Facebook의 "바운티 헌터" 목록의 맨 위에 있는 사이버 보안 전문가 사밉 아리얼은 방금 이 소셜 네트워크의 보안 취약점에 대한 정보를 발표했습니다. 이 취약점으로 해커가 피해자의 계정을 악용할 수 있습니다. 이 사건은 2월 2일에 발견되어 패치되었지만, 보안 규정으로 인해 한 달 후에야 널리 알려졌습니다.
Aryal에 따르면, 이 취약점은 사용자가 이전에 로그인하거나 등록한 다른 기기에 6자리 인증 코드를 전송하는 선택적 기능을 통해 Facebook 비밀번호 재설정 프로세스와 관련이 있습니다. 이 코드는 사용자를 인증하며 새로운 기기(이전에 로그인한 적이 없는 기기)에서 비밀번호 재설정 과정을 완료하는 데 사용됩니다.
그는 쿼리 분석 중에 Facebook이 2시간 동안 유효한 고정된 인증 코드(숫자 순서를 변경하지 않음)를 전송하고, 모든 가능한 비밀번호 문자열을 시도하여 올바른 문자 순서를 찾는 방법을 사용하는 무단 침입의 일종인 무차별 대입 공격을 방지하는 보안 조치가 없다는 것을 발견했습니다.
로그인 코드만 스캔해도 페이스북 계정 해킹
즉, 코드를 보낸 후 2시간 이내에 공격자는 Facebook 시스템의 어떠한 예방 조치도 받지 못한 채 잘못된 활성화 코드를 수없이 입력할 수 있습니다. 일반적으로 잘못된 코드나 비밀번호를 일정 횟수 이상 입력하면 보안 시스템이 의심스러운 계정에 대한 로그인 액세스를 중단합니다.
일반인에게는 2시간이 별로 길지 않을 수 있지만, 지원 도구를 사용하는 해커에게는 충분히 가능한 일입니다.
공격자는 대상 계정의 로그인 이름만 알면 확인 코드 요청을 보낼 수 있고, 그 후 2시간 동안 계속해서 무차별 대입 공격을 가하면 새로운 비밀번호를 재설정하고, 제어권을 장악하고, 실제 소유자의 액세스 세션을 "추방"할 수 있게 됩니다.
NCS 기술 책임자인 부 응옥 손 씨는 위와 같은 공격 유형은 사용자가 막을 수 없는 수준이고, 0-클릭 공격이라고 불린다고 말했습니다. 해커는 이런 양식을 이용해 피해자가 아무런 조치를 취하지 않아도 피해자의 계정을 훔칠 수 있습니다.
"이 취약점이 악용되면 피해자는 Facebook에서 알림을 받게 됩니다. 따라서 Facebook에서 비밀번호 복구에 대한 알림을 갑자기 받으면 계정이 공격을 받고 인수될 가능성이 매우 높습니다." 손 씨가 공유했습니다. 전문가는 위에서 언급한 것과 같은 취약점이 있는 경우, 사용자는 공급업체가 오류를 패치할 때까지 기다릴 수밖에 없다고 말했습니다.
페이스북은 베트남을 포함한 전 세계 많은 국가에서 인기 있는 소셜 네트워크이며, 사용자는 사용 중에 많은 개인 데이터를 게시하고 저장합니다. 따라서 해커는 종종 플랫폼의 계정을 공격하고 장악하여 사기 시나리오를 실행하려고 합니다.
이 가운데 가장 흔한 수법은 피해자를 사칭해 피해자의 친구 목록에 있는 가족에게 연락해 돈을 이체해 달라고 요청하고 돈을 사기하는 방식이다. 이 방법은 딥페이크 기술을 이용해 영상 통화를 위조하는 방식으로 많은 사람을 함정에 빠뜨렸습니다. 사기꾼은 신뢰를 높이기 위해 Facebook 계정 소유자와 같은 이름으로 은행 계좌를 사고 파는 등 사기 행위를 쉽게 수행합니다.
또 다른 형태는 계정을 해킹한 후, 악성 코드가 포함된 링크나 파일을 전송하여 소셜 네트워크에 퍼뜨리는 것입니다. 이러한 맬웨어는 대상 기기(피해자 기기)에서 활성화된 후 개인 정보(예: 은행 계좌 번호, 사진, 연락처, 메시지 및 기기 메모리에 저장된 여러 유형의 데이터)를 공격하고 훔칩니다.
[광고2]
소스 링크
![[사진] 팜민친 총리, 지방자치단체와 경제성장에 관한 정부회의 주재](https://vstatic.vietnam.vn/vietnam/resource/IMAGE/2025/2/21/f34583484f2643a2a2b72168a0d64baa)
댓글 (0)