سنگین خطرے سے ہیکرز کو Facebook اکاؤنٹس پر حملہ کرنے میں مدد ملتی ہے۔

سائبرسیکیوریٹی کے ماہر سمیپ آریال - جو فیس بک کی "باؤنٹی ہنٹر" کی فہرست میں سرفہرست ہیں، نے ابھی اس سوشل نیٹ ورک پر سیکیورٹی کے خطرے کے بارے میں معلومات کا اعلان کیا ہے، جس سے ہیکرز کو متاثرین کے اکاؤنٹس کا استحصال کرنے کی اجازت ملتی ہے۔ مسئلہ 2 فروری کو دریافت کیا گیا تھا اور اس پر پیچ کیا گیا تھا، لیکن اس کا وسیع پیمانے پر اعلان ہونے میں ایک مہینہ لگا (سیکیورٹی ضوابط کی وجہ سے)۔

آریال کے مطابق، کمزوری کا تعلق فیس بک کے پاس ورڈ ری سیٹ کے عمل سے ہے اس اختیاری فیچر کے ذریعے جو 6 ہندسوں کا تصدیقی کوڈ کسی دوسرے ڈیوائس کو بھیجتا ہے جس کے ساتھ صارف لاگ ان یا رجسٹرڈ ہے۔ یہ کوڈ صارف کی توثیق کرنے اور نئے ڈیوائس پر پاس ورڈ دوبارہ ترتیب دینے کے عمل کو مکمل کرنے کے لیے استعمال کیا جاتا ہے (جو پہلے لاگ ان نہیں ہوا ہے)۔

استفسار کے تجزیے کے دوران، اس نے دریافت کیا کہ فیس بک ایک مقررہ تصدیقی کوڈ بھیجتا ہے (جو نمبر کی ترتیب کو تبدیل نہیں کرتا)، جو 2 گھنٹے کے لیے درست ہوتا ہے، اور اس میں بروٹ فورس حملوں کو روکنے کے لیے کوئی حفاظتی اقدامات نہیں ہوتے، یہ ایک قسم کی غیر مجاز مداخلت ہے جو درست کریکٹرز تلاش کرنے کے لیے پاس ورڈ کے تمام ممکنہ تاروں کو آزمانے کا طریقہ استعمال کرتی ہے۔

Tài khoản Facebook bị chiếm quyền chỉ bằng phương thức dò mật khẩu — لاگ ان کوڈ اسکین کرکے فیس بک اکاؤنٹ ہیک ہوگیا۔

اس کا مطلب یہ ہے کہ کوڈ بھیجنے کے 2 گھنٹے کے اندر، حملہ آور فیس بک کے سسٹم سے کسی بھی روک تھام کے اقدامات کا سامنا کیے بغیر ان گنت بار غلط ایکٹیویشن کوڈ داخل کر سکتا ہے۔ عام طور پر، اگر غلط کوڈ یا پاس ورڈ مقررہ تعداد سے زیادہ درج کیا جاتا ہے، تو سیکیورٹی سسٹم مشکوک اکاؤنٹ کے لاگ ان کو عارضی طور پر معطل کر دے گا۔

عام لوگوں کے لیے شاید 2 گھنٹے زیادہ نہ ہوں، لیکن سپورٹ ٹولز استعمال کرنے والے ہیکرز کے لیے یہ مکمل طور پر ممکن ہے۔

ایک حملہ آور کو توثیقی کوڈ کی درخواست بھیجنے کے قابل ہونے کے لیے صرف ٹارگٹ اکاؤنٹ کا لاگ ان نام جاننے کی ضرورت ہوتی ہے، پھر 2 گھنٹے تک مسلسل بروٹ فورس کا طریقہ استعمال کریں، جب تک کہ نتیجہ یہ نہ ہو کہ نیا پاس ورڈ دوبارہ ترتیب دینا، کنٹرول حاصل کرنا اور حقیقی مالک کے رسائی کے سیشنز کو "کک آؤٹ" کرنا اس سے پہلے کہ وہ کچھ بھی کر سکے۔

NCS کے ٹیکنالوجی ڈائریکٹر مسٹر Vu Ngoc Son نے کہا کہ اس قسم کے حملے کو روکنے کی صارف کی صلاحیت سے باہر ہے اور اسے 0-کلک حملہ کہا جاتا ہے۔ اس قسم کے ساتھ، ہیکرز بغیر کسی کارروائی کے متاثرہ کا اکاؤنٹ چوری کر سکتے ہیں۔

"جب اس کمزوری کا فائدہ اٹھایا جائے گا، تو متاثرہ شخص کو فیس بک کی طرف سے ایک اطلاع موصول ہوگی۔ اس لیے، اگر آپ کو فیس بک کی طرف سے اچانک پاس ورڈ کی بازیابی کے بارے میں کوئی اطلاع موصول ہوتی ہے، تو اس بات کا قوی امکان ہے کہ آپ کے اکاؤنٹ پر حملہ کیا جائے اور اسے لے لیا جائے،" مسٹر سون نے شیئر کیا۔ ماہر نے کہا کہ مذکورہ بالا جیسی کمزوریوں کے ساتھ، صارفین صرف سپلائر کی غلطی کو ٹھیک کرنے کا انتظار کر سکتے ہیں۔

فیس بک ویت نام سمیت دنیا کے بہت سے ممالک میں ایک مقبول سوشل نیٹ ورک ہے، اور استعمال کنندہ استعمال کے دوران بہت سا ذاتی ڈیٹا پوسٹ اور اسٹور کرتے ہیں۔ لہذا، ہیکرز کا مقصد اکثر جعلی منظرناموں کو انجام دینے کے لیے پلیٹ فارم پر موجود اکاؤنٹس پر حملہ کرنا اور ان کا کنٹرول حاصل کرنا ہوتا ہے۔

ان میں، سب سے نمایاں شکار کی نقالی کرنا اور اس کی فرینڈ لسٹ میں موجود رشتہ داروں سے رابطہ کرنا ہے تاکہ گھوٹالے کی رقم میں رقم کی منتقلی کا مطالبہ کیا جا سکے۔ ڈیپ فیک ٹیکنالوجی کی مدد سے جعلی ویڈیو کال کرنے کے اس طریقے نے بہت سے لوگوں کو پھنسایا ہے۔ مزید اعتماد پیدا کرنے کے لیے، اسکیمرز آسانی سے اپنے اسکینڈل کو انجام دینے کے لیے فیس بک اکاؤنٹ کے مالک کے نام سے بینک اکاؤنٹس خریدتے اور بیچتے ہیں۔

دوسرا فارم ہائی جیک کرنا ہے اور پھر اکاؤنٹ کو سوشل نیٹ ورکس پر پھیلانے والے نقصان دہ کوڈ پر مشتمل لنکس یا فائلیں بھیجنے کے لیے استعمال کرنا ہے۔ ان بدنیتی پر مبنی کوڈز کا ہدف آلہ (متاثر کے ذریعہ استعمال کردہ آلہ) پر ایکٹیویٹ ہونے کے بعد ذاتی معلومات (جیسے بینک اکاؤنٹ نمبرز، تصاویر، رابطے، پیغامات اور ڈیوائس کی میموری میں محفوظ کئی دیگر قسم کے ڈیٹا) پر حملہ کرنے اور چوری کرنے کا کام ہوتا ہے۔

ماخذ لنک