相關文章

F5e76baabe60839a2055af1d6e9e1611 如果讀者有將Facebook帳號與手機號碼連結的話,可就要小心了。根據富比士報導,攻擊者只要知道受害者的手機號碼,就能使用Facebook的忘記密碼功能,並在重新設定密碼的過程中,透過SS7電信系統的漏洞,竊取透過手機簡訊傳送的認證碼,如此一來攻擊者就能重設受害者Facebook帳號的密碼,並取得帳號控制權。

透過SS7漏洞進行攻擊

在說明如何竊取Facebook帳號之前,筆者需要先簡單介紹一下SS7。SS7為Signaling System Number 7(第七號發信系統)的縮寫,是種電話信令通訊協定,根據The Hacker News報導,全球有超過800個電信商使用這種協定與其他電信商交換資訊、提供漫遊服務等功能。不過SS7卻有著資安漏洞,讓攻擊者能夠竊聽受害者的語音通話、竊取簡訊,然而這個漏洞最可怕的地方在於,攻擊者需要的資料僅有受害者的電話號碼以及些許設備資料。

在攻擊者可以竊取受害者簡訊的情況下,攻擊者可以在竊取Facebook帳號的過程中,使用Facebook提供的忘記密碼功能。當系統詢問受害者要以E-Mail或是手機簡訊傳送一次性動態認證密碼(OTP密碼)時,選擇以手機簡訊傳送,並竊取簡訊,就能取得認證密碼,進而重新設定受害者Facebook帳號的密碼,並取得帳號控制權。

▲攻擊者可以透過忘記密碼功能竊取受害者的Facebook帳號。

攻擊手法實作示範

Hackers Can Steal Your Facebook Account With Just A Phone Number一文的作者Thomas Fox-Brewster,也錄製了攻擊手法實作的示範影片。在影片中可以看到攻擊者透過竊取簡訊的方式,取得重新設定Facebook密碼的權限,並以新密碼登入受害者Facebook帳號,取得帳號的完整控制權。

基本上這個攻擊手法,可以應用在任何透過簡訊傳送重設密碼資訊的服務,例如WhatsApp與Telegram也都可以用類似的方式,竊取帳號控制權。目前使用者能做的因應措施除了有避免將帳號與手機號碼連結,並移除已綁定的手機號碼之外,還可以開啟非經過簡訊傳送密碼的兩步驟驗證(Two-Factor Authentication)功能,以免將自己的帳號曝露在風險之下。

不過需要注意的是,若要在Facebook使用兩步驟驗證功能,就必需要綁定手機號碼,因此筆者建議參考此篇教學,暫時移除手機號碼。待日後若Facebook開放不需綁定手機號碼即可開啟兩步驟驗證功能時,再使用該功能。

▲竊取Facebook帳號攻擊手法實作的示範影片。

▲在攻擊的一開始,需要進入Facebook的忘記密碼功能。

▲然後選擇以透過手機簡訊接收更改密碼的認證碼。

▲在竊取手機簡訊部分,則可透過攻擊SS7伺服器,取得相關資訊。

▲取得相關資訊後,接著架設假的慢遊服務,就能讀取所有發送給受害者的簡訊。

▲如此一來就能輕鬆竊取認證碼。

▲可以看到此案例的認證碼為552785。

▲將認證碼輸入Facebook更改密碼的表單後......

▲攻擊者就能建立新密碼,並取得帳號的完整控制權。

延伸閱讀:

保護Facebook帳號,移除已綁定的手機號碼

遠離 Facebook 盜帳號自救法,用智慧型手機進行雙重認證登入

洋蔥網路Tor登陸手機版Facebook:3步驟啟用,加強隱私連NSA都找不到你

使用 Facebook 留言

oldmon
1.  oldmon (發表於 2016年6月17日 19:26)
一般來說,要Hack進電信公司的這種核心的伺服器,也不是啥太容易的事就是了。我如果hack的進去,應該不只會做竊取Facebook密碼這種小是就是。

發表回應

謹慎發言,尊重彼此。按此展開留言規則