Facebook-Hack: So schnell kannst du deinen Account los sein
Facebook-Hack: Mit einfachen Mitteln fremde Accounts übernehmen
Der Sicherheitschef des brasilianischen Unternehmens UOLDiveo Nelson Neto hat auf der Silver Bullet Security Conference eine ganz einfache Methode vorgestellt, mit deren Hilfe man ein fremdes Facebook-Konto übernehmen kann. Zunächst müsse man sich dazu ein Ziel aussuchen, im dem vorgestellten Beispiel ein Manager, und genügend persönliche Informationen über die Zielperson recherchieren. Neto nutzte dazu Informationen, die er bei Amazon und LinkedIn gefunden hat. Mit diesen Informationen hat er dann einen Klon-Account aufgesetzt, der mit authentischen Informationen und einem echten Profilbild bestückt war.
Anschließend versendete er 432 Freundschaftsanfragen an die Freunde der Freunde der Zielperson und 436 Freundschaftsanfragen an die direkten Freunde. Innerhalb der ersten Stunde bestätigten 24 Personen aus der ersten und 14 Personen aus der zweiten Gruppe die Freundschaftsanfragen. Nach sieben Stunden gelang es Neto auch die Sicherheitsexpertin des Managers von dem Profil zu überzeugen und sie akzeptierte ebenfalls die Freundschaftsanfrage.
Facebook-Hack nutzt Sicherheitsfeature
Zu diesem Zeitpunkt war trotz allem noch nicht viel passiert, doch jetzt ging Neto noch einen Schritt weiter und nutzte eine Funktion von Facebook, die eigentlich der Sicherheit dienen soll, zur Übernahme des echten Accounts der Zielperson. Die Password-Recovery-Methode „Three Trusted Friends“, die Facebook erst im Oktober eingeführt hatte, soll eigentlich in Fällen helfen, bei denen die Nutzer, aus welchen Gründen auch immer, keinen Zugriff mehr auf die Haupt-E-Mail-Adresse haben. Sie lässt sich bei diesem Facebook-Hack aber auch dazu nutzen, einen fremden Account zu übernehmen. Dazu gibt man einfach drei der bestätigten neuen Freunde an, die dann die Echtheit bestätigen sollen. Tun sie das, kann der Hacker das Passwort und auch die E-Mail-Adresse ändern und erhält vollen Zugriff auf das Profil der Zielperson.
Fazit
Ob der Facebook-Hack so tatsächlich funktioniert, haben wir natürlich nicht getestet. Es gibt dabei noch ein paar Probleme, die für einen erfolgreichen Zugriff auf das fremde Profil zu lösen sind. Die verraten wir an dieser Stelle aus guten Gründen aber nicht und die werden auch bei Ars Technica nicht erwähnt. Dennoch scheint dieser Facebook-Hack zumindest in der Theorie zu funktionieren und er dürfte auch schon für Account-Hacks genutzt worden sein. Wie oft das wirklich vorkommt, behält Facebook aber für sich.
Was man konkret machen kann, wenn man einem Facebook-Hacker zum Opfer gefallen ist, haben wir euch hier beschrieben.
„(…) Es gibt dabei noch ein paar Probleme, die für einen erfolgreichen Zugriff auf das fremde Profil zu lösen sind. Die verraten wir an dieser Stelle aus guten Gründen aber nicht (…)“
Man kann die Seite von T3N hacken. Wie? Verrate ich nicht.
Man kann die Identitäten der T3N Mitarbeiter stehlen. Wie? Verrate ich nicht.
Man kann…
Danke für die Aufklärung Herr Hedemann. Es ist gut zu wissen was Leute mit bösen Absichten alles können. Noch viel besser ist es, wenn man nicht weiß wie man sich dagegen schützen kann. Es ist immer gut Angriffsmöglichkeiten vor der Öffentlichkeit zu verbergen. Damit nur die Angreifer wissen wie es geht.
Um ehrlich zu sein, ein ganz schön sinnloser Artikel. Ich könnte ihn umschreiben. Wie? Verrate ich nicht.
Hallo Her Koch,
„Es ist immer gut Angriffsmöglichkeiten vor der Öffentlichkeit zu verbergen. Damit nur die Angreifer wissen wie es geht.“
Das sehe ich anders und das ist auch der Sinn des Artikels ;-) Komplette, funktionierende Anleitungen gibt es im Netz sicher auch, aber eben nicht bei uns. Auf potentielle Gefahrenquellen aufmerksam machen, halte ich dagegen für wichtig.
Viele Grüße,
Falk Hedemann
Hi,
„(…)Auf potentielle Gefahrenquellen aufmerksam machen(…),
ja genau das ist es ja was mich ärgert. Ich halte diese Methode so wie Sie es in Ihrem Artikel beschrieben haben für sehr unwahrscheinlich. Wie soll man den mit einem Fake Account, bei dem das echte Gegenstück bereits existiert erfolg haben? Wenn ich von einem meiner Freunde eine zweite Freundschaftsanfrage bekommen würde, dann bin ich doch automatisch verunsichert was da los ist? Man fragt nach, will wissen weshalb man sich erneut gemeldet hat. Spätestens am nächsten Tag im Büro fragt man doch seinen Freund weshalb er den einen neuen leeren Account angelegt hat etc. etc.
„(…)Nach sieben Stunden gelang es Neto auch die Sicherheitsexpertin des Managers von dem Profil zu überzeugen und sie akzeptierte ebenfalls die Freundschaftsanfrage.(…)
Was ist damit gemeint? Welche Sicherheitsexpertin? seine Frau? Geschafft zu überzeugen? Wie? Per Nachrichten? Posts auf die Pinnwand? Was ein Quatsch. Ein Griff zum Telefonhörer und die Geschichte hat sich aufgeklärt. Welche Freunde sich denn bitte so doof und bestätigen irgendwelche Accounts?
Sorry, aber mit diesem Informationsgehalt im Artikel kommt mir das ein wenig wie eine banale Geschichte daher. Weil ich allerdings vermute, dass es durchaus klappen könnte, bin ich sauer das Ihr Artikel so wenig die Probleme dabei beleuchtet hat. Bei mir ist der Eindruck entstanden, dass ich mir keine weiteren Sorgen darum machen muss.
Okay, dass war jetzt ein kleiner bunter Mix in meinem Kommentar ;-), hoffe Sie verstehen meinen Punkt.
Liebe Grüße.
Facebook hat weltweit über 800 Millionen Nutzer – die ticken nicht alle gleich und sind nicht alle so technikaffin wie man es nach eigenen Maßstäben erwarten würde. Gerade deshalb funktionieren bei Facebook doch viele simple Phishing-Methoden und eben auch andere Betrügereien.
Ich bekomme mindestens einmal in der Woche eine Freundschaftsanfrage, die ich deshalb nicht annehme, weil mir der Account suspekt vorkommt. Ein Klick auf Ignore, fertig. Das macht aber sicher nicht jeder, wie das Beispiel ja auch bewiesen hat. Man sollte da auch etwas über die eigene Handlungsweisen hinausdenken ;-)
Wenn sich nun ein Unternehmensmanager mit einer Freundschaftsanfrage an einen Mitarbeiter wendet, stellt sich der Normaluser sicher die Frage: Kann ich die ablehnen? Und wenn das Profil schon einige bekannte Freunde, womöglich auch andere Kollegen aufweist, dann wird wohl niemand ernsthaft auf die Idee kommen den Chef per Telefon zu belästigen – so man denn die Nummer überhaupt hat.
Die „Geschichte“ kann übrigens auch noch bei Ars Technica (siehe erster Link) nachgelesen werden. Vielleicht klären sich so noch einige Irritationen…
Mal doof gefragt an t3n: Habt Ihr Facebook darauf hingewiesen? Wäre doch der logische Weg, oder?
Hmmm hätte gerade mal Lust das zu testen- neugierig bin…..
Aber nein- Pfoten davon lass
@Steffen: Die Reaktion von Facebook ist bei Ars Technica nachzulesen. Die Kurzform: Das ist eine Verletzung der Nutzungsbestimmungen…
Also erstens mal ist das kein hack ;) aber ein guter versuch zumindest. schützen kann man sich davon recht einfach, man stellt sein privatsphäre auf nur freunde und gibt nicht so viel von sich im internet preis. so ist das klonen eines accounts gar nicht erst möglich. und sry an facebook aber 3 freunde??? Die kriegt man ja recht schnell zusammen. wer kommt den auf so ne scheiß idee….
gefällt mir NICHT
Ähm ich kann dem ganzen gar nicht folgen. Wenn ich einen Account habe mit den selben Freunden des Zielaccounts…wie bitte komme ich denn dann an dessen Zugangsdaten?
Angenommen ich versuche mich mit seiner Email anzumelden um dann die potentielle Freunde angeben zu können … dann brauch ich doch gar keinen FakeAccount?! Denn wenn ich die Freunde kenne von der Zielperson, dann gebe ich die da einfach an.
Müsste man die andernfalls über den erzeugten FakeAccount wählen, dann würden die immerhin ja nur die „Echtheit“ des FakeAccounts bestätigen und der „Hacker“ würde in dem Fall nur die Zugangsdaten zu seinem FakeAccount bekommen, richtig?
Ich kann mir also nicht vorstellen, dass dies wirklich funktionieren soll!
is ja lustig… geht aber ganz easy das mit facebook ;)