심각한 취약점으로 해커가 Facebook 계정을 공격할 수 있다

페이스북의 "바운티 헌터" 명단 최상위에 있는 사이버 보안 전문가 사밉 아얄이 해커들이 피해자 계정을 악용할 수 있는 이 소셜 네트워크의 보안 취약점에 대한 정보를 발표했습니다. 이 취약점은 2월 2일에 발견되어 패치되었지만, 보안 규정으로 인해 한 달이 지나서야 공개되었습니다.

Aryal에 따르면, 이 취약점은 사용자가 로그인했거나 등록한 다른 기기로 6자리 인증 코드를 전송하는 선택적 기능을 통해 Facebook 비밀번호 재설정 프로세스와 관련이 있습니다. 이 코드는 사용자를 인증하고 이전에 로그인한 적이 없는 새 기기에서 비밀번호 재설정 프로세스를 완료하는 데 사용됩니다.

쿼리 분석 중에 그는 Facebook이 2시간 동안 유효한 고정된 인증 코드(숫자 순서를 변경하지 않음)를 전송하고, 모든 가능한 비밀번호 문자열을 시도하여 올바른 문자 순서를 찾는 방법인 무차별 대입 공격을 방지하는 보안 조치가 없다는 것을 발견했습니다.

즉, 코드를 전송한 후 2시간 이내에 공격자는 페이스북 시스템의 어떠한 예방 조치도 받지 않고 잘못된 활성화 코드를 수없이 입력할 수 있습니다. 일반적으로 잘못된 코드나 비밀번호를 지정된 횟수 이상 입력하면 보안 시스템이 의심스러운 계정의 로그인 권한을 일시적으로 차단합니다.

일반인에게는 2시간이 그리 길지 않을 수 있지만, 지원 도구를 사용하는 해커에게는 충분히 가능한 일입니다.

공격자는 대상 계정의 로그인 이름만 알면 확인 코드 요청을 보낼 수 있고, 2시간 동안 계속해서 무차별 대입 공격을 가하면 새로운 비밀번호를 재설정하고, 통제권을 장악하고, 실제 소유자의 액세스 세션을 "추방"하여 아무것도 할 수 없게 됩니다.

NCS 기술 책임자인 부 응옥 손 씨는 이러한 유형의 공격은 사용자가 막을 수 없는 수준이며, '0-클릭 공격'이라고 불린다고 말했습니다. 이 공격을 통해 해커는 피해자의 어떠한 조치도 취하지 않고도 계정을 탈취할 수 있습니다.

"이 취약점이 악용되면 피해자는 페이스북으로부터 알림을 받게 됩니다. 따라서 페이스북으로부터 비밀번호 복구 알림을 갑자기 받는다면 계정이 공격받아 도용당했을 가능성이 매우 높습니다."라고 손 씨는 말했습니다. 전문가는 위에서 언급한 것과 같은 취약점이 있는 경우, 사용자는 공급업체가 오류를 패치할 때까지 기다릴 수밖에 없다고 말했습니다.

페이스북은 베트남을 포함한 전 세계 여러 국가에서 인기 있는 소셜 네트워크이며, 사용자들은 사용 과정에서 많은 개인 정보를 게시하고 저장합니다. 따라서 해커들은 플랫폼 계정을 공격하고 장악하여 사기 행위를 저지르는 경우가 많습니다.

이 중 가장 두드러지는 수법은 피해자를 사칭하여 친구 목록에 있는 가족에게 연락하여 송금을 요청하고 돈을 빼가는 것입니다. 딥페이크 기술을 이용한 영상 통화 조작 수법으로 많은 사람들이 속았습니다. 사기꾼들은 신뢰를 쌓기 위해 페이스북 계정 소유자와 동일한 이름으로 은행 계좌를 매매하여 사기를 쉽게 저지릅니다.

또 다른 수법은 계정을 탈취한 후 악성 코드가 포함된 링크나 파일을 전송하여 소셜 네트워크에 유포하는 것입니다. 이러한 악성 코드는 대상 기기(피해자가 사용하는 기기)에서 활성화된 후 개인 정보(예: 은행 계좌 번호, 사진, 연락처, 메시지 및 기기 메모리에 저장된 여러 유형의 데이터)를 공격하고 훔치는 것을 목표로 합니다.