フェイスブックの「賞金稼ぎ」リストのトップに立つサイバーセキュリティ専門家のサミプ・アリヤル氏は、ハッカーが被害者のアカウントを悪用できる、このソーシャルネットワークのセキュリティ上の脆弱性に関する情報を発表した。このインシデントは 2 月 2 日に発見され、修正されましたが、セキュリティ規制のため、広く発表されたのは 1 か月後のことでした。

Aryal 氏によると、この脆弱性は、ユーザーが以前にログインまたは登録した別のデバイスに 6 桁の認証コードを送信するオプション機能を介した Facebook のパスワード リセット プロセスに関連しているとのことです。このコードはユーザーを認証し、新しいデバイス（これまでログインしたことのないデバイス）でパスワード リセット プロセスを完了するために使用されます。

クエリ分析中に、Facebook が 2 時間有効な固定の認証コード (数字のシーケンスは変更されない) を送信しており、正しい文字列を見つけるためにすべての可能なパスワード文字列を試す方法を使用する不正侵入の一種であるブルート フォース攻撃を防ぐセキュリティ対策が講じられていないことを発見しました。

つまり、コードを送信してから 2 時間以内に、攻撃者は Facebook のシステムによる予防措置に遭遇することなく、間違ったアクティベーション コードを何度も入力できることになります。通常、間違ったコードまたはパスワードが一定回数以上入力されると、セキュリティ システムにより、疑わしいアカウントのログイン アクセスが停止されます。

2 時間は普通の人にとっては大したことないかもしれませんが、サポート ツールを使用するハッカーにとっては完全に可能です。

攻撃者は、ターゲット アカウントのログイン名さえ知っていれば、確認コードの要求を送信し、ブルート フォース方式を 2 時間継続して適用することができます。その結果、新しいパスワードを簡単にリセットし、制御権を奪い、実際の所有者が何かをする前にそのアクセス セッションを「追い出す」ことが可能になります。

NCSの技術ディレクターであるVu Ngoc Son氏は、上記の形式の攻撃はユーザーの防止能力を超えており、ゼロクリック攻撃と呼ばれていると述べた。このフォームを使用すると、ハッカーは被害者が何もしなくてもアカウントを盗むことができます。

「この脆弱性が悪用されると、被害者はFacebookから通知を受け取ります。そのため、Facebookから突然パスワード回復に関する通知を受け取った場合、アカウントが攻撃され乗っ取られている可能性が非常に高いです」と孫氏は語った。専門家は、上記のような脆弱性の場合、ユーザーはサプライヤーがエラーを修正するのを待つしかないと述べた。

Facebookはベトナムを含む世界中の多くの国で人気のソーシャルネットワークであり、ユーザーは使用中に大量の個人データを投稿し、保存しています。そのため、ハッカーは多くの場合、プラットフォーム上のアカウントを攻撃して乗っ取り、不正行為を実行することを目指します。

中でも最も顕著なのが、被害者になりすまして友人リストに登録されている親族に連絡し、送金を依頼して金銭を詐取する手口だ。この方法は、ビデオ通話を偽装するディープフェイク技術をサポートしており、多くの人々を罠にかけました。詐欺師は、さらなる信頼を得るために、Facebook アカウントの所有者と同じ名前の銀行口座を売買し、簡単に詐欺を実行できるようにします。

別の形態としては、アカウントを乗っ取って悪意のあるコードを含むリンクやファイルを送信し、ソーシャル ネットワーク上で拡散するというものがあります。これらのマルウェアは、ターゲットデバイス（被害者のデバイス）で起動された後、個人情報（銀行口座番号、写真、連絡先、メッセージ、デバイスのメモリに保存されている他の多くの種類のデータなど）を攻撃して盗む役割を果たします。