Anzeige
Anzeige
News
Artikel merken

Facebook-Hack: So schnell kannst du deinen Account los sein

Ein Sicherheitsexperte zeigte auf einer Security-Konferenz in Brasilien, wie man mit einem simplen Facebook-Hack innerhalb von 24 Stunden einen fremden Facebook-Account übernehmen kann. Dabei helfen die eigenen Freunde kräftig mit.

Von Falk Hedemann
2 Min. Lesezeit
Anzeige
Anzeige

Facebook-Hack: Mit einfachen Mitteln fremde Accounts übernehmen

Der Sicherheitschef des brasilianischen Unternehmens UOLDiveo Nelson Neto hat auf der Silver Bullet Security Conference eine ganz einfache Methode vorgestellt, mit deren Hilfe man ein fremdes Facebook-Konto übernehmen kann. Zunächst müsse man sich dazu ein Ziel aussuchen, im dem vorgestellten Beispiel ein Manager, und genügend persönliche Informationen über die Zielperson recherchieren. Neto nutzte dazu Informationen, die er bei Amazon und LinkedIn gefunden hat. Mit diesen Informationen hat er dann einen Klon-Account aufgesetzt, der mit authentischen Informationen und einem echten Profilbild bestückt war.

Der beschriebene Facebook-Hack nutzt ein neues Sicherheitsfeature von Facebook aus.

Anzeige
Anzeige

Anschließend versendete er 432 Freundschaftsanfragen an die Freunde der Freunde der Zielperson und 436 Freundschaftsanfragen an die direkten Freunde. Innerhalb der ersten Stunde bestätigten 24 Personen aus der ersten und 14 Personen aus der zweiten Gruppe die Freundschaftsanfragen. Nach sieben Stunden gelang es Neto auch die Sicherheitsexpertin des Managers von dem Profil zu überzeugen und sie akzeptierte ebenfalls die Freundschaftsanfrage.

Facebook-Hack nutzt Sicherheitsfeature

Zu diesem Zeitpunkt war trotz allem noch nicht viel passiert, doch jetzt ging Neto noch einen Schritt weiter und nutzte eine Funktion von Facebook, die eigentlich der Sicherheit dienen soll, zur Übernahme des echten Accounts der Zielperson. Die Password-Recovery-Methode „Three Trusted Friends“, die Facebook erst im Oktober eingeführt hatte, soll eigentlich in Fällen helfen, bei denen die Nutzer, aus welchen Gründen auch immer, keinen Zugriff mehr auf die Haupt-E-Mail-Adresse haben. Sie lässt sich bei diesem Facebook-Hack aber auch dazu nutzen, einen fremden Account zu übernehmen. Dazu gibt man einfach drei der bestätigten neuen Freunde an, die dann die Echtheit bestätigen sollen. Tun sie das, kann der Hacker das Passwort und auch die E-Mail-Adresse ändern und erhält vollen Zugriff auf das Profil der Zielperson.

Anzeige
Anzeige

Fazit

Ob der Facebook-Hack so tatsächlich funktioniert, haben wir natürlich nicht getestet. Es gibt dabei noch ein paar Probleme, die für einen erfolgreichen Zugriff auf das fremde Profil zu lösen sind. Die verraten wir an dieser Stelle aus guten Gründen aber nicht und die werden auch bei Ars Technica nicht erwähnt. Dennoch scheint dieser Facebook-Hack zumindest in der Theorie zu funktionieren und er dürfte auch schon für Account-Hacks genutzt worden sein. Wie oft das wirklich vorkommt, behält Facebook aber für sich.

Anzeige
Anzeige

Was man konkret machen kann, wenn man einem Facebook-Hacker zum Opfer gefallen ist, haben wir euch hier beschrieben.

 

Mehr zu diesem Thema
Fast fertig!

Bitte klicke auf den Link in der Bestätigungsmail, um deine Anmeldung abzuschließen.

Du willst noch weitere Infos zum Newsletter? Jetzt mehr erfahren

Anzeige
Anzeige
12 Kommentare
Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

Lukas Koch

„(…) Es gibt dabei noch ein paar Probleme, die für einen erfolgreichen Zugriff auf das fremde Profil zu lösen sind. Die verraten wir an dieser Stelle aus guten Gründen aber nicht (…)“

Man kann die Seite von T3N hacken. Wie? Verrate ich nicht.
Man kann die Identitäten der T3N Mitarbeiter stehlen. Wie? Verrate ich nicht.
Man kann…

Danke für die Aufklärung Herr Hedemann. Es ist gut zu wissen was Leute mit bösen Absichten alles können. Noch viel besser ist es, wenn man nicht weiß wie man sich dagegen schützen kann. Es ist immer gut Angriffsmöglichkeiten vor der Öffentlichkeit zu verbergen. Damit nur die Angreifer wissen wie es geht.

Um ehrlich zu sein, ein ganz schön sinnloser Artikel. Ich könnte ihn umschreiben. Wie? Verrate ich nicht.

Antworten
Falk Hedemann

Hallo Her Koch,

„Es ist immer gut Angriffsmöglichkeiten vor der Öffentlichkeit zu verbergen. Damit nur die Angreifer wissen wie es geht.“

Das sehe ich anders und das ist auch der Sinn des Artikels ;-) Komplette, funktionierende Anleitungen gibt es im Netz sicher auch, aber eben nicht bei uns. Auf potentielle Gefahrenquellen aufmerksam machen, halte ich dagegen für wichtig.

Viele Grüße,
Falk Hedemann

Antworten
Lukas Koch

Hi,

„(…)Auf potentielle Gefahrenquellen aufmerksam machen(…),

ja genau das ist es ja was mich ärgert. Ich halte diese Methode so wie Sie es in Ihrem Artikel beschrieben haben für sehr unwahrscheinlich. Wie soll man den mit einem Fake Account, bei dem das echte Gegenstück bereits existiert erfolg haben? Wenn ich von einem meiner Freunde eine zweite Freundschaftsanfrage bekommen würde, dann bin ich doch automatisch verunsichert was da los ist? Man fragt nach, will wissen weshalb man sich erneut gemeldet hat. Spätestens am nächsten Tag im Büro fragt man doch seinen Freund weshalb er den einen neuen leeren Account angelegt hat etc. etc.

„(…)Nach sieben Stunden gelang es Neto auch die Sicherheitsexpertin des Managers von dem Profil zu überzeugen und sie akzeptierte ebenfalls die Freundschaftsanfrage.(…)

Was ist damit gemeint? Welche Sicherheitsexpertin? seine Frau? Geschafft zu überzeugen? Wie? Per Nachrichten? Posts auf die Pinnwand? Was ein Quatsch. Ein Griff zum Telefonhörer und die Geschichte hat sich aufgeklärt. Welche Freunde sich denn bitte so doof und bestätigen irgendwelche Accounts?

Sorry, aber mit diesem Informationsgehalt im Artikel kommt mir das ein wenig wie eine banale Geschichte daher. Weil ich allerdings vermute, dass es durchaus klappen könnte, bin ich sauer das Ihr Artikel so wenig die Probleme dabei beleuchtet hat. Bei mir ist der Eindruck entstanden, dass ich mir keine weiteren Sorgen darum machen muss.

Okay, dass war jetzt ein kleiner bunter Mix in meinem Kommentar ;-), hoffe Sie verstehen meinen Punkt.
Liebe Grüße.

Antworten
Falk Hedemann

Facebook hat weltweit über 800 Millionen Nutzer – die ticken nicht alle gleich und sind nicht alle so technikaffin wie man es nach eigenen Maßstäben erwarten würde. Gerade deshalb funktionieren bei Facebook doch viele simple Phishing-Methoden und eben auch andere Betrügereien.
Ich bekomme mindestens einmal in der Woche eine Freundschaftsanfrage, die ich deshalb nicht annehme, weil mir der Account suspekt vorkommt. Ein Klick auf Ignore, fertig. Das macht aber sicher nicht jeder, wie das Beispiel ja auch bewiesen hat. Man sollte da auch etwas über die eigene Handlungsweisen hinausdenken ;-)

Wenn sich nun ein Unternehmensmanager mit einer Freundschaftsanfrage an einen Mitarbeiter wendet, stellt sich der Normaluser sicher die Frage: Kann ich die ablehnen? Und wenn das Profil schon einige bekannte Freunde, womöglich auch andere Kollegen aufweist, dann wird wohl niemand ernsthaft auf die Idee kommen den Chef per Telefon zu belästigen – so man denn die Nummer überhaupt hat.

Die „Geschichte“ kann übrigens auch noch bei Ars Technica (siehe erster Link) nachgelesen werden. Vielleicht klären sich so noch einige Irritationen…

Antworten
Steffen

Mal doof gefragt an t3n: Habt Ihr Facebook darauf hingewiesen? Wäre doch der logische Weg, oder?

Antworten
xxxx

Hmmm hätte gerade mal Lust das zu testen- neugierig bin…..
Aber nein- Pfoten davon lass

Antworten
Falk Hedemann

@Steffen: Die Reaktion von Facebook ist bei Ars Technica nachzulesen. Die Kurzform: Das ist eine Verletzung der Nutzungsbestimmungen…

Antworten
dominik

Also erstens mal ist das kein hack ;) aber ein guter versuch zumindest. schützen kann man sich davon recht einfach, man stellt sein privatsphäre auf nur freunde und gibt nicht so viel von sich im internet preis. so ist das klonen eines accounts gar nicht erst möglich. und sry an facebook aber 3 freunde??? Die kriegt man ja recht schnell zusammen. wer kommt den auf so ne scheiß idee….
gefällt mir NICHT

Antworten
Jimmy

Ähm ich kann dem ganzen gar nicht folgen. Wenn ich einen Account habe mit den selben Freunden des Zielaccounts…wie bitte komme ich denn dann an dessen Zugangsdaten?

Angenommen ich versuche mich mit seiner Email anzumelden um dann die potentielle Freunde angeben zu können … dann brauch ich doch gar keinen FakeAccount?! Denn wenn ich die Freunde kenne von der Zielperson, dann gebe ich die da einfach an.
Müsste man die andernfalls über den erzeugten FakeAccount wählen, dann würden die immerhin ja nur die „Echtheit“ des FakeAccounts bestätigen und der „Hacker“ würde in dem Fall nur die Zugangsdaten zu seinem FakeAccount bekommen, richtig?

Ich kann mir also nicht vorstellen, dass dies wirklich funktionieren soll!

Antworten
jack

is ja lustig… geht aber ganz easy das mit facebook ;)

Antworten

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.

Bitte schalte deinen Adblocker für t3n.de aus!
Hallo und herzlich willkommen bei t3n!

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team von mehr als 75 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Schon jetzt und im Namen der gesamten t3n-Crew: vielen Dank für deine Unterstützung! 🙌

Deine t3n-Crew

Anleitung zur Deaktivierung
Artikel merken

Bitte melde dich an, um diesen Artikel in deiner persönlichen Merkliste auf t3n zu speichern.

Jetzt registrieren und merken

Du hast schon einen t3n-Account? Hier anmelden

oder
Auf Mastodon teilen

Gib die URL deiner Mastodon-Instanz ein, um den Artikel zu teilen.

Anzeige
Anzeige