Sophos Naked Security
Securelist
Ars Technica
cyber-secret futurist
bardóczi Tumblarity
I'm, the bookworm
ákos*Blogspotting
bardóczi on
Wordpress
My Quora blog
ákos
Journal
my BestOfAllWorlds profile
Többször emlegettem már, hogy ha egy világméretű szolgáltatásról van szó, arról hajlamosak vagyunk azt hinni, hogy a rajta működő fiókunk teljes biztonságban van, főleg a relatíve egyszerű, azaz invazív törési technikákat nem igénylő módszerekkel szemben védett. Nos, nem. Már-már könyvet tudnék írni, hogy ilyen-olyan közösségi szolgáltatásokban hogyan lehet idegen fiókot megszerezni vagy eltéríteni, a felhozatalban pedig a Facebook előkelő helyen lenne. A módszerek többségéhez minimális programozási tudás szükséges vagy még annyi se, én most a legfrissebbet mutatom be.
A Facebook egy nem túl régen bevezetett újításaként a https://www.facebook.com/settings?tab=security§ion=trusted_friends&view tabon meg lehet jelölni olyan ismerősöket, akiknek a segítségét lehet kérni abban az esetben, ha a fiókunk hozzáférhetetlenné válik, azaz nem tudunk belépni, de nem küldhető jelszó-helyreállító token sem emailen, sem mobilon SMS-ben, nem állítottunk be biztonsági kérdést és még egy okostelefon sincs hozzárendelve a fiókhoz. Ilyenkor van rá lehetőség, hogy a 3-5 kijelöl megbízható ismerősnek a Facebook küldjön egy-egy kódocskát, amiket hozzánk eljuttatva, majd aokat általunk beütve a Facebook fiók ismét elérhetővé válik. A nem kis probléma pedig az, hogy a Trusted contacts beállítása nem kötelező és a felhasználók többségénél nincs is bekapcsolva, a most bemutatásra kerülő account-hijacking erre alapul.
Tételezzük fel, hogy valaki fel akarja nyomni az accountomat, így a Facebook nyitóoldalán a "Forgot your password?" pontot választja. Itt kereshető az áldozat a "helyreállításra szoruló" fiók egyedi azonosítója, rövid, ún. user-friendly neve, teljes neve, email címe(i), telefonszáma(i) alapján egyaránt. Ekkor valami ilyesmi tárul a szemünk elé:
Mivel itt lehetőség van azt az opciót választani, hogy a megadott elérhetőségek egyikéhez sincs hozzáférésünk, ezt követően a Facebook bekér egy tetszőleges email címet, amin felveheti velünk a kapcsolatot szükség esetén.
Továbblépve ezután választhatjuk azt a lehetőséget, hogy a barátainktól kérünk segítséget a fiók visszaállításához és itt jön a csavar: abban az esetben, ha korábban az áldozat nem jelölt ki megbízható kontaktokat az előbb emlegetett Trusted contacts tabon, az összes ismerős közül, teljesen tetszőlegesen lehet választani, hogy kitől kérünk segítséget. Jól ismert, hogy az átlag felhasználó igencsak tapintatos tud lenni, ha ismerősnek jelölik, gyakorlatilag visszajelöl boldogot-boldogtalant, így az sem ritka, hogy egy fogát csikorgató ex vagy éppen egy kirúgott beosztott van fent az ismerősök közt kamu néven, ezen kívül minden további nélkül fent lehet néhány kémkedő - szakargóban stalker - kamu felhasználó is, amit pont a támadó tett oda mondjuk több hónap alatt, hogy ne legyen túl feltűnő. Ha tehát legalább három olyan kamu felhasználót vett fel az áldozat, amit maga a támadó hozott létre és vetette fel velük magát ismerősnek az áldozattal korábban, nem nehéz megjósolni a következményt. Ezen a ponton ha a támadó kijelöli a saját három alvó ügynökét, akiknek a postafiókjába landol a három helyreállításhoz szükséges tokenkódocska és amint a támadó azokat megadja, már meg is szerezte az áldozat Facebook-fiókját.
Egyedüli részmegoldásként azzal lehet csökkenteni a kockázatot, ha kijelölünk megbízható kontaktokat, így egy ilyen típusú támadás esetén a támadó nem tud tetszőlegesen választani az ismerőseink közül, amik némelyike esetleg mind hozzá tartozik.
Megj.1: a leírás messze nem tér ki minden leetséges scenariora, ezért nem biztos, hogy mindenkinél működik
Megj 2: a Facebook azért nem teljesen hülye, ha valaki amatőr módon, azaz anonimizálási technikák nélkül fog neki egy ilyennek, a Facebook millió meg egy dolog alapján azonosíthatja és végleg kirúghatja a támadót az összes accountjával együtt, ideértve a valódit is. Azaz ne próbáld ki otthon.
