Ernstige kwetsbaarheid helpt hackers bij aanvallen op Facebook-accounts

Cybersecurity-expert Samip Aryal, die bovenaan de lijst van Facebooks "premiejagers" staat, heeft zojuist informatie vrijgegeven over een beveiligingslek op dit sociale netwerk, waardoor hackers misbruik kunnen maken van de accounts van slachtoffers. Het probleem werd ontdekt en gepatcht op 2 februari, maar werd pas een maand later openbaar gemaakt (vanwege veiligheidsvoorschriften).

Volgens Aryal houdt de kwetsbaarheid verband met het wachtwoordherstelproces van Facebook via de optionele functie die een 6-cijferige authenticatiecode naar een ander apparaat stuurt waarop de gebruiker is ingelogd of geregistreerd. Deze code wordt gebruikt om de gebruiker te authenticeren en het wachtwoordherstelproces te voltooien op een nieuw apparaat (dat nog niet eerder is ingelogd).

Tijdens de analyse van de query ontdekte hij dat Facebook een vaste authenticatiecode verstuurt (waarbij de reeks getallen niet verandert). Deze code is twee uur geldig en bevat geen beveiligingsmaatregelen ter voorkoming van brute-force-aanvallen. Dit is een vorm van ongeautoriseerde inbraak waarbij alle mogelijke wachtwoordreeksen worden geprobeerd om de juiste reeks tekens te vinden.

Dit betekent dat de aanvaller binnen twee uur na het versturen van de code talloze keren de verkeerde activeringscode kan invoeren zonder dat Facebook preventieve maatregelen treft. Normaal gesproken blokkeert een beveiligingssysteem tijdelijk de inloggegevens voor het verdachte account als de verkeerde code of het verkeerde wachtwoord vaker wordt ingevoerd dan het opgegeven aantal keren.

Voor de gemiddelde persoon is 2 uur misschien niet veel, maar voor hackers die gebruikmaken van ondersteunende tools is het zeker haalbaar.

Een aanvaller hoeft alleen de inlognaam van het doelaccount te weten om een ​​verzoek voor een verificatiecode te kunnen versturen en vervolgens de brute-force-methode 2 uur lang onafgebroken toe te passen. Totdat het eenvoudig is om het nieuwe wachtwoord opnieuw in te stellen, de controle over te nemen en de toegangssessies van de echte eigenaar te 'kickouten' voordat deze ook maar iets kan doen.

De heer Vu Ngoc Son, technologiedirecteur van NCS, zei dat dit type aanval buiten het bereik van de gebruiker ligt en een zogenaamde 0-klik-aanval wordt genoemd. Met dit type aanval kunnen hackers het account van het slachtoffer stelen zonder dat deze iets hoeft te doen.

"Wanneer deze kwetsbaarheid wordt misbruikt, ontvangt het slachtoffer een melding van Facebook. Als je dus plotseling een melding van Facebook ontvangt over wachtwoordherstel, is de kans groot dat je account wordt aangevallen en overgenomen", aldus Son. De expert zei dat gebruikers bij kwetsbaarheden zoals de hierboven genoemde alleen maar kunnen wachten tot de leverancier de fout verhelpt.

Facebook is een populair sociaal netwerk in veel landen , waaronder Vietnam, en gebruikers plaatsen en bewaren veel persoonlijke gegevens tijdens het gebruik. Daarom proberen hackers vaak accounts op het platform aan te vallen en over te nemen om frauduleuze scenario's uit te voeren.

De meest voorkomende vorm hiervan is de imitatie van het slachtoffer en het contacteren van familieleden in hun vriendenlijst om geld over te maken en zo geld te stelen. Deze methode, ondersteund door deepfake-technologie om nepvideogesprekken te voeren, heeft veel mensen in de val gelokt. Om meer vertrouwen te wekken, kopen en verkopen de oplichters ook bankrekeningen met dezelfde naam als de eigenaar van het Facebook-account om hun oplichting eenvoudig uit te voeren.

Een andere vorm is het kapen en vervolgens gebruiken van het account om links of bestanden met schadelijke code te versturen en deze te verspreiden via sociale netwerken. Deze schadelijke codes hebben als doel om persoonlijke informatie (zoals bankrekeningnummers, foto's, contacten, berichten en vele andere soorten gegevens die in het geheugen van het apparaat zijn opgeslagen) aan te vallen en te stelen nadat ze zijn geactiveerd op het doelapparaat (het apparaat dat het slachtoffer gebruikt).