Proponha uma correção, faça uma sugestão
Atacar conta do Facebook? Basta ter número de telefone da vítima
O Facebook é a rede social mais popular da actualidade e nesse sentido devia ser também uma das mais seguras. No entanto, uma falha no protocolo SS7 permite que alguém mal intencionado consiga aceder à sua conta.
Para tal basta saber o seu número de telefone e usar “alguns truques”.
De acordo com a equipa de segurança da Positive Technologies, basta ter o número de telemóvel da vitima para comprometer a sua conta no Facebook. Tal é possível graças a uma vulnerabilidade no protocolo SS7.
O que é o protocolo SS7?
O protocolo de sinalização SS7 (Signalling System No. 7) foi desenvolvido em 1975 e é usado à escala mundial para definir como as redes públicas de telefone comutadas (PSTN) conseguem trocar informação sobre uma rede digital. Este protocolo é amplamente usado entre as várias redes de telemóveis mas, de acordo com vários especialistas, há informação que fica “facilmente” acessível, como por exemplo informação sobre SMS e outra.
A falha deste protocolo é conhecida desde 2014 e tem sido explorada nos mais diversos serviços ( ler: Parece impossível, mas é fácil ouvir conversas entre smartphones).
Mas um dos melhores métodos para ler o Facebook de alguém é uma aplicação chamada eyeZy. Inclui várias ferramentas que levantam a cortina nas suas conversas. Com uma ferramenta chamada Social Spotlight, é possível ler as suas conversas privadas no Messenger, mais uma série de outras aplicações. Isto inclui o WhatsApp e o Instagram, ambos propriedade da Meta (que é proprietária do Facebook).
O eyeZy também inclui um keylogger, que capta as suas teclas à medida que digitam. E há também um gravador de ecrã, que capta instantâneos do seu telefone à medida que o utilizam. Com tecnologia avançada à sua disposição, é fácil ler o seu Facebook e descobrir o que andam a tramar.
Como é feito o “ataque”?
Basicamente o atacante só tem de ir à página do Facebook e carregar em "Forgot account?". De seguida deverá indicar o número de telemóvel da vítima e conseguir “desviar” a entrega da resposta. O código de acesso é enviado pelo Facebook através de uma SMS.
A Positive Technologies disponibilizou, em vídeo, uma prova de conceito do ataque.
Enquanto o protocolo SS7 não for revisto, continuarão a ser descobertas vulnerabilidades que afectarão a segurança dos mais diversos serviços.
O SS7 já colocou em causa serviços como o WhatsApp, Facebook, entre outros. Até ao momento não há qualquer solução para este problema.
Este artigo tem mais de um ano
Loading ...
Isto não me parece uma falha do Facebook. Não é só o Facebook que envia um código de segurança por SMS
Falha do protocolo SS7
Roubou minha conta do feice
Também não dou o meu número de telefone ao facebook. Estou protegido?
Mas pensando bem, Já tentou fazer uma pesquisa sobre seu nome no google ou em outros motores de Busca ?
Já. Tenho o nº de cc exposto na net publicamente devido ao Dia da Defesa Nacional…
Tinha o meu número de telefone no olx, se colocar o número aparecem os meus anúncios. E ainda o tinha no google plus… Felizmente no google não aparece, mas aparece-me no sync.me, basta alguém com o seu numero e com android instale certas aplicações. Andamos todos vigiados..
Nuno Santos, onde se pode ver essa questão do CC exposto por causa do dia da defesa nacional?
chega dizer que podias lá meter o teu cc para saber o dia em que ias?
Acho que ontem a google ainda estava online
Resta ser suficientemente atrasado para hoje em dia deixar um telemovel a mão de semear, e sem codigo. Mas ha gente para tudo.
Leste a noticia? É que pelo que escreveste não parece… ou então não entendeste.
Tu é que nao deves ter percebido a minha resposta.
“Basicamente o atacante só tem de ir à página do Facebook e carregar em “Forgot account?”. De seguida deverá indicar o número de telemóvel da vítima e conseguir “desviar” a entrega da resposta.” Significa com isto que deverias ter acesso ao telemovel da vitima, porque no maximo o que podes fazer é obrigar a pessoa a mudar de password.
Não é isso Diogo. Basta só saberes o número de telemóvel associado à conta. Por exemplo se eu soubesse que o teu número estava associado à conta do Facebook bastava isso para poder raptar a tua conta. Não é necessário ter acesso físisco ao telemóvel como estás a dizer.
“desviar” a entrega da resposta.”
LOL se tivesse acesso ao telemovel da vitima, ia desviar a entrega da resposta para que? enfim….loles
““desviar” a entrega da resposta.”
LOL se tivesse acesso ao telemovel da vitima, ia desviar a entrega da resposta para que? enfim….loles
ve o filme
Diogo lê outra vez por favor
Diogo você não entendeu mesmo. Não é preciso acesso físico ao telemóvel da vítima!
Existem imensas vulnerabilidades no protocolo SS7, e para ouvirem as comunicações, sms’s, MMS’s e por aí em diante só têm de ter acesso a uma das centenas de empresas pelo planeta inteiro que está ligado a outras operadoras utilizando este protocolo para conseguirem interceptar tudo.
Até que o estado obrigue as operadoras a mudar para outro protocolo que não tenha vulnerabilidades, não há muito a fazer… embora eventualmente as operadoras pudessem fazer algumas coisas, não parecem estar para aí viradas.
Mesmo que não tenham acesso directo à rede através do protocolo SS7 existem imensas maneiras de interceptar as comunicações dos operadoras nas proximidades do alvo incluindo estações falsas, e decifração directa das comunicações entre base e móvel.
Estamos em 2016 ou em 2006?
Fiquei confundido agora ..
Será assim tão fácil desviar/apanhar a SMS? Se assim for os bancos(internet) que usam o sistema de código por sms para validar uma operação não tem um sistema muito seguro.
Não, basicamente se isso te acontecer foi um amigo próximo que o fez.
Aqui no Brasil os bancos estão começando a usar QR Codes nos telemóveis, mas é para autenticar operações bancárias feitas em PC ou notebooks.
Sim …… realmente espero que não
Qualquer sistema que envie o código através de uma sms onde só o número de destino é confirmado, é possível de realizar. É um sistema que funciona da mesma maneira que uma clonagem dos cartões e do Imei do telemóvel.
Só ataca Androids se tiveres iPhone tás seguro!
A estupidez destes gajos não tem limites. O mundo está perdido
isso nada tem a ver com o telemovel que usas…porque apanham a informação ainda antes de ela chegar ao telemovel
LOL!
muitas entidades usam SMS para a recuperação de password mas parece que não é de todo seguro, até porque por hacking social podes por exemplo pedir ao operador que te desvie as comunicações para outro numero com a desculpa que perdeste o telemovel (numero da vitima), não sei se me fiz entender mas tenho a ideia de já ter visto uma noticia aqui acerca disso
O pessoal da FNAC, única coisa que percebem de ataques, são os ataques aos clientes para efetuarem vendas, para ganhar comixões 🙂
eu tenho o meu numero na conta de facebook
fui l]a e fiz o recover pus o meu numero e sim apareceu a minha conta mas não tinha a opção de recover por sms apenas por email
O ideal é utilizar os dois.
Acabei de experimentar e consegui desviar a informação.
Grande falha!!!
Que programas usaste amigo?
Não usei nenhum programa.
E é bastante fácil, como já aqui vi é só estudar o SS7.
“e conseguir desviar a entrega da resposta”
Acho que esta frase diz tudo… se fosse assim fácil…
Essa parte não está explicada em nenhum lado… Alguém que explique se souber…
Vai estudar o SS7 ! 🙂
Não obrigado
então se não queres ir estudar, o que significa que não é a curiosidade técnica que te move, queres saber como se faz com que objetivo?! talvez seja mesmo melhor é ires dar banho ao cão…
Uma das formas é o atacante aguardar vc ficar offline como por exemplo entrar em cinema ou local que bloqueia sinal celular e de posse de um aparelho clonado ele começa a usar o seu número de telefone. Outra forma é ficar em local próximo com o clone e interceptar os sinais. Outra forma é clonar a antena retransmissora de celular próxima, agindo como base e enganar o aparelho da vítima. Outra forma….
Isso não parece fácil de fazer, a não ser que se seja profissional de telecomunicações e se tenha os equipamentos necessários…
Tendo dinheiro é fácil pois os equipamentos existem e são fáceis de encontrar e sempre tem funcionários de telecomunicações que aceitam suborno.
que exagero!
que noticia mais descabida. fala-se no facebook para chamar a atenção dos utilizadores para uma coisa que nada tem a ver com o facebook.
o pplware esta a virar mais uma novela…
Tem a ver com o Facebook e com tudo o que usa o SS7. Fala-se no Facebook para chamar a atenção? Sim. É marketing? Claro. E muito bem já que “praticamente” toda a gente o usa.
Não é facil ter acesso a rede SS7/SIGTRAN/MAP de um operador de telecomunicações.
Se for um inside job é mais fácil, talvez mesmo a única forma.
Na outra reportagem referida neste artigo da CBS News, é referido que o acesso a rede SS7/MAP, etc foi dado pela operadora….
Se fosse só o Facebook, é em parte TUDO!! Talvez alguém se lembre de ter visto esta parte do programa 60 Minutos da CBS na SiC: https://youtu.be/9D9DWONrQj4
Ver a partir do minutos 27:25…
Agora é que se vai falando mais nesse protocolo e as suas falhas, mas é quase tão “velho” como as redes de telemóveis…
Os bancos (e todos os outros serviços) apenas deveriam permitir autenticar operações via canais mais seguros tipo “Threema”… ainda assim é preciso confiar que os próprios dispositivos não estão “contaminados” de alguma maneira, mas aí já é responsabilidade da pessoa garantir a segurança do dispositivo final… mas pelo menos não têm de confiar em toda a infra-estrutura de transmissão (sobre a qual as pessoas não têm qualquer capacidade de interferência, falando de maneira genérica).
posso fazer pelo celular
esse truque funciona!
pessoal
Como conseguiu ?
Quero recuperar minha senha
usando alguns comandos no Propt dos Dos, é a forma mais facil ….
Pode me ajudar? Preciso hackers uma conta? Muito obrigada 😉
Oi Boa noite desconfio que minha esposa me trai com alguem e conversa pelo face como faço pra acessar ao face dela mas sem rakear o proprio
preciso de um hacker para me ajudar a hackear uma conta do facebook
preciso de um hacher para me ajuda .
Apesar desta falha, nós não podemos nos aproveitar!
Gostei
Amei
Preciso imenso
Hackearam meu Facebook
Não consigo alguém pode me ajudar?
Tentaram hackear minha conta , fui mais esperto que o tall hacker
Kkkkkkkkkk