如果讀者有將Facebook帳號與手機號碼連結的話,可就要小心了。根據富比士報導,攻擊者只要知道受害者的手機號碼,就能使用Facebook的忘記密碼功能,並在重新設定密碼的過程中,透過SS7電信系統的漏洞,竊取透過手機簡訊傳送的認證碼,如此一來攻擊者就能重設受害者Facebook帳號的密碼,並取得帳號控制權。
透過SS7漏洞進行攻擊
在說明如何竊取Facebook帳號之前,筆者需要先簡單介紹一下SS7。SS7為Signaling System Number 7(第七號發信系統)的縮寫,是種電話信令通訊協定,根據The Hacker News報導,全球有超過800個電信商使用這種協定與其他電信商交換資訊、提供漫遊服務等功能。不過SS7卻有著資安漏洞,讓攻擊者能夠竊聽受害者的語音通話、竊取簡訊,然而這個漏洞最可怕的地方在於,攻擊者需要的資料僅有受害者的電話號碼以及些許設備資料。
在攻擊者可以竊取受害者簡訊的情況下,攻擊者可以在竊取Facebook帳號的過程中,使用Facebook提供的忘記密碼功能。當系統詢問受害者要以E-Mail或是手機簡訊傳送一次性動態認證密碼(OTP密碼)時,選擇以手機簡訊傳送,並竊取簡訊,就能取得認證密碼,進而重新設定受害者Facebook帳號的密碼,並取得帳號控制權。
▲攻擊者可以透過忘記密碼功能竊取受害者的Facebook帳號。
攻擊手法實作示範
Hackers Can Steal Your Facebook Account With Just A Phone Number一文的作者Thomas Fox-Brewster,也錄製了攻擊手法實作的示範影片。在影片中可以看到攻擊者透過竊取簡訊的方式,取得重新設定Facebook密碼的權限,並以新密碼登入受害者Facebook帳號,取得帳號的完整控制權。
基本上這個攻擊手法,可以應用在任何透過簡訊傳送重設密碼資訊的服務,例如WhatsApp與Telegram也都可以用類似的方式,竊取帳號控制權。目前使用者能做的因應措施除了有避免將帳號與手機號碼連結,並移除已綁定的手機號碼之外,還可以開啟非經過簡訊傳送密碼的兩步驟驗證(Two-Factor Authentication)功能,以免將自己的帳號曝露在風險之下。
不過需要注意的是,若要在Facebook使用兩步驟驗證功能,就必需要綁定手機號碼,因此筆者建議參考此篇教學,暫時移除手機號碼。待日後若Facebook開放不需綁定手機號碼即可開啟兩步驟驗證功能時,再使用該功能。
▲竊取Facebook帳號攻擊手法實作的示範影片。
▲在攻擊的一開始,需要進入Facebook的忘記密碼功能。
▲然後選擇以透過手機簡訊接收更改密碼的認證碼。
▲在竊取手機簡訊部分,則可透過攻擊SS7伺服器,取得相關資訊。
▲取得相關資訊後,接著架設假的慢遊服務,就能讀取所有發送給受害者的簡訊。
▲如此一來就能輕鬆竊取認證碼。
▲可以看到此案例的認證碼為552785。
▲將認證碼輸入Facebook更改密碼的表單後......
▲攻擊者就能建立新密碼,並取得帳號的完整控制權。
延伸閱讀:
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!