Der Cybersicherheitsexperte Samip Aryal, der ganz oben auf der Facebook-Liste der „Kopfgeldjäger“ steht, hat kürzlich Informationen über eine Sicherheitslücke in dem sozialen Netzwerk veröffentlicht, die es Hackern ermöglicht, die Konten der Opfer auszunutzen. Das Problem wurde am 2. Februar entdeckt und behoben, der Öffentlichkeit jedoch erst einen Monat später (aufgrund von Sicherheitsbestimmungen) bekannt gegeben.
Laut Aryal hängt die Sicherheitslücke mit dem Facebook-Passwort-Reset-Prozess zusammen. Dabei handelt es sich um eine optionale Funktion, die einen sechsstelligen Authentifizierungscode an ein anderes Gerät sendet, mit dem sich der Benutzer angemeldet oder registriert hat. Dieser Code dient zur Authentifizierung des Benutzers und zum Abschluss des Passwort-Resets auf einem neuen Gerät (auf dem er sich zuvor nicht angemeldet hat).
Bei der Analyse der Abfragen stellte er fest, dass Facebook einen festen Authentifizierungscode (bei dem die Zahlenfolge nicht geändert wird) sendet, der zwei Stunden lang gültig ist und über keine Sicherheitsmaßnahmen gegen Brute-Force-Angriffe verfügt. Dabei handelt es sich um eine Art unbefugten Eindringens, bei dem alle möglichen Kennwortzeichenfolgen ausprobiert werden, um die richtige Zeichenfolge zu finden.
Facebook-Konto wurde nur durch Scannen des Login-Codes gehackt
Das bedeutet, dass der Angreifer innerhalb von zwei Stunden nach dem Senden des Codes unzählige Male den falschen Aktivierungscode eingeben kann, ohne dass Facebook auf Schutzmaßnahmen stößt. Normalerweise sperrt ein Sicherheitssystem den Login-Zugang für das verdächtige Konto vorübergehend, wenn der falsche Code oder das falsche Passwort häufiger als die angegebene Anzahl eingegeben wird.
Für normale Menschen sind 2 Stunden vielleicht nicht viel, für Hacker, die Support-Tools verwenden, ist es jedoch durchaus möglich.
Ein Angreifer muss lediglich den Anmeldenamen des Zielkontos kennen, um eine Anfrage für einen Verifizierungscode senden zu können. Anschließend kann er die Brute-Force-Methode zwei Stunden lang kontinuierlich anwenden, bis das Ergebnis so ist, dass es einfach ist, das neue Passwort zurückzusetzen, die Kontrolle zu übernehmen und die Zugriffssitzungen des wahren Besitzers „rauszuwerfen“, bevor dieser etwas tun kann.
Herr Vu Ngoc Son, Technologiedirektor von NCS, sagte, dass diese Art von Angriffen vom Benutzer nicht verhindert werden könne und als 0-Klick-Angriff bezeichnet werde. Bei dieser Art können Hacker das Konto des Opfers stehlen, ohne dass dieses etwas tun muss.
„Wenn diese Sicherheitslücke ausgenutzt wird, erhält das Opfer eine Benachrichtigung von Facebook. Wenn Sie also plötzlich eine Benachrichtigung von Facebook zur Passwortwiederherstellung erhalten, ist es sehr wahrscheinlich, dass Ihr Konto angegriffen und übernommen wird“, erklärte Herr Son. Der Experte sagte, dass Benutzer bei Sicherheitslücken wie der oben genannten nur darauf warten können, dass der Anbieter den Fehler behebt.
Facebook ist in vielen Ländern der Welt , darunter auch Vietnam, ein beliebtes soziales Netzwerk. Die Nutzer veröffentlichen und speichern während der Nutzung zahlreiche persönliche Daten. Daher zielen Hacker häufig darauf ab, Konten auf der Plattform anzugreifen und die Kontrolle über diese zu übernehmen, um betrügerische Aktivitäten durchzuführen.
Zu den bekanntesten Methoden zählt die Nachahmung des Opfers und die Kontaktaufnahme mit Verwandten in der Freundesliste, um Geldtransfers zu erbitten und so Geld zu erschleichen. Diese Methode, die Deepfake-Technologie zur Fälschung von Videoanrufen nutzt, hat schon viele Menschen in die Falle gelockt. Um mehr Vertrauen zu schaffen, kaufen und verkaufen die Betrüger auch Bankkonten mit dem gleichen Namen wie der Facebook-Kontoinhaber, um ihren Betrug einfacher durchführen zu können.
Eine weitere Form besteht darin, das Konto zu kapern und dann zu verwenden, um Links oder Dateien mit Schadcode zu versenden, die sich in sozialen Netzwerken verbreiten. Diese Schadcodes haben die Aufgabe, persönliche Informationen (wie Bankkontonummern, Fotos, Kontakte, Nachrichten und viele andere im Speicher des Geräts gespeicherte Daten) anzugreifen und zu stehlen, nachdem sie auf dem Zielgerät (dem vom Opfer verwendeten Gerät) aktiviert wurden.
[Anzeige_2]
Quellenlink
![[Foto] Premierminister Pham Minh Chinh leitete eine Sitzung des Lenkungsausschusses zur Anordnung öffentlicher Dienstleistungseinheiten unter Ministerien, Zweigstellen und Kommunen.](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/10/06/1759767137532_dsc-8743-jpg.webp)
![[Foto] Premierminister Pham Minh Chinh leitet eine Sitzung des Ständigen Regierungsausschusses, um Hindernisse für Projekte zu beseitigen.](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/10/06/1759768638313_dsc-9023-jpg.webp)
Kommentar (0)