Hacking facebook účtu

Dnes se podíváme na nejčastější útoky, které hrozí vašemu Facebooku účtu. Protože většina uživatelů přistupuje k této službě z mobilního zařízení, zaměříme se na přístup k Facebooku (FB) z mobilu.

Přístup z mobilu

Mobilní verze Facebooku používá k přihlášení tokeny, aby uživatel nemusel pokaždé zadávat svoje heslo. Tyto tokeny mají platnost 60 dní s možností prodloužení své platnosti.

To je zajímavé v případech, kdy má útočník fyzický přístup k vašemu mobilu a stačí mu spustit Facebooku “apku”.

V tuto chvíli ovládá útočník váš účet. Pokud se zařízení stihlo uzamknout, má útočník malou šanci. Na umatlaných displejích lze často odečíst pohybová gesta pro odemknutí displeje. Naopak číselné kódy lze odpozorovat jen v dostatečné blízkosti. Ve zbylých případech se pokusí útočník zlomit mobil v laboratoři nebo jej uvede do továrního nastavení a prodá. Pokud nešifrujete úložiště na kartě, dostane se k vašim fotkám.

Jak s tím bojovat?

  • Používejte FB na jednom zařízení, kde můžete zajistit jeho ochranu.
  • Neprovádějte tzv. “root” telefonu, přijdete o jeho bezpečnostní funkce.
  • Nastavte automatický zámek obrazovky pomocí čtečky otisku prstů / PINu.
  • Trvalé odhlášení zařízení lze zajistit v nastavení účtu v sekci Zabezpečení a přihlášení.

Falešné aplikace

Útočníci vás obvykle lákají na nové mobilní aplikace s dostatečně atraktivní funkcionalitou. Do mobilu si tak dobrovolně “nataháte” keylogger, který sbírá všechny stisky kláves, nebo aplikaci, která si hraje na přihlášení pomocí Facebook účtu.

Do této kategorie patří i podvodné stránky, které dorazí jako URL odkaz do vaší emailové schránky, nebo je sami navštívíte při cestě za hledáním nelegálního obsahu.

Jak s tím bojovat?

  • Pečlivě prověřujte nově instalované aplikace.
  • Posuzujte vyžadovaná oprávnění, počet stažení z Google Play/Apple Store.
  • Sledujte reakce existujících uživatelů aplikace.
  • Používejte antivir – jak na mobilu, tak na počítači.
  • Nepoužívejte přihlašovaní FB účtem k jiným službám – jak na mobilu, tak na webu.

Obnovení hesla

Obnovení hesla je další je zajímavá cesta, jak se dostat k vašemu účtu. Facebook nabízí několik variant, jak tímto procesem projít.

Jako uživatel můžete použít k obnovení alternativní email nebo důvěru tří přátel, které požádáte, aby vám ze speciální FB stránky poslali čtyřmístné kódy, které použijete k dokončení obnovy.

Pokud má útočník přístup k vašemu mobilu nebo emailu, je schopen heslo přenastavit a získat přístup k účtu. Pokud útočník neuspěje s obnovou hesla, bude muset heslo zkusit hádat.

Co s tím?

Zranitelnosti nultého dne

I mistr tesař se někdy utne a Facebook není výjimkou. Facebook potřebuje svoji infrastrukturu a provozuje řadu doplňujících služeb a proto také platí etickým hackerům v bug bounty programech, aby hledali chyby v zabezpečení.

Jako koncoví uživatelé se proti neznámým chybám těžko ubráníte. Můžete jen snížit pravděpodobnost a dopad případného útoku následujícími kroky.

  • Zkontrolujte nastavení profilu a omezte přístupu k informacím cizím lidem.
  • Nereagujte na zprávy cizích osob.
  • Nepoužívejte doplňující funkce, které nepotřebujete, například Messenger.
  • Pravidelně aktualizujte aplikace v mobilu.
  • Pravidelně aktualizujte OS a webové prohlížeče na vašem počítači.

Účet v ohrožení

Pokud se vám již někdo do účtu naboural, nejdříve změňte, případně obnovte heslo a ukončete relace z neznámých zařízení.

Jestliže se vám to nedaří, požádejte Facebook o pomoc na stránce https://www.facebook.com/hacked.

Následně si prohlédněte nastavení účtu, projděte aktivity na zdi, žádosti o přátelství a zprávy. Pokuste se zjisti, jak k útoku došlo.

Pokud i teď propadáte panice, rozhodně nehledejte pomoc na webech slibující za úplatu pomoc hackerů či stažení super nástroje. Vyplnili byste tak jeden z mnoha průzkumných dotazníků a skončili v databázi překupníků. Jen pro úplnost, nehledejte tyto služby ani u nás a raději se obraťte na Facebook, který má i českou podporu.

Závěr

V příspěvku jsme prošli nejčastějšími útoky na FB účet a nutnou hygienou na mobilech. Pokud jsem zapomněl na něco podstatného, pište komentáře na náš Facebook. Budu se těšit na vaše reakce.

 

Blog

Kontakty

Modelování hrozeb ve vývoji

v květnu jsem na Black Swan Security Congresu 2018 prezentoval o tématu modelování hrozeb ve vývoji a rád bych se s vámi podělil o svoje zkušenosti….

Číst dál

Android hacking pro začátečníky – ADB

Vítám čtenáře, kteří sledují náš seriál o “hackování” Androidu. Minule jsme se prokousali přípravou prostředí, abychom se dnes mohli připojit k Androidu pomocí nástroje Android…

Číst dál

Android hacking pro začátečníky – Android Studio

Vítám čtenáře seriálu o hackingu mobilních aplikací na platformě Android. V minulém díle jsme se věnovali architektuře, dnes se zaměříme na instalaci a konfiguraci Android…

Číst dál

Kontakty

+420 739 639 132

Petr Juhaňák
V Poli 547
517 71 České Meziříčí

IČO 01259041