كيفية اختراق حسابات الفيسبوك؟ فقط أسأل أهدافك لفتح رابط
إنه عام 2020 ، والنقر فوق عنوان URL الذي تم إنشاؤه خصيصًا قد سمح للمهاجم باختراق حسابك على Facebook دون أي تفاعل آخر.
اكتشف باحث أمني ثغرة أمنية حرجة في مواقع التزوير (CSRF) في أكثر منصات الوسائط الاجتماعية شيوعًا والتي كان من الممكن أن يُسمح للمهاجمين باختطاف حسابات Facebook من خلال خداع المستخدمين المستهدفين ببساطة بالنقر فوق رابط.
اكتشف الباحث ، الذي ينتمي إلى الاسم المستعار على الإنترنت "Samm0uda" ، مشكلة عدم الحصانة بعد أن اكتشف نقطة نهاية معيبة (facebook.com/comet/dialog_DONOTUSE/) يمكن استغلالها لتجاوز حماية CSRF وحساب ضحية الاستيلاء.
يقول الباحث في مدونته: "هذا ممكن نظرًا لوجود نقطة نهاية مستضعفة تأخذ نقطة نهاية معينة على Facebook يختارها المهاجم إلى جانب المعلمات وتقدم طلبًا POST إلى نقطة النهاية هذه بعد إضافة المعلمة fb_dtsg" ."كما تقع نقطة النهاية هذه تحت النطاق الرئيسي www.facebook.com مما يسهل على المهاجم خداع ضحاياه لزيارة عنوان URL."
كل ما يتعين على المهاجم القيام به هو خداع الضحايا للنقر على عنوان URL خاص بـ Facebook ، كما هو مذكور في مدونته ، وهو مصمم لأداء إجراءات مختلفة مثل نشر أي شيء على جدولهم الزمني ، وتغيير أو حذف صورة ملفهم الشخصي ، وحتى خداع المستخدمين إلى حذف حسابات الفيسبوك كاملة.
1-انقر فوق "استغلال" لتولي حسابات Facebook بالكامل
تتطلب السيطرة الكاملة على حسابات الضحايا أو خداعهم في حذف حساب Facebook بالكامل بعض الجهود الإضافية من جانب المهاجم ، حيث يحتاج الضحايا إلى إدخال كلمة المرور الخاصة بهم قبل حذف الحساب.
للقيام بذلك ، قال الباحث إنه سيتطلب من الضحايا زيارة اثنين من عناوين URL منفصلة ، واحد لإضافة البريد الإلكتروني أو رقم الهاتف والآخر لتأكيد ذلك.
هذا "لأن نقاط النهاية" العادية "المستخدمة لإضافة رسائل البريد الإلكتروني أو أرقام الهواتف لا تحتوي على معلمة" التالي "لإعادة توجيه المستخدم بعد طلب ناجح" ، كما يقول الباحث.
ومع ذلك ، لا يزال الباحث يجعل عملية الاستيلاء الكاملة على الحساب ممكنة باستخدام عنوان URL واحد عن طريق إيجاد نقاط النهاية التي توجد فيها المعلمة "التالي" وترخيص تطبيق ضار نيابة عن الضحايا والحصول على الرمز المميز للوصول إلى Facebook.
ومع ذلك ، لا يزال الباحث يجعل عملية الاستيلاء الكاملة على الحساب ممكنة باستخدام عنوان URL واحد عن طريق إيجاد نقاط النهاية التي توجد فيها المعلمة "التالي" وترخيص تطبيق ضار نيابة عن الضحايا والحصول على الرمز المميز للوصول إلى Facebook.
من خلال الوصول إلى رموز المصادقة الخاصة بالضحايا ، يضيف الاستغلال تلقائيًا عنوان بريد إلكتروني يسيطر عليه المهاجمون إلى حسابهم ، مما يسمح للمهاجم بالسيطرة الكاملة على الحسابات عن طريق إعادة تعيين كلمات المرور الخاصة بهم وإغلاق المستخدمين الشرعيين عن حساباتهم على Facebook.
على الرغم من أن اختراق حساب Facebook بالكامل تضمن خطوات متعددة ، إلا أن الباحث قال إن الاستغلال الكامل بنقرة واحدة كان سيسمح لأي مستخدم ضار باختطاف حسابك على Facebook "في غمضة عين".
يمكن تخفيف هجمات الاستيلاء على الحساب هذه إذا قمت بتمكين المصادقة الثنائية لحساب Facebook الخاص بك ، ومنع المتسللين من تسجيل الدخول إلى حساباتك حتى أو ما لم يتحققوا من رمز المرور المكون من 6 أرقام الذي تم إرساله إلى جهازك المحمول.
ومع ذلك ، فإن أي تخفيف لا يمكن أن يمنع المتسللين من القيام ببعض الإجراءات نيابة عنك للاستفادة من هذه الثغرة الأمنية ، مثل تغيير أو حذف صور ملفك الشخصي أو ألبوماتك أو نشر أي شيء على الجدول الزمني الخاص بك.
أبلغ Samm0uda عن ثغرة أمنية في تفاصيل استغلاله لفيسبوك في 26 يناير. وقد أقر عملاق وسائل التواصل الاجتماعي بالمشكلة وتناولها في 31 يناير ، ومكافأًا الباحث بمبلغ 25000 دولار كجزء من برنامج مكافآت الأخطاء في Facebook.