Diebstahl und Wiederherstellung eines Facebook-Kontos

Inhaltsverzeichnis

Neueste Beiträge

Post cover

Palo Alto Firewall as Code
22 June 2024

Post cover

Auf der anderen Seite der Firewall
11 June 2024

Post cover

Die Kosten der Komplexität: Ansible AWX
05 May 2024

Post cover

Abmelden vom Webarchiv
29 April 2024

Post cover

Ansible Workbook
27 April 2024

Kategorien

Category cover

Automatisierung
19 posts

Category cover

CISO
4 posts

Category cover

Infrastruktur
4 posts

Category cover

Security
4 posts

Category cover

Bücher
3 posts

Category cover

Persönliche Sicherheit
3 posts

Category cover

mein Leben
1 posts

Diebstahl und Wiederherstellung eines Facebook-Kontos

Andrea Dainese
26 September 2023
Persönliche Sicherheit
Post cover

Dies ist die Geschichte von Vittoria (ein Pseudonym, im Folgenden als V bezeichnet). Vor ein paar Tagen rief V mich in einer Notlage an: Ihr Facebook-Konto wurde von Nhang (ein Pseudonym, im Folgenden als N bezeichnet) gestohlen. Identitätsdiebstahl ist eine strafbare Handlung, die durch Artikel 494 des Strafgesetzbuches geahndet wird. Diese Informationen werden später nützlich sein.

Beweis 4

Für diejenigen, die Facebook für ihre Arbeit nutzen, ist ein solches Ereignis äußerst traumatisch und muss mit aller gebotenen Vorsicht behandelt werden.

Die Fakten

  • Am Mittwoch erhält V Benachrichtigungen auf Facebook, die sie vor einer abnormalen Aktivität auf ihrem Konto warnen. V folgte den Anweisungen, indem sie die verdächtige Aktivität meldete, konnte aber aufgrund eines Mobilgeräts das Passwort nicht ändern oder die Zwei-Faktor-Authentifizierung aktivieren.
  • Donnerstag, 19:37 Uhr: Überprüfen Sie Ihre Zahlungsmethode, um Anzeigen wieder zu veröffentlichen ( Anhang 1 )
  • Donnerstag, 19:39 Uhr: Haben Sie gerade eine E-Mail-Adresse hinzugefügt? ( Anhang 2 )
  • Freitag, 00:38 Uhr: Haben Sie gerade Ihre Telefonnummer entfernt? ( Anhang 3 )
  • Freitag, 00:39 Uhr: Haben Sie gerade Ihre E-Mail-Adresse entfernt? ( Anhang 4 )

Von diesem Zeitpunkt an kann V nicht mehr auf ihr Konto zugreifen, weder von ihrem Computer noch von ihrem Telefon aus. Darüber hinaus bemerkt V, dass das Konto jetzt den Namen und Nachnamen von N anzeigt.

Wir können uns vorstellen, was passiert ist:

  • V’s Passwort wurde gestohlen. Diese Handlung ist durch zahlreiche Techniken möglich, die von einfachen Phishing-Portalen über die Verwendung mehr oder weniger öffentlicher Datenlecks bis hin zur Verwendung sogenannter Infostealer reichen.
  • V’s Konto war nicht durch Zwei-Faktor-Authentifizierung (ZFA) geschützt.
  • N konnte auf V’s Konto zugreifen und durch Ändern des Passworts, der E-Mail und der Telefonnummer V aussperren.

Erstes Versagen von Facebook

Für diejenigen, die im Bereich der Cybersicherheit arbeiten, stellen solche Ereignisse eine Reihe von Indikatoren dar, die bei V’s typischem Verhalten auf eine Kompromittierung hinweisen (im Volksmund als Behavioral Indicators of Compromise oder BIoC bezeichnet). Um den Mechanismus einfach zu beschreiben, erhält jedes Ereignis einen Score, und die Gruppe von Ereignissen wird nicht einzeln, sondern auf der Grundlage des Gruppenscores bewertet.

Speziell:

  • Wenn ein italienisches Profil, das nur aus Italien zugreift, aus Vietnam zugreift, ist das Ereignis sehr verdächtig und wir weisen ihm eine Punktzahl von 9/10 zu.
  • Wenn ein Benutzer sein Kontopasswort ändert und dies noch nie zuvor getan hat, kann das Ereignis verdächtig sein, und wir weisen ihm eine Punktzahl von 1/10 zu.
  • Wenn ein Benutzer eine E-Mail ersetzt, kann das Ereignis verdächtig sein, und wir weisen ihm eine Punktzahl von 6/10 zu.
  • Wenn ein Benutzer seine Telefonnummer entfernt oder ersetzt, kann das Ereignis verdächtig sein, und wir weisen ihm eine Punktzahl von 6/10 zu.
  • Wenn ein Benutzer den Namen und Nachnamen seines Profils radikal anders ersetzt, ist das Ereignis sehr verdächtig, und wir weisen ihm eine Punktzahl von 9/10 zu.

Es bedarf keines Sicherheitsexperten, um zu verstehen, dass diese 5 Ereignisse, zusammen genommen, einen Kompromiss des Kontos eindeutig feststellen.

Erster Versuch und Misserfolg von Facebook

Für jedes im Absatz über die Fakten beschriebene Ereignis sandte Facebook V eine E-Mail: Durch Klicken auf den Link “Nicht ich” wurde ein Verfahren ausgelöst, das V hätte ermöglichen sollen, die Aktionen rückgängig zu machen und die Kontrolle über ihr Konto wiederzugewinnen.

Aber es lief nicht so.

V musste Facebook über eine Webcam eine Live-Aufnahme ihres Ausweisdokuments senden. Aber das automatische System von Facebook hielt die Informationen für unzureichend, um V zu erkennen und ihren Zugriff auf das Konto wiederherzustellen, und ließ es bei N.

Auch hier bedarf es keines Sicherheitsexperten, um zu verstehen, dass, wenn V eine offizielle E-Mail von Facebook verwendet, um betrügerische Aktivitäten zu melden, es höchstwahrscheinlich ist, dass das Ereignis tatsächlich betrügerisch war und die Modifikationsaktionen des Kontos rückgängig gemacht werden sollten.

Kontowiederherstellung und Versagen von Facebook

V hatte zwei weitere E-Mails von Facebook mit Links, um die Kontowiederherstellung zu versuchen. Ein weiterer Versuch scheiterte, aber mit einigen Schwierigkeiten gelang es V, das dritte Wiederherstellungsverfahren zu aktivieren. V entscheidet sich nun dafür, nicht das Ausweisdokument zu verwenden, das immer verschwommen erschien, sondern den Reisepass: Sie nimmt sich die Zeit, ein gutes Foto des Dokuments mit ihrem Handy zu machen, und diesmal erkennt Facebook die Identität von V und sendet ihr zwei E-Mails zur Wiederherstellung:

  • Neue E-Mail-Adresse zu Facebook hinzugefügt ( Anhang 5 ).
  • Sie können jetzt wieder auf Ihr Konto zugreifen ( Anhang 6 ).

Diese beiden E-Mails sollten in genau der oben beschriebenen Reihenfolge verwendet werden: Zuerst muss die E-Mail-Adresse mit dem entsprechenden Bestätigungscode bestätigt werden, dann kann der Zugriff auf das Konto mit dem temporären Passwort und der PIN, die in der E-Mail bereitgestellt werden, wiedererlangt werden.

Aber damit ist es noch nicht vorbei.

V schafft es, auf das Konto zuzugreifen, aber das Verfahren zum Ändern der E-Mail-Adresse scheitert. Also findet sie ein Konto:

  • für das sie das Passwort nicht kennt (das in der E-Mail ein temporäres Passwort ist, das einmal verwendet werden soll);
  • verbunden mit N’s E-Mail;
  • verbunden mit N’s Telefonnummer.

V erkennt bald, dass jeder Versuch, das Passwort zu ändern, die E-Mail oder die Telefonnummer zu ersetzen, ein Passwort erfordert, aber nicht das, das sie besitzt; das angeforderte Passwort ist dasjenige, das N verwendet hat, um V auszusperren.

Es gibt jedoch ein Verfahren, auch ohne Kenntnis des Passworts fortzufahren, aber es erfordert eine Bestätigungs-PIN, die an N’s E-Mail oder Telefon gesendet wird.

Fehlendes Konto

In einem Moment der Verzweiflung und Intuition zugleich versucht V erneut, die Facebook-App von ihrem Handy aus zu öffnen, die sich automatisch bei Facebook anmeldet, aber eine Bestätigung aus einer bereits geöffneten Sitzung erfordert. Jetzt kann V den Zugriff vom Telefon aus autorisieren, indem sie die zuvor auf dem Computer geöffnete Sitzung verwendet, und in kürzester Zeit gelingt es V, die E-Mail-Adresse, die Telefonnummer zu ändern und die Zwei-Faktor-Authentifizierung einzurichten.

Aber V kann den Namen und Nachnamen nicht für zwei Monate ändern: Es ist eine Sicherheitsrichtlinie von Facebook. V wird ihren Freunden zwei Monate lang als Nhang vorgestellt werden.

Weitere Facebook-Misserfolge

Im Rückblick kann ich sagen, dass V trotz der Behauptung, Schwierigkeiten mit der Technologie zu haben, gut reagiert hat: Sie hatte ein gutes Maß an Autonomie, hatte ausgezeichnete Einsichten und hat sich nicht entmutigen lassen. Und ja, angesichts dessen, wie die Sicherheitssysteme von Facebook nicht funktionieren, hatte sie auch sehr viel Glück.

Also lassen Sie uns die anderen Versäumnisse von Facebook sehen:

  • Es gibt ein offizielles Verfahren von Facebook zur Wiederherstellung gestohlener Konten: Es erfordert jedoch die Eingabe der E-Mail-Adresse oder der Telefonnummer, die mit dem gestohlenen Konto verknüpft sind. Da sie von N geändert wurden, kannte V sie nicht.
  • Das Senden des Dokuments erfolgt über Facebook: Aus irgendeinem Grund war die Aufnahme des Ausweisdokuments unscharf, obwohl V ein Handy der neuesten Generation hatte. Das Erfassen des Reisepasses, der viel größer ist als der elektronische Personalausweis, war eine brillante Intuition von V.

Straftat

Identitätsdiebstahl ist eine strafbare Handlung, die gemeldet werden sollte. Nicht so sehr, weil es Hoffnung gibt, dass die italienischen Behörden gegen Facebook vorgehen können, sondern weil das gestohlene Profil für Straftaten verwendet werden könnte. Es ist daher notwendig, nachweisen zu können, dass man seit einem bestimmten Datum nicht mehr im Besitz dieses Kontos ist.

V ging zu den Behörden, um den Vorfall zu melden, aber sie konnte ihre Rechte nicht geltend machen.

Lektion gelernt

In letzter Zeit habe ich oft mit dem zu tun gehabt, was ich den Technofaschismus der sozialen Plattformen nenne, wo eine Reihe von schlecht geschriebenen Automatismen und ein starkes Interesse an Überwachung willkürlich oder kausal die Rechte der Menschen löschen.

Allerdings verstehe ich, dass einige Menschen aus bestimmten Gründen wählen, solche Plattformen zu nutzen. Und an diese Menschen appelliere ich, um potenzielle Betrügereien zu verhindern.

In meinem Ansatz zur digitalen Sicherheit gibt es zwei Arten von Konten:

  • solche, die mit meiner Identität verbunden sind und mit sicheren, eindeutigen Passwörtern und, wenn möglich, Zwei-Faktor-Authentifizierung geschützt werden müssen;
  • Wegwerfkonten, die nicht mit meiner persönlichen Identität verbunden sind, die ich jedoch mit fiktiven Daten, sicheren Passwörtern und, wenn möglich, Zwei-Faktor-Authentifizierung schütze.

Es heißt, Vorbeugen ist besser als Heilen, und in diesen Fällen ist es wahrer als je zuvor: Wie dieser Artikel zeigt, ist die Wiederherstellung eines gestohlenen Kontos eine Mischung aus Hartnäckigkeit und Glück. Um äußerst transparent zu sein: Nur wenige Konten werden wiederhergestellt.

Zusammenfassend, wenn Ihr Konto gestohlen wird:

  • Holen Sie sich Hilfe;
  • handeln Sie nicht in einer Notlage, nehmen Sie sich die Zeit, um richtig zu handeln (für uns war es wichtig, von einem Computer aus zu handeln und das Telefon als Unterstützung zu behalten);
  • verwenden Sie die vom Plattform gesendeten Wiederherstellungs-E-Mails;
  • sobald der Zugriff wiederhergestellt ist, unterbrechen Sie die Verbindung zu Ihrem Angreifer (holen Sie sich Rat);
  • verwenden Sie, wenn möglich, das offizielle Verfahren, aktivieren Sie es täglich und falls erforderlich, für Monate.

Eine offene Frage

Es gab eine offene Frage, die zunächst nicht klar war: Welchen Sinn hat es, ein Facebook-Konto zu stehlen, seinen Namen ohne Lösegeld zu ändern? Mit anderen Worten: Wo liegt der wirtschaftliche Nutzen bei dieser Art von Operation?

Die Antwort kam ein paar Tage später: Der Kriminelle hatte das Facebook-Konto verwendet, um eine Kreditkarte hinzuzufügen, die V unbekannt war und wahrscheinlich gestohlen wurde, um Werbekampagnen zu erstellen und zu bezahlen.