امنیت

فریب کاربران فیسبوک با مهندسی اجتماعی

چند وقت پیش بود که یه “روش جدید” برای پیدا کردن پسورد دوست ها ی فیسبوکی باب شد که البته چیزی نبود جز اجرای کدهای جاوا اسکریپت و لایک شدن یه سری صفحه توسط قربانی (فریب خورده).

چند روزه که دوباره سر و کله این کدهای جاوا اسکریپت پیدا شده. این بار به اسم اینکه بفهمیم کی پروفایل ما رو خونده یا به زبان خود منتشر کننده: “پیدا کنین دوستانی که هر روز به پروفایل شما سر میزنزن و فضولی میکنن برای پیدا کردن به لینک برید”

Facebook

بذارید ببینیم تو لینک چه خبره. خب دوباره همون روش قبلیه. مراحلی که از قربانی خواسته می شه تا انجام بده، اینهاست:

  1.  مرورگر گوگل کروم رو باز میکنیم یا اگه ندارین دانلود کنین
  2. پروفایل فیسبوک خود را باز میکنین
  3. با آدرس HTTPS://WWW.FACEBOOK.COM
  4. روی صفحه پروفایل کلید اف ۱۲ رو میزنیم یا کلیک راست کرده گزینه “inspect element” رو میزنیم
  5. از صفحه باز شده گزینه “console” را میزنیم مثل شکل زیر
  6. وقتی باز شد متن زیر را کپی کرده و در داخل “console” پیست میکنیم
  7. خب رسیدیم به جای حساس اگه مراحل بالا رو به درستی انجام داده باشید پنجره به این شکل باز میشه
  8. رو میزنید “Start”
  9. صبر کنید تا تمام دوست های شما رو اسکن کنه و فضولاش و بهتون نشون بده مرحله ۱۰ خیلی مهمه
  10. خب آخر کار وقتی همه دوستات اسکن شدن گزینه “Enable Application” رو بزنید تا دوستای منتخب نشون بده

آدم بدهای داستان کلی فسفر سوزوندن که روش رو غیرقابل شناسایی کنن. تصویر زیر، متنی است که قرار درکنسول اجراکنیم:

code

این عدد و رقم های رندم در واقع یه سری کده که با روش url encoding رمز شده. رمز که چی بگم 🙂

بذارید رمزگشایی کنیم و ببینیم که کد چیه:

این فقط بخشی از کده. همه اش رو نمی تونم بذارم به خاطر اینکه کد مشکوک روی سرور می شینه و سرویس های چک کننده، به زودی بهش گیر خواهند داد 🙂

ولی این تیکه کد بالا چیه؟ این تیکه نشون می ده که شما نا خواسته این دو تا پروفایل رو فالو خواهید کرد:

بازهم هست. این بخشش بدون اجازه شما یه سری صفحه رو لایک می کنه:

و صفحه هایی که لایک می شن ایناست:

و یه سری صفحه دیگه که همگی در فاصله چند روز ایجاد شدند.

سایتی که همه این صفحه ها رو به هم مرتبط می کنه اینه:

و در آخر هم جناب آقای محترمی که احتمالا خودشون رو هم خیلی زرنگ می دونن و در کنار لایک گرفتن دزدی برای صفحه هاشون، فالورهای خودش رو هم زیاد کرده:

محمد رفیعی که آدرس پروفایلش رو گذاشتم و این هم ایمیلش:

تا اینجای قضیه رسیدیم به اینکه کی بوده که دیگران رو فریب می داده. حالا سوال اینه که کیا و چرا فریب خوردن؟

دونستن اینکه کی پروفایمون رو چک کرده اخلاقی تر از تلاش برای پیدا کردن پسورد دوستامونه اما باید وقتی با همچین مواردی رو به رو می شیم کمی مکث کنیم.

آیا با هر ابزاری که دستمون اومد (چه درست چه غلط) باید کار کنیم؟ حتی اگر الفبای استفاده از اون رو بلد نباشیم؟

آیا منطقیه که سرویسی که بارها فیسبوک ارائه اش رو تکذیب کرده با یک کد ساده اون هم از طرف کاربر، انجام بشه و هیچ خبری هم ازش در سایت های معتبر نباشه؟

و چندین و چند سوال دیگه. آدم بدها خیلی وقت ها از نقاط ضعف انسانی وارد می شن و البته اسم تمیز و گول زننده ای داره: مهندسی اجتماعی.

در پست های دیگه در مورد مهندسی اجتماعی بیشتر خواهم گفت

استاندارد
امنیت

زاکربرگ مجددا هک شد

امروز یک اتفاق عجیب افتاد. تصویر کاور در صفحه مارک زاکربرگ، مدیر فیسبوک، حذف شد. هرچند این مساله چندان حاد به نظر نمی رسه اما به هرحال می شه گفت که زاکربرگ مجددا هک شد.

Mark-Zuckerberg-cover-photo-hacked

چند ساعت بعد یک هکر مصری با اسم مستعار Dr.FarFar با نویسنده هکر نیوز تماس می گیره و ادعا می کنه با استفاده از یک ضعف امنیتی جدید تونسته تصویر کاور رو حذف کنه. هکر ابتدا اطلاعات دقیقتری از شیوه عملکردش نگفت.

طی تماس هایی که خبرنگار با هکر و فیسبوک می گیره اطلاعات بیشتری مشخص می شه.

دکتر فرفر از این روش استفاده کرده که ابتدا از گزینه گزارش سو‌استفاده در مورد تصویر کاور استفاده کرده و گزینه I don’t like this photo of me رو انتخاب کرده و سپس درخواست ارسالی رو با fiddler تغییر داده.

فیدلر یک ابزار بر پایه پراکسی است که ترافیک ارسالی و دریافتی رو نشون می ده و امکان تغییرشون رو فراهم می کنه.

چند ساعت بعد هم بدون اینکه توضیحی از سوی فیسبوک منتشر بشه، تصویر کاور صفحه مارک زاکربرگ به حالت قبل برگشت.

zuck

سال گذشته نیز یک هکر فلسطینی موفق شد با استفاده از ضعفی که در فیسبوک کشف کرده بود، از طرف مارک زاکربرگ جمله ای رو منتشر بکنه.

استاندارد
امنیت

هک اکانت فیسبوک با یک sms

این پست ترجمه آزادی است از پست سایت اخبار هکر.

تصورش رو می کردین که اکانت فیسبوک رو با یک اس‌ام‌اس و بدون نیاز به انجام کاری از سوی کاربر و بدون استفاده از فیشینگ، کیلاگر، تروجان و غیره هک کنید؟

یک کارشناس امنیتی انگلیسی به نام fin1te تونسته اینکار رو انجام بده و ما اینجا نحوه انجام رو مرور می کنیم.

فیسبوک امکان متصل کردن شماره تلفن به اکانت فیسبوک رو داره (البته ایران رو محدود کرده) و کابر می تونه غیر از اینکه به‌روزرسانی های اکانت رو از طریق اس‌ام‌اس دریافت کنه، می تونه علاوه بر نام کاربری و ایمیل با شماره تلفنش هم به اکانت وارد بشه.

طبق اعلام هکر، این راه نفوذ در پروسه متصل کردن شماره تلفن است و یا یک اشتباه تکنیکی در فایل زیر

بعد از متصل کردن شماره تلفن و زمان ارسال کد تایید که از فیسبوک در یافت کرده اید، این صفحه مقصد اطلاعات ارسالی است. اطلاعات ارسالی ۲ متغیر دارد، یکی کد تایید و دیگری profile_id.

کد ارسالی به صفحه گفته شده

کد ارسالی به صفحه گفته شده

کار هکر از اینجا شروع می شه

  1. تغییر profile_id به profile_id قربانی (با تغییر اطلاعات ارسالی بین راه)
  2. ارسال F به شماره ۳۲۶۶۵ که شماره سرویس دهنده فیسبوک در انگلیسه و دریافت کد ۸ رقمی تایید.
  3. قراردادن این کد در بخش “کد تایید” یا verification code و ارسال فرم
کد 8 رقمی دریافت شده

کد ۸ رقمی دریافت شده

در این مرحله فیسبوک شماره هکر رو پذیرفته و متصلش می کنه به اکانت قربانی

پیغام پذیرش فیسبوک

پیغام پذیرش فیسبوک

حالا کافیه که هکر به فیسبوک اعلام کنه پسوردش رو فراموش کرده تا یک کد به موبایلش بیاد برای تغییر پسورد و کار تمامه.

قسمت خوب خبر: فیسبوک این باگ رو برطرف کرده و دیگه profile_id رو از کاربر نمی گیره. همچنین $۲۰,۰۰۰ هم به fin1te پرداخته برای گزارش ضعف امنیتی.

استاندارد