Vorheriger Artikel Nächster Artikel

Facebook-Hack: So schnell kannst du deinen Account los sein

Ein Sicherheitsexperte zeigte auf einer Security-Konferenz in Brasilien, wie man mit einem simplen Facebook-Hack innerhalb von 24 Stunden einen fremden Facebook-Account übernehmen kann. Dabei helfen die eigenen Freunde kräftig mit.

Facebook-Hack: So schnell kannst du deinen Account los sein

Facebook-Hack: Mit einfachen Mitteln fremde Accounts übernehmen

Der Sicherheitschef des brasilianischen Unternehmens UOLDiveo Nelson Neto hat auf der Silver Bullet Conference eine ganz einfache Methode vorgestellt, mit deren Hilfe man ein fremdes Facebook-Konto übernehmen kann. Zunächst müsse man sich dazu ein Ziel aussuchen, im dem vorgestellten Beispiel ein Manager, und genügend persönliche Informationen über die Zielperson recherchieren. Neto nutzte dazu Informationen, die er bei Amazon und LinkedIn gefunden hat. Mit diesen Informationen hat er dann einen Klon-Account aufgesetzt, der mit authentischen Informationen und einem echten Profilbild bestückt war.

Der beschriebene Facebook-Hack nutzt ein neues Sicherheitsfeature von Facebook aus.

Anschließend versendete er 432 Freundschaftsanfragen an die Freunde der Freunde der Zielperson und 436 Freundschaftsanfragen an die direkten Freunde. Innerhalb der ersten Stunde bestätigten 24 Personen aus der ersten und 14 Personen aus der zweiten Gruppe die Freundschaftsanfragen. Nach sieben Stunden gelang es Neto auch die Sicherheitsexpertin des Managers von dem Profil zu überzeugen und sie akzeptierte ebenfalls die Freundschaftsanfrage.

Facebook-Hack nutzt Sicherheitsfeature

Zu diesem Zeitpunkt war trotz allem noch nicht viel passiert, doch jetzt ging Neto noch einen Schritt weiter und nutzte eine Funktion von , die eigentlich der Sicherheit dienen soll, zur Übernahme des echten Accounts der Zielperson. Die Password-Recovery-Methode „Three Trusted Friends“, die Facebook erst im Oktober eingeführt hatte, soll eigentlich in Fällen helfen, bei denen die Nutzer, aus welchen Gründen auch immer, keinen Zugriff mehr auf die Haupt-E-Mail-Adresse haben. Sie lässt sich bei diesem Facebook-Hack aber auch dazu nutzen, einen fremden Account zu übernehmen. Dazu gibt man einfach drei der bestätigten neuen Freunde an, die dann die Echtheit bestätigen sollen. Tun sie das, kann der Hacker das Passwort und auch die E-Mail-Adresse ändern und erhält vollen Zugriff auf das Profil der Zielperson.

Fazit

Ob der Facebook-Hack so tatsächlich funktioniert, haben wir natürlich nicht getestet. Es gibt dabei noch ein paar Probleme, die für einen erfolgreichen Zugriff auf das fremde Profil zu lösen sind. Die verraten wir an dieser Stelle aus guten Gründen aber nicht und die werden auch bei Ars Technica nicht erwähnt. Dennoch scheint dieser Facebook-Hack zumindest in der Theorie zu funktionieren und er dürfte auch schon für Account-Hacks genutzt worden sein. Wie oft das wirklich vorkommt, behält Facebook aber für sich.

Was man konkret machen kann, wenn man einem Facebook-Hacker zum Opfer gefallen ist, haben wir euch hier beschrieben.

Weiterführende Links zum Thema Facebook-Hack:

Vorheriger Artikel Zurück zur Startseite Nächster Artikel
10 Antworten
  1. von Lukas Koch am 01.12.2011 (13:59 Uhr)

    "(...) Es gibt dabei noch ein paar Probleme, die für einen erfolgreichen Zugriff auf das fremde Profil zu lösen sind. Die verraten wir an dieser Stelle aus guten Gründen aber nicht (...)"

    Man kann die Seite von T3N hacken. Wie? Verrate ich nicht.
    Man kann die Identitäten der T3N Mitarbeiter stehlen. Wie? Verrate ich nicht.
    Man kann...

    Danke für die Aufklärung Herr Hedemann. Es ist gut zu wissen was Leute mit bösen Absichten alles können. Noch viel besser ist es, wenn man nicht weiß wie man sich dagegen schützen kann. Es ist immer gut Angriffsmöglichkeiten vor der Öffentlichkeit zu verbergen. Damit nur die Angreifer wissen wie es geht.

    Um ehrlich zu sein, ein ganz schön sinnloser Artikel. Ich könnte ihn umschreiben. Wie? Verrate ich nicht.

    Antworten Teilen
    • von Falk Hedemann am 01.12.2011 (14:07 Uhr)

      Hallo Her Koch,„Es ist immer gut Angriffsmöglichkeiten vor der Öffentlichkeit zu verbergen. Damit nur die Angreifer wissen wie es geht.“Das sehe ich anders und das ist auch der Sinn des Artikels ;-) Komplette, funktionierende Anleitungen gibt es im Netz sicher auch, aber eben nicht bei uns. Auf potentielle Gefahrenquellen aufmerksam machen, halte ich dagegen für wichtig.Viele Grüße,
      Falk Hedemann

      Antworten Teilen
  2. von Lukas Koch am 01.12.2011 (14:19 Uhr)

    Hi,

    "(...)Auf potentielle Gefahrenquellen aufmerksam machen(...),

    ja genau das ist es ja was mich ärgert. Ich halte diese Methode so wie Sie es in Ihrem Artikel beschrieben haben für sehr unwahrscheinlich. Wie soll man den mit einem Fake Account, bei dem das echte Gegenstück bereits existiert erfolg haben? Wenn ich von einem meiner Freunde eine zweite Freundschaftsanfrage bekommen würde, dann bin ich doch automatisch verunsichert was da los ist? Man fragt nach, will wissen weshalb man sich erneut gemeldet hat. Spätestens am nächsten Tag im Büro fragt man doch seinen Freund weshalb er den einen neuen leeren Account angelegt hat etc. etc.

    "(...)Nach sieben Stunden gelang es Neto auch die Sicherheitsexpertin des Managers von dem Profil zu überzeugen und sie akzeptierte ebenfalls die Freundschaftsanfrage.(...)

    Was ist damit gemeint? Welche Sicherheitsexpertin? seine Frau? Geschafft zu überzeugen? Wie? Per Nachrichten? Posts auf die Pinnwand? Was ein Quatsch. Ein Griff zum Telefonhörer und die Geschichte hat sich aufgeklärt. Welche Freunde sich denn bitte so doof und bestätigen irgendwelche Accounts?

    Sorry, aber mit diesem Informationsgehalt im Artikel kommt mir das ein wenig wie eine banale Geschichte daher. Weil ich allerdings vermute, dass es durchaus klappen könnte, bin ich sauer das Ihr Artikel so wenig die Probleme dabei beleuchtet hat. Bei mir ist der Eindruck entstanden, dass ich mir keine weiteren Sorgen darum machen muss.

    Okay, dass war jetzt ein kleiner bunter Mix in meinem Kommentar ;-), hoffe Sie verstehen meinen Punkt.
    Liebe Grüße.

    Antworten Teilen
    • von Falk Hedemann am 01.12.2011 (14:33 Uhr)

      Facebook hat weltweit über 800 Millionen Nutzer - die ticken nicht alle gleich und sind nicht alle so technikaffin wie man es nach eigenen Maßstäben erwarten würde. Gerade deshalb funktionieren bei Facebook doch viele simple Phishing-Methoden und eben auch andere Betrügereien.
      Ich bekomme mindestens einmal in der Woche eine Freundschaftsanfrage, die ich deshalb nicht annehme, weil mir der Account suspekt vorkommt. Ein Klick auf Ignore, fertig. Das macht aber sicher nicht jeder, wie das Beispiel ja auch bewiesen hat. Man sollte da auch etwas über die eigene Handlungsweisen hinausdenken ;-)Wenn sich nun ein Unternehmensmanager mit einer Freundschaftsanfrage an einen Mitarbeiter wendet, stellt sich der Normaluser sicher die Frage: Kann ich die ablehnen? Und wenn das Profil schon einige bekannte Freunde, womöglich auch andere Kollegen aufweist, dann wird wohl niemand ernsthaft auf die Idee kommen den Chef per Telefon zu belästigen - so man denn die Nummer überhaupt hat.Die „Geschichte“ kann übrigens auch noch bei Ars Technica (siehe erster Link) nachgelesen werden. Vielleicht klären sich so noch einige Irritationen...

      Antworten Teilen
  3. von Steffen am 01.12.2011 (14:33 Uhr)

    Mal doof gefragt an t3n: Habt Ihr Facebook darauf hingewiesen? Wäre doch der logische Weg, oder?

    Antworten Teilen
  4. von xxxx am 01.12.2011 (14:34 Uhr)

    Hmmm hätte gerade mal Lust das zu testen- neugierig bin.....
    Aber nein- Pfoten davon lass

    Antworten Teilen
  5. von Falk Hedemann am 01.12.2011 (14:35 Uhr)

    @Steffen: Die Reaktion von Facebook ist bei Ars Technica nachzulesen. Die Kurzform: Das ist eine Verletzung der Nutzungsbestimmungen...

    Antworten Teilen
  6. von dominik am 01.12.2011 (16:39 Uhr)

    Also erstens mal ist das kein hack ;) aber ein guter versuch zumindest. schützen kann man sich davon recht einfach, man stellt sein privatsphäre auf nur freunde und gibt nicht so viel von sich im internet preis. so ist das klonen eines accounts gar nicht erst möglich. und sry an facebook aber 3 freunde??? Die kriegt man ja recht schnell zusammen. wer kommt den auf so ne scheiß idee....
    gefällt mir NICHT

    Antworten Teilen
  7. von Jimmy am 06.12.2011 (15:09 Uhr)

    Ähm ich kann dem ganzen gar nicht folgen. Wenn ich einen Account habe mit den selben Freunden des Zielaccounts...wie bitte komme ich denn dann an dessen Zugangsdaten?

    Angenommen ich versuche mich mit seiner Email anzumelden um dann die potentielle Freunde angeben zu können ... dann brauch ich doch gar keinen FakeAccount?! Denn wenn ich die Freunde kenne von der Zielperson, dann gebe ich die da einfach an.
    Müsste man die andernfalls über den erzeugten FakeAccount wählen, dann würden die immerhin ja nur die "Echtheit" des FakeAccounts bestätigen und der "Hacker" würde in dem Fall nur die Zugangsdaten zu seinem FakeAccount bekommen, richtig?

    Ich kann mir also nicht vorstellen, dass dies wirklich funktionieren soll!

    Antworten Teilen
  8. von jack am 26.04.2012 (01:09 Uhr)

    is ja lustig... geht aber ganz easy das mit facebook ;)

    Antworten Teilen
Deine Meinung

Bitte melde dich an!

Du musst angemeldet sein, um einen Kommentar schreiben zu können.

Jetzt anmelden

Mehr zum Thema Facebook
PrivateCore: Dieses Startup soll Facebook vor Attacken schützen
PrivateCore: Dieses Startup soll Facebook vor Attacken schützen

Das Social Network übernimmt den Anbieter einer Sicherheitslösung, die sich auf den Schutz von Servern und Datencentern spezialisiert hat. Das zwei Jahre alte Unternehmen setzt diese Technologie … » weiterlesen

PayPal: Sicherheitsexperten umgehen Zwei-Faktor-Authentifizierung
PayPal: Sicherheitsexperten umgehen Zwei-Faktor-Authentifizierung

Sicherheitsexperten von Duo Security haben einen Weg gefunden, die Zwei-Faktor-Authentifizierung von PayPal zu umgehen. Dadurch würde der Sicherheitsgewinn durch die Technik praktisch ausgehebelt. » weiterlesen

Klickbetrug im Werbemarkt: Neue Technik soll Bot-Aufrufe erkennen können
Klickbetrug im Werbemarkt: Neue Technik soll Bot-Aufrufe erkennen können

Klickbetrug kostet Werbetreibende Milliarden. Ein großer Teil der Klicks auf Anzeigen soll von fremdgesteuerten Botnetzen stammen. Ein US-Unternehmen will nun eine Lösung gefunden haben, die … » weiterlesen

Kennst Du schon unser t3n Magazin?

t3n 37 jetzt kostenfrei probelesen! Alle Inhalte des t3n Magazins Diesen Hinweis verbergen