuhnya.

Penyerang hanya perlu mengetahui nama log masuk akaun sasaran untuk boleh menghantar permintaan untuk kod pengesahan, kemudian gunakan kaedah brute-force secara berterusan selama 2 jam, sehingga hasilnya adalah mudah untuk menetapkan semula kata laluan baharu, mengawal dan "menendang keluar" sesi akses pemilik sebenar sebelum mereka boleh melakukan apa-apa.

Encik Vu Ngoc Son, pengarah teknologi NCS, berkata bahawa jenis serangan ini di luar kemampuan pengguna untuk mencegah dan dipanggil serangan 0-klik. Dengan jenis ini, penggodam boleh mencuri akaun mangsa tanpa sebarang tindakan daripada mereka.

"Apabila kelemahan ini dieksploitasi, mangsa akan menerima pemberitahuan daripada Facebook. Oleh itu, jika anda tiba-tiba menerima pemberitahuan daripada Facebook mengenai pemulihan kata laluan, kemungkinan besar akaun anda diserang dan diambil alih," kongsi Encik Son. Pakar itu berkata bahawa dengan kelemahan seperti yang dinyatakan di atas, pengguna hanya boleh menunggu pembekal untuk menambal ralat tersebut.

Facebook ialah rangkaian sosial yang popular di banyak negara di seluruh dunia , termasuk Vietnam, dan pengguna menyiarkan serta menyimpan banyak data peribadi semasa digunakan. Oleh itu, penggodam selalunya bertujuan untuk menyerang dan mengawal akaun di platform untuk menjalankan senario penipuan.

Antaranya, yang paling menonjol ialah bentuk menyamar sebagai mangsa dan menghubungi saudara-mara dalam senarai rakan mereka untuk meminta pemindahan wang untuk menipu wang. Kaedah ini, dengan sokongan teknologi Deepfake kepada panggilan video palsu, telah memerangkap ramai orang. Bagi mewujudkan lebih kepercayaan, penipu juga membeli dan menjual akaun bank dengan nama yang sama dengan pemilik akaun Facebook untuk menjalankan penipuan mereka dengan mudah.

Bentuk lain adalah untuk merampas dan kemudian menggunakan akaun untuk menghantar pautan atau fail yang mengandungi kod berniat jahat, merebak di rangkaian sosial. Kod hasad ini mempunyai tugas untuk menyerang dan mencuri maklumat peribadi (seperti nombor akaun bank, foto, kenalan, mesej dan banyak jenis data lain yang disimpan dalam memori peranti) selepas diaktifkan pada peranti sasaran (peranti yang digunakan oleh mangsa).