Facebook의 "현상금 사냥꾼" 목록의 맨 위에 있는 사이버 보안 전문가 사밉 아리아는 방금 이 소셜 네트워크의 보안 취약점에 대한 정보를 발표했습니다. 이 취약점을 악용하여 해커가 피해자의 계정을 악용할 수 있습니다. 이 사건은 2월 2일에 발견되어 패치되었지만, 보안 규정으로 인해 한 달 후에야 널리 발표되었습니다.

Aryal에 따르면, 이 취약점은 사용자가 이전에 로그인하거나 등록한 다른 기기에 6자리 인증 코드를 전송하는 선택적 기능을 통해 Facebook 비밀번호 재설정 프로세스와 관련이 있습니다. 이 코드는 사용자를 인증하고 새로운 기기(이전에 로그인한 적이 없는 기기)에서 비밀번호 재설정 과정을 완료하는 데 사용됩니다.

쿼리 분석 중에 그는 Facebook이 2시간 동안 유효한 고정된 인증 코드(숫자 순서를 변경하지 않음)를 전송하고, 모든 가능한 비밀번호 문자열을 시도하여 올바른 문자 순서를 찾는 방법인 무차별 대입 공격을 방지하는 보안 조치가 없다는 것을 발견했습니다.

즉, 코드를 보낸 후 2시간 이내에 공격자는 Facebook 시스템의 어떠한 예방 조치도 받지 못한 채 잘못된 활성화 코드를 수없이 입력할 수 있습니다. 일반적으로 잘못된 코드나 비밀번호를 일정 횟수 이상 입력하면 보안 시스템이 해당 계정의 로그인 액세스를 중단합니다.

일반인에게는 2시간이 그리 길지 않을 수 있지만, 지원 도구를 사용하는 해커에게는 충분히 가능한 일입니다.

공격자는 대상 계정의 로그인 이름만 알면 확인 코드 요청을 보낼 수 있고, 2시간 동안 계속해서 무차별 대입 공격을 가하면 새로운 비밀번호를 재설정하고, 통제권을 장악하고, 실제 소유자의 액세스 세션을 "추방"할 수 있습니다.

NCS의 기술 책임자인 Vu Ngoc Son 씨는 위와 같은 공격 형태는 사용자가 막을 수 없는 수준이고, 이를 0-클릭 공격이라고 부른다고 말했습니다. 해커는 이런 형태를 이용해 피해자가 아무런 조치를 취하지 않아도 피해자의 계정을 훔칠 수 있습니다.

"이 취약점이 악용되면 피해자는 페이스북으로부터 알림을 받게 됩니다. 따라서 페이스북으로부터 비밀번호 복구 알림을 갑자기 받았다면 계정이 공격받아 도용당했을 가능성이 매우 높습니다."라고 손 씨는 말했습니다. 전문가는 위에서 언급한 것과 같은 취약점이 있는 경우, 사용자는 공급업체가 오류를 패치할 때까지 기다릴 수밖에 없다고 말했습니다.

페이스북은 베트남을 포함한 전 세계 여러 국가에서 인기 있는 소셜 네트워크이며, 사용자는 사용 중에 많은 개인 데이터를 게시하고 저장합니다. 따라서 해커는 종종 플랫폼의 계정을 공격하고 장악하여 사기 행위를 저지르려고 합니다.

이 중 가장 두드러지는 것은 피해자를 사칭하여 친구 목록에 있는 가족에게 연락해 돈을 이체해 달라고 요청하고 사기를 치는 형태입니다. 이 방법은 딥페이크 기술을 이용해 영상 통화를 위조하는 방식으로 많은 사람을 함정에 빠뜨렸습니다. 사기꾼은 신뢰를 높이기 위해 Facebook 계정 소유자와 같은 이름으로 은행 계좌를 사고팔아 사기를 쉽게 저지릅니다.

또 다른 형태는 계정을 탈취하여 악성 코드가 포함된 링크나 파일을 보내 소셜 네트워크에 퍼뜨리는 것입니다. 이러한 맬웨어는 대상 기기(피해자 기기)에서 활성화된 후 개인 정보(예: 은행 계좌 번호, 사진, 연락처, 메시지 및 기기 메모리에 저장된 여러 유형의 데이터)를 공격하고 훔칩니다.