相關文章

16e39a1140aa0bcee9d06954def09d7c 筆者日前介紹了透過SS7安全漏洞,竊取Facebook帳號的方法,由於該攻擊手法只需知道受害與Facebook帳號綁定的手機號碼,就能透過「忘記 密碼」的方式,取得帳號的完整共控制權,因此不要將手機號碼登錄至Facebook帳號,就能避免這種攻擊。但是對於已經登錄手機號碼的使用者,也不需太過擔心,使用者仍可手動移除手機號碼,以避免將帳號曝露於風險之下。

在手機上移除已綁定手機號碼

日前筆者曾撰文介紹,攻擊者只要知道受害者的手機號碼,就能使用Facebook的忘記密碼功能,搭配SS7電信系統的漏洞,重設受害者Facebook帳號的密碼,並取得帳號控制權。如果要避免此一資安風險,最直接的方式就是不要將要將手機號碼登錄至Facebook帳號,或是將已登錄的手機號碼移除。

由於筆者在網頁版Facebook中找不到移除手機號碼的選項,因此不確定是否能透過網頁版進行操作。但是在智慧型手機的App版可以正常操作,所以筆者在下方的教學中以iOS版App作為教學範例。

▲在操作最初,先點擊Facebook App中右下角的「更多」按鈕,然後往下滑動找到設定「選項」。

▲點擊設定之後,再點擊跳出對話框中的「帳號設定」。

▲在設定選單中,點擊「一般」。

▲在這邊可以看到自己的帳號資料,如果讀者的App顯示的資訊與範例圖片一樣,有顯示電話號碼的話,代表手機號碼已登錄至Facebook帳號。在這邊點擊「電話號碼」項目,進行設定。

▲接下來在目前的電話號碼欄位中,可以看到「移除」選項,點擊「移除」。

▲最後輸入Facebook的密碼,就能移除已登錄的手機號碼。

▲將手機號碼移除之後,再回到帳號資料頁面,就會發現電話號碼欄位已經清空。

無法再透過手機接收認證碼

由於這次介紹的攻擊手法,是在使用Facebook的忘記密碼功能時,攔截透過手機簡訊傳送的認證碼,並讓攻擊者能夠重設受害者Facebook帳號的密碼,並取得帳號控制權,因此只要移除手機號碼之後,就無法再透過手機簡訊傳送的認證碼,因此也可以避開這個攻擊手法。

在筆者移除手號碼之後,再嘗試使用忘記密碼功能,會發現只能以E-Mail接收認證碼,因此就不必擔心被這種攻擊手法竊取Facebook帳號。

▲移除手號碼之後,就無法再透過手機簡訊接受忘記密碼功能的認證碼,因此能夠避開這個資安風險。

延伸閱讀:

只要知道你的手機號碼,駭客就可以利用SS7漏洞竊取你的Facebook帳號

遠離 Facebook 盜帳號自救法,用智慧型手機進行雙重認證登入

洋蔥網路Tor登陸手機版Facebook:3步驟啟用,加強隱私連NSA都找不到你

使用 Facebook 留言

發表回應

謹慎發言,尊重彼此。按此展開留言規則