Підтримка користувачів Facebook увімкнено

Команда служби підтримки клієнтів Facebook допоможе людині проникнути у ваш обліковий запис.

Користувач Reddit SquidWhale стверджує, що комусь вдалося змінити адресу електронної пошти, пароль і налаштування двофакторної автентифікації свого облікового запису Facebook, просто видаючи себе в повідомлення до команди підтримки клієнтів.

Повідомлення навіть не надсилалися з адреси електронної пошти, яка використовується для облікового запису Facebook, і представник служби підтримки клієнтів прийняв несправну ідентифікацію після того, як вони попросили хакера довести, що обліковий запис дійсно належить їм.

Це все, що потрібно для хакера, щоб отримати доступ до облікового запису. Як тільки це було зроблено, він змінив усі реєстраційні дані, видалив кілька сторінок Facebook, присвячених бізнесу власника облікового запису, і надіслав наречену власнику член.

Вся справа тривала чотири години від початку до кінця. Не має значення, що у хакера не було адреси електронної пошти або пароля власника облікового запису. Так, навіть неважливо, що власник облікового запису включив двофакторну автентифікацію.

Важливим було лише те, що підтримка клієнтів Facebook була готові змінити ці налаштування, незважаючи на всі червоні прапори - надсилаючи електронну пошту з неправильної адреси, стверджуючи, що не мають телефону, надаючи неправильний ідентифікатор - що з'явилося.

Все це завдяки техніці, що називається соціальною інженерією. Замість того, щоб порушувати шифрування, крадіжки даних або іншим чином використовувати технічні чари, щоб отримати доступ до чужої інформації, соціальна інженерія просто спирається на переконливу брехню.

Просто перегляньте це відео з Fusion "Справжнє майбутнє", на якому зображена жінка, яка отримує доступ до телефонного рахунку редактора Кевіна Руза з нічим іншим, як кліп YouTube плачучої дитини і деякий драматичний виступ:

Facebook не є єдиною компанією, вразливою до соціальної інженерії. Раніше цього року Amazon звинувачувався в наданні особистої інформації клієнта тому, хто видавав себе за них.

Нещодавно рахунок соціальних активістів DeRay McKesson був вкрадений через соціальну інженерію. Хакер поставив Маккесона під час дзвінка до Verizon, змінив SIM-карту, пов'язану з його номером, а потім скористався цим доступом, щоб обійти двофакторну аутентифікацію на рахунку McKesson.

Нарешті, SquidWhale отримав доступ до своїх рахунків. На нього повернувся обліковий запис Twitter McKesson. Але це не змінює того факту, що вони втратили доступ до важливих послуг, навіть якщо вони намагалися захистити себе.

Є тільки так багато людей, які можуть зробити, щоб захистити себе в Інтернеті. Використовуйте сильні, унікальні паролі. Не використовуйте один з цих жахливих паролів. Встановіть двофакторну аутентифікацію. Уникайте небезпечних з'єднань, які можуть дозволити комусь перехопити реєстраційні дані під час транзиту.

Цей власник бізнесу зробив всі ці речі. Однак, поки команди підтримки клієнтів можуть змінювати рахунки або шукати конфіденційну інформацію, завжди буде слабка ланка в метафоричній огорожі, що оточує особисті дані.

Facebook ще не відповів на запити на інтерв'ю з цього приводу, але ми будемо оновлювати цю історію, коли він це зробить.