Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Udany social engineering na pracowników Facebooka – przejął cudze konto mimo dwuczynnikowego uwierzytelnienia
TL;DR:
Wystarczyło wysłanie skanu sfałszowanego paszportu (nic się nie zgadza poza nazwiskiem ofiary) aby pracownicy Facebooka zmienili numer telefonu i e-mail związany kontem:
Jak wyglądało przejęcie konta posiadającego dostęp do stron mających ~1 000 000 polubień? Wystarczyło napisać krótkiego maila:
Hi. I don’t have anymore access on my mobile phone number. Kindly turn off code generator and login approval from my account. Thanks.
Następnie pracownicy Facebooka poprosili o dokument ze zdjęciem identyfikujący właściciela konta, a po poprzesłaniu wyżej wspomnianego fejka, atakujący otrzymał taką wiadomość:
Thanks for verifying your identity. You should now be able to log into your account.
Ofiara opisała całość sprawy na reddicie, a na szczęście finalnie odzyskała dostęp do swojego konta otrzymując też przeprosiny od FB:
Accepting this ID was a mistake that violated our own internal policies and this case is not the norm.
–ms
No i tyle jest warte 2FA co jego brak, skoro końcowo i tak człowiek daje „ciała”.