نفوذ به حساب کاربری فیسبوک از طریق شماره تلفن
نفوذ به حساب کاربری فیسبوک یکی از پرکاربردترین جستوجوها در اینترنت است.
پیش از این یافتن راهی برای نفوذ به حساب کاربری فیسبوک سخت بود، اما حالا کارشناسان امنیتی راهی را یافتهاند که با استفاده از آن میتوانند کنترل حساب کاربری فیسبوکتان را تنها با دانستن شماره تلفن و اندکی مهارتهای نفوذ به دست بگیرند.
بله حساب کاربری شما قابلنفوذ است و مهم نیست که کلمه عبورتان چقدر قوی انتخاب شده باشد. مهاجمانی که مهارت نفوذ به شبکه SS7 را داشته باشند میتوانند به حساب کاربری فیسبوک نفوذ کنند.
نقاط ضعف موجود در بخشی از شبکه SS7 نهتنها به مهاجمان و آژانسهای جاسوسی اجازه داده است تماسهای تلفنی شخصی و پیامهای کوتاه افراد را در مقیاس وسیع استراق سمع کنند، بلکه به آنها اجازه میدهد حسابهای کاربری شبکههای اجتماعی افرادی را که در این حسابها شماره تماس خود را وارد کردهاند کنترل کنند.
SS7 یک پروتکل سیگنال تلفنی است که توسط بیش از ۸۰۰ اپراتور ارتباطی در سراسر جهان استفاده میشود تا بتوانند دادههای خود را باهم مبادله کرده و خدماتی مانند رومینگ و سایر خدمات را ارائه کنند.
اشکال شبکه SS7 این است که به پیامهای متنی که بر روی این بستر ارسال میشود، صرفنظر از مبدأ آن، اعتماد میکند. بدین ترتیب مهاجمان مخرب میتوانند SS7 را فریب دهند تا پیامهای متنی آنها را ارسال کنند.
تمام چیزی که این مهاجمان نیاز دارند شماره تماس هدف و برخی جزئیات دیگر از دستگاه اوست.
به گزارش فوربس، گروهی از محققان Positive Technologies که پیش از این نشان داده بودند چگونه توانستهاند به حسابهای کاربری تلگرام و واتساپ نفوذ کنند، حالا ویدئویی منتشر کردهاند که نشان میدهد با همان روش توانستهاند به حسابهای کاربری فیسبوک نیز نفوذ کنند.
علیرغم استفاده از رمزنگاریهای فوق پیشرفته توسط شبکههای سلولی، SS7 مدت زیادی است که برچسب آسیبپذیر را با خود به همراه دارد.
در این روش مهاجم ابتدا بر روی گزینه «فراموشی کلمه عبور» در صفحه اصلی facebook.com کلیک میکنند. زمانی که از آنها خواسته میشود رایانامه و یا شماره تماس مربوط به حساب کاربری را وارد کنند، شماره تماس واقعی که در اختیار دارند را وارد میکنند.
سپس مهاجم پیام کوتاه ارسالی از سوی فیسبوک را که حاوی رمز عبور یکبارمصرف (OTP) است به رایانه و یا تلفن همراه خود تغییر مسیر میدهد. سپس او میتواند به حساب کاربری هدف وارد شود.
علاوه بر فیسبوک، محققان نشان دادهاند، هر خدمات دیگری که از پیام کوتاه برای تائید هویت حساب کاربری استفاده میکند، ازجمله جیمیل و توئیتر، میتواند با روش مشابه مورد بهرهبرداری سوء قرار گیرد.
اگرچه اپراتورهای شبکه نمیتوانند این مشکل را بهسرعت وصله کنند، کاربران گوشیهای هوشمند میتوانند برخی کارها را انجام دهند:
- شماره تماس خود را با وبگاههای شبکههای اجتماعی پیوند ندهید. بهجای آن فقط از روش بازیابی کلمه عبور از طریق رایانامه استفاده کنید.
- از احرازهای هویت دوعاملی استفاده کنید که از پیامهای کوتاه برای کدهای دریافتی استفاده نمیکنند.
- از برنامههای ارتباطی استفاده کنید که رمزنگاری انتها به انتها دارند تا بدینترتیب دادههایتان پیش از ارسال رمزنگاری شوند.
شایانذکر است آسیبپذیری گفتهشده اشکال فیسبوک و یا سایر وبگاههای شبکه اجتماعی نبوده بلکه ضعفی در شبکه ارتباطی است.
سخنگوی فیسبوک میگوید: «از آنجا که این روش (بهرهبرداری SSL) نیاز به دانش فنی و سرمایهای خاص دارد، خطر قابلتوجهی اکثر کاربران را تهدید نمیکند. بهعنوان عامل پیشگیرنده توصیه میکنیم احزار هویت دوعاملی با نام Login Approval را از بخش تنظیمات امنیتی فیسبوک فعال کنید. بدینترتیب بازیابی از طریق پیام کوتاه غیرفعال شده و اگر کسی شماره تماس شما را داشته باشد، هنوز هم برای دسترسی به حساب کاربریتان به کلمه عبور نیاز دارد.»