Amikor egy Facebook-fiók feltörése kerül szóba, a legtöbb ember úgy képzeli el, hogy egy fekete kapucnis srác mindenféle parancsokat gépel egy fekete terminálba egy sötét szobában ülve, majd percekkel később kijelenti, hogy „bejutottam”. A valóságban a dolog nem ennyire misztikus, de egy olvasói levélnek köszönhetően most azt is megtudhatjátok, hogy mennyire gyenge lábakon áll a Facebook védelme.
Bár a Facebook rendszerében időnként sebezhetőségeket is felfedeznek, egy átlagos támadó nem fog hónapokat tölteni a weboldal vizsgálatával csak azért, hogy egy potenciális áldozat fiókja felett átvegye az irányítást. Egyszerűen nem éri meg, ha van rá sokkal egyszerűbb megoldás is, ami akár 10 perc alatt kivitelezhető.
Az egyszerű módszer átverésre épül
A támadó megnyitja a Facebook (bejelentkező) oldalát, majd lemásolja az oldal kódját, és elhelyezi egy index.html szövegfájlban egy mezei Jegyzettömb, vagy bármilyen más editor segítségével.
A kódban megkeresi a login_form kifejezést, majd az utána következő action részben kicseréli a https://facebook.com/login.php webcímet egy sima login.php-re.
Létrehoz egy login.php fájlt, majd elhelyez benne egy olyan PHP kódot, ami elkapja és egy TXT fájlban letárolja a bejelentkezési adatokat. Ezzel tele van az internet, legrosszabb esetben is 4-5 sornyi kódról van szó, amit a támadónak még csak értenie sem kell.
Egy ingyenes tárhelyszolgáltatónál regisztrál egy fiókot, feltölti rá az index.html és a login.php fájlokat, majd a kapott webcímet elküldi az áldozat számára.
Az áldozat megnyitja a linket, ami kidobja a hamis Facebook bejelentkezőlapra. Az áldozat nem nézi a webcímet, hanem automatikusan megadja a bejelentkezési adatokat. A hamis login.php visszairányítja az igazi Facebookra, amiről amúgy ki sem lett jelentkeztetve, de közben a bejelentkezési adatokat lementi egy fájlba az ingyenes tárhelyen. A támadó így hozzájuthat az áldozat Facebook bejelentkezési adataihoz.
A Facebook viszont megállítja a támadót. Vagy mégsem?
A neve elhallgatását kérő levélíró is elkészítette a maga hamis Facebook bejelentkezőlapját és elküldte néhány embernek. Szinte mindenki bedőlt az átverésnek, a TXT fájlban pedig szépen gyűltek a felhasználónév-jelszó párosok.
Csakhogy a Facebook rendelkezik egy intelligens védelmi rendszerrel, aminek meg kellene akadályoznia a támadót a megszerzett adatokkal való bejelentkezésben. Nevezetesen az áldozat 5 ismerősét kell felismernie fotókról. – A megoldás koncepciója elvileg elfogadható szintű védelmet nyújtana az ismeretlen forrásból származó bejelentkezési kísérletekkel szemben.
A levélíró is megkapta az ismerős-felismerő ellenőrzést, de mivel a közös ismerősökön túl számára is voltak ismeretlen emberek, elbukott az ellenőrzésen. A Facebook rendszere viszont a következő próbálkozásoknál egy ismeretlen hiba következtében már nem állította meg ellenőrzéssel, és
minden áldozat fiókjába azonnal beengedte.
Kipróbáltuk, a levélíró állítása megállja a helyét, ráadásul távoli VPN-eken keresztül is működik. – A Facebooknak tehát nem tűnt fel, hogy az áldozat néhány perces eltérésekkel különböző földrészekről, egy ismeretlen böngészővel próbál bejelentkezni, néhány elbukott próbálkozás után pedig annyira összebarátkozott a támadó IP-jével, hogy azt onnantól minden áldozatnál egységesen megbízhatónak tekintette.
Hogyan lehet védekezni ellene?
Az valószínűleg mindenki számára egyértelmű, hogy nagyon súlyos problémáról van szó, hiszen még egy tapasztalt internetezőt is könnyedén át lehet verni egy ilyen módszerrel. A levélíró elmondása szerint ráadásul 10-ből 10 embernek nem tűnt fel, hogy bejelentkezéskor a webcím helyén nem a Facebook.com volt látható – egyszerűen csak sietett, hogy megnézhesse, milyen linket kapott.
A támadási módszer ellen szerencsére több módon is védekezhetünk. Az egyik, hogy figyeljünk oda a bejelentkezésnél a felső webcím mezőben található URL-re! Ha nem a www.facebook.com az, ne adjuk meg az adatainkat, inkább gépeljük be manuálisan a Facebook webcímét, és ellenőrizzük, valóban ki vagyunk-e jelentkezve!
A másik a Facebook-profilunk biztonságának megerősítése, amit a facebook.com/settings?tab=security oldalon végezhetünk el. Itt kérjünk Belépési figyelmeztetéseket mind értesítés, mind e-mail formájában, a Bejelentkezés-jóváhagyásokkal pedig SMS-kódot kérhetünk az ismeretlen bejelentkezéseknél, ami szinte ellehetetleníti a támadó célját.