16 839
Tesztek Android Google Apple Microsoft Samsung Huawei Linux Okostelefon Biztonság Tudomány Facebook Videojáték Film
/ContentUploads/A1029/facebook_hacked.jpg
Kattints ide  ➜

A legtöbb Facebook‑fiók könnyedén feltörhető

Makay József2016.08.19. 08.58
Amikor egy Facebook-fiók feltörése kerül szóba, a legtöbb ember úgy képzeli el, hogy egy fekete kapucnis srác mindenféle parancsokat gépel egy fekete terminálba egy sötét szobában ülve, majd percekkel később kijelenti, hogy „bejutottam”. A valóságban a dolog nem ennyire misztikus, de egy olvasói levélnek köszönhetően most azt is megtudhatjátok, hogy mennyire gyenge lábakon áll a Facebook védelme.

Bár a Facebook rendszerében időnként sebezhetőségeket is felfedeznek, egy átlagos támadó nem fog hónapokat tölteni a weboldal vizsgálatával csak azért, hogy egy potenciális áldozat fiókja felett átvegye az irányítást. Egyszerűen nem éri meg, ha van rá sokkal egyszerűbb megoldás is, ami akár 10 perc alatt kivitelezhető.




Az egyszerű módszer átverésre épül



A cikk nem a támadási módszerről szól.

A támadó megnyitja a Facebook (bejelentkező) oldalát, majd lemásolja az oldal kódját, és elhelyezi egy index.html szövegfájlban egy mezei Jegyzettömb, vagy bármilyen más editor segítségével.

A kódban megkeresi a login_form kifejezést, majd az utána következő action részben kicseréli a https://facebook.com/login.php webcímet egy sima login.php-re.

Létrehoz egy login.php fájlt, majd elhelyez benne egy olyan PHP kódot, ami elkapja és egy TXT fájlban letárolja a bejelentkezési adatokat. Ezzel tele van az internet, legrosszabb esetben is 4-5 sornyi kódról van szó, amit a támadónak még csak értenie sem kell.

Egy ingyenes tárhelyszolgáltatónál regisztrál egy fiókot, feltölti rá az index.html és a login.php fájlokat, majd a kapott webcímet elküldi az áldozat számára.

Az áldozat megnyitja a linket, ami kidobja a hamis Facebook bejelentkezőlapra. Az áldozat nem nézi a webcímet, hanem automatikusan megadja a bejelentkezési adatokat. A hamis login.php visszairányítja az igazi Facebookra, amiről amúgy ki sem lett jelentkeztetve, de közben a bejelentkezési adatokat lementi egy fájlba az ingyenes tárhelyen. A támadó így hozzájuthat az áldozat Facebook bejelentkezési adataihoz.


A Facebook viszont megállítja a támadót. Vagy mégsem?



A neve elhallgatását kérő levélíró is elkészítette a maga hamis Facebook bejelentkezőlapját és elküldte néhány embernek. Szinte mindenki bedőlt az átverésnek, a TXT fájlban pedig szépen gyűltek a felhasználónév-jelszó párosok.

Csakhogy a Facebook rendelkezik egy intelligens védelmi rendszerrel, aminek meg kellene akadályoznia a támadót a megszerzett adatokkal való bejelentkezésben. Nevezetesen az áldozat 5 ismerősét kell felismernie fotókról. – A megoldás koncepciója elvileg elfogadható szintű védelmet nyújtana az ismeretlen forrásból származó bejelentkezési kísérletekkel szemben.

A levélíró is megkapta az ismerős-felismerő ellenőrzést, de mivel a közös ismerősökön túl számára is voltak ismeretlen emberek, elbukott az ellenőrzésen. A Facebook rendszere viszont a következő próbálkozásoknál egy ismeretlen hiba következtében már nem állította meg ellenőrzéssel, és

minden áldozat fiókjába azonnal beengedte.



Kipróbáltuk, a levélíró állítása megállja a helyét, ráadásul távoli VPN-eken keresztül is működik. – A Facebooknak tehát nem tűnt fel, hogy az áldozat néhány perces eltérésekkel különböző földrészekről, egy ismeretlen böngészővel próbál bejelentkezni, néhány elbukott próbálkozás után pedig annyira összebarátkozott a támadó IP-jével, hogy azt onnantól minden áldozatnál egységesen megbízhatónak tekintette.




Hogyan lehet védekezni ellene?



Az valószínűleg mindenki számára egyértelmű, hogy nagyon súlyos problémáról van szó, hiszen még egy tapasztalt internetezőt is könnyedén át lehet verni egy ilyen módszerrel. A levélíró elmondása szerint ráadásul 10-ből 10 embernek nem tűnt fel, hogy bejelentkezéskor a webcím helyén nem a Facebook.com volt látható – egyszerűen csak sietett, hogy megnézhesse, milyen linket kapott.

A támadási módszer ellen szerencsére több módon is védekezhetünk. Az egyik, hogy figyeljünk oda a bejelentkezésnél a felső webcím mezőben található URL-re! Ha nem a www.facebook.com az, ne adjuk meg az adatainkat, inkább gépeljük be manuálisan a Facebook webcímét, és ellenőrizzük, valóban ki vagyunk-e jelentkezve!

A másik a Facebook-profilunk biztonságának megerősítése, amit a facebook.com/settings?tab=security oldalon végezhetünk el. Itt kérjünk Belépési figyelmeztetéseket mind értesítés, mind e-mail formájában, a Bejelentkezés-jóváhagyásokkal pedig SMS-kódot kérhetünk az ismeretlen bejelentkezéseknél, ami szinte ellehetetleníti a támadó célját.
Kattints ide  ➜

Az Androbit technológiai és tudományos magazinnál hiszünk abban, hogy az információ mindenkit megillet. Hosszú évek munkájával megszerzett hírnevünknek köszönhetően megadatott számunkra az a lehetőség, hogy műszaki témájú médiumként is elérhessünk minden internetező korosztályt. Tesszük ezt olyan hírekkel és cikkekkel, amik között egyaránt szerepel nagyobb tömegeket és kisebb szakmai csoportokat érintő tartalom is.

A témák gondos összeválogatásának és a cikkek minőségi kidolgozottságának hála mára Magyarország egyik legnépszerűbb technológiai és tudományos információforrásává váltunk – fejlesztéseinkkel és kutatásainkkal pedig igyekszünk mindig egy lépéssel a versenytársak előtt járni.

A weboldalunkon található, szerkesztőségünk által készített tartalmakra vonatkozó összes felhasználási jogot az Androbit technológiai és tudományos magazin birtokolja. A tartalmak egyes részleteinek felhasználását kizárólag látványos (vagy jól hallható) forrásmegjelöléssel engedélyezzük. A feltételek megszegésének jogi következményei lehetnek. A feltételektől eltérő tartalomfelhasználás kizárólag megegyezés útján lehetséges.
Copyright © 2007-2016 – Makay József (makay@androbit.net)
Sokat fejlődik az új frissítéssel a Google Duo
A fák az Alphabet legnagyobb ellenségei
A Samsung SDI szállítja az akkumulátorokat a Lucid Motorsnak
2016 legjobb okostelefonjai ‑ Sebességteszt
Mesterséges intelligencia fejleszti a Kaspersky felhőalapú adatbázisát
Megérkezett az Android 7.0 Nougat a Huawei P9‑re és a Huawei Mate 8‑ra
Felkapott témák
Az egyik legnépszerűbb antivírus egyben a legrosszabb is
Ezek a jelenleg kapható legerősebb okostelefonok
2016 legjobb okostelefonjai - Sebességteszt
Sokan fognak kiakadni a Samsung Galaxy S8-ra
Android 1.0 Apple Pie vs. Android 7.1 Nougat
Melyik lesz 2017 legjobb okostelefonja?
Állásajánlatok
Elektromos szakági építésvezető
Java fejlesztő
Dutch speaking Creative Copywriter - VOC0001PX
Termelés támogató mérnök
Senior/Experienced COBOL Entwickler Szeged
Senior projektmérnök
Sales and Marketing Executive Hungary, Romania, Bulgaria