Facebookメッセンジャーを使ったアカウントハックに注意!!

2017/ 07/ 07
                 
昨日7/6にFacebookのアカウントハックに遭遇しましたので、
ご注意を促したく、記事にしてみました


Screenshot_20170706-131530.png

お昼に突然先輩からFacebookメッセンジャーを使い連絡が入りました。

昨今断捨離がブームですがあまりに付き合いが悪いため常に断捨離される側であるところの私に
先輩からメッセージが飛んでくる時点でセールスか詐欺確定なのですが、
その話はとりあえず置いといて、

この話のおかしかったところは、エンジニア屋さんとかでしたらセキュリティ専門じゃなくてもまあわかると思いますが

・LINEなんていうクソアプリに他人の電話番号で凍結解除する凝った仕様なんて実装されてるわけない。
ここに尽きますよねとりあえず。

ついでに「LINE入れてませんよ」ってのはこの先輩がLINEに登録されているのを知っていたので
カマかけの意味もありました。


ここからは推測になりますが、この後のクラッカーの動きを予想してみます。

このクラッカーの目的は、恐らくLINEではなく、Facebookの乗っ取りですね。

とりあえず携帯番号がわかると、アカウントの特定が容易にできます。

288059318941d2e689b887ae54e3dc1a.png

トップの画面から「アカウントを忘れた」を押下

4e8126d04017362c69ead50d9db93e30_20170706235639598.png

携帯番号を入れたら一瞬でアカウントが割れます

1fe6445b76a12142bb57b09dc3a20a3b_2017070623564060f.png

もちろんアカウントがわかっただけでは破れないのですが。
この画面から、パスワード再発行のために携帯に送られたSMSを俺から引き出せばクラッカーの勝ちです。
LINEって書くことで本来の狙いが見えなくなり、
恐らくそちらにSMSが行くのでコードを教えてください、っていう言い回しで
コードを引き出してくるんじゃないかと思われます。

この手口、巧妙なのが、Facebook自体に友達を使ったアカウント認証って仕組みが実装されてることなんですよね。
Screenshot_20170706-211032_201707070012258db.png
Screenshot_20170706-211132.png
Screenshot_20170706-211138.png

この仕組み自体に割と穴がありそうな気もするのですが、
これが下手に頭に入ってると、この手口で騙されかねませんね。

読者の皆様はぜひご注意くださいませ。


ちなみに先輩はLINEで連絡しましたがつながらなかったので
電番知ってそうな同級生に声をかけたところ、夜には対処してもらえたっぽいです。

Screenshot_20170706-132331.png
Screenshot_20170706-233207.png


手法としてはソーシャルエンジニアリングに該当していて、
知識がないとはめられかねないパターンなので、皆様もぜひご注意ください。


コメントでおちゅーん大先輩にアドバイスをいただきました。
本当にいつもいつもありがとうございます。

Facebookの二段階認証の設定方法
これで回避ができるそうです。皆様ご利用ください!
このエントリーをはてなブックマークに追加

スポンサーリンク

        
        

コメント

        

対策記事なら「コードジェネレーターを有効にして、二段階認証でFacebookログインしましょう」が現時点で最強なのでオススメ
>おおつね氏
いつもいつも的確なアドバイスありがとうございます。
本当に助かっています。

記事に反映してみました!
なんか昔あったような?
と思ったら2013年に友達3人で乗っ取りリスクとかあった。
facebookはずっと狙われ続けてるんだなー。
mw.nikkei.com/sp/#!/article/DGXNASFK1000Y_Q3A710C1000000/
Re: タイトルなし
個人情報の塊だから美味しいんですよね、狙うと
あと電番からハックできる仕様自体が結構あぶない。
個人携帯晒してる人そこそこおるからなー。