Obsługa klienta Facebook włącza hackowanie konta

Zespół obsługi klienta Facebook pomoże komuś włamać się na Twoje konto.

Użytkownik Reddit SquidWhale twierdzi, że ktoś mógł zmienić adres e-mail, hasło i ustawienia uwierzytelniania dwuskładnikowego swojego konta na Facebooku, podszywając się pod niego w wiadomościach do zespołu obsługi klienta.

Wiadomości, których nie wysłano nawet z adresu e-mail użytego do konta Facebook, i przedstawiciel obsługi klienta zaakceptowali błędną identyfikację po tym, jak poprosili hakera o udowodnienie, że konto naprawdę do nich należy.

To wszystko, czego potrzebował haker, aby uzyskać dostęp do konta. Po zakończeniu zmienił wszystkie dane logowania, usunął kilka stron Facebooka poświęconych działalności właściciela konta i wysłał zdjęcie kutasa do narzeczonej prawowitego właściciela.

Cała sprawa trwała cztery godziny od początku do końca. Nie miało znaczenia, że ​​haker nie ma adresu e-mail ani hasła właściciela konta. Do diabła, nie miało nawet znaczenia, że ​​właściciel konta włączył uwierzytelnianie dwuskładnikowe.

Liczył się tylko fakt, że obsługa klienta Facebooka była skłonna zmienić te ustawienia, mimo że wszystkie czerwone flagi - wysyłane pocztą elektroniczną z niewłaściwego adresu, twierdzące, że nie mają telefonu, podając niewłaściwy identyfikator - pojawiły się.

To wszystko dzięki technice zwanej inżynierią społeczną. Zamiast łamać szyfrowanie, kradnąć dane lub w inny sposób wykorzystywać czarodziejstwo techniczne, aby uzyskać dostęp do czyichś informacji, inżynieria społeczna polega na przekonującym kłamstwie.

Po prostu obejrzyj ten film z Połączenie „The Real Future”, która przedstawia kobietę uzyskującą dostęp do konta telefonicznego edytora Kevina Roose'a z klipem YouTube płaczącego dziecka i dramatycznym aktorstwem:

Facebook nie jest jedyną firmą podatną na socjotechnikę. Na początku tego roku Amazon został oskarżony o przekazywanie danych osobowych klienta osobie, która podszywała się pod niego.

Niedawno konto Twitter DeRay McKesson na rzecz praw obywatelskich zostało skradzione za pomocą inżynierii społecznej. Haker postawił się jako McKesson w rozmowie telefonicznej z Verizonem, zmienił kartę SIM powiązaną z jego numerem, a następnie wykorzystał ten dostęp do obejścia dwuskładnikowego uwierzytelnienia na koncie McKessona.

Ostatecznie SquidWhale uzyskał dostęp do swoich kont. Zwrócono mu konto McKessona na Twitterze. Ale to nie zmienia faktu, że stracili dostęp do ważnych usług, mimo że próbowali się bronić.

Tylko tyle osób może zrobić, aby chronić się online. Używaj silnych, unikalnych haseł. Nie używaj jednego z tych strasznych haseł. Skonfiguruj uwierzytelnianie dwuskładnikowe. Unikaj niezabezpieczonych połączeń, które mogą pozwolić komuś przechwycić dane logowania podczas ich przesyłania.

Ten właściciel firmy zrobił wszystkie te rzeczy. Jednak tak długo, jak zespoły obsługi klienta będą w stanie zmieniać konta lub wyszukiwać poufne informacje, zawsze będzie słabe ogniwo w metaforycznym ogrodzeniu otaczającym dane osobowe.

Facebook nie odpowiedział jeszcze na prośby o udzielenie wywiadu w tej sprawie, ale zaktualizujemy tę historię, kiedy to nastąpi.