23°C 16°/ 24°
Internet

Atacar conta do Facebook? Basta ter número de telefone da vítima

68 Comentários

O Facebook é a rede social mais popular da actualidade e nesse sentido devia ser também uma das mais seguras. No entanto, uma falha no protocolo SS7 permite que alguém mal intencionado consiga aceder à sua conta.

Para tal basta saber o seu número de telefone e usar “alguns truques”.

facebook_001


De acordo com a equipa de segurança da Positive Technologies, basta ter o número de telemóvel da vitima para comprometer a sua conta no Facebook. Tal é possível graças a uma vulnerabilidade no protocolo SS7.

O que é o protocolo SS7?

O protocolo de sinalização SS7 (Signalling System No. 7) foi desenvolvido em 1975 e é usado à escala mundial para definir como as redes públicas de telefone comutadas (PSTN) conseguem trocar informação sobre uma rede digital. Este protocolo é amplamente usado entre as várias redes de telemóveis mas, de acordo com vários especialistas, há informação que fica “facilmente” acessível, como por exemplo informação sobre SMS e outra.

A falha deste protocolo é conhecida desde 2014 e tem sido explorada nos mais diversos serviços ( ler: Parece impossível, mas é fácil ouvir conversas entre smartphones).

Mas um dos melhores métodos para ler o Facebook de alguém é uma aplicação chamada eyeZy. Inclui várias ferramentas que levantam a cortina nas suas conversas. Com uma ferramenta chamada Social Spotlight, é possível ler as suas conversas privadas no Messenger, mais uma série de outras aplicações. Isto inclui o WhatsApp e o Instagram, ambos propriedade da Meta (que é proprietária do Facebook).

O eyeZy também inclui um keylogger, que capta as suas teclas à medida que digitam. E há também um gravador de ecrã, que capta instantâneos do seu telefone à medida que o utilizam. Com tecnologia avançada à sua disposição, é fácil ler o seu Facebook e descobrir o que andam a tramar.

Como é feito o “ataque”?

Basicamente o atacante só tem de ir à página do Facebook e carregar em “Forgot account?”. De seguida deverá indicar o número de telemóvel da vítima e conseguir “desviar” a entrega da resposta. O código de acesso é enviado pelo Facebook através de uma SMS.

A Positive Technologies disponibilizou, em vídeo, uma prova de conceito do ataque.

Enquanto o protocolo SS7 não for revisto, continuarão a ser descobertas vulnerabilidades que afectarão a segurança dos mais diversos serviços.

https://www.youtube.com/watch?v=oJOerxSJ0Ss

O SS7 já colocou em causa serviços como o WhatsApp, Facebook, entre outros. Até ao momento não há qualquer solução para este problema.

Autor: Pedro Pinto
Partilhar:
Tags:
Facebook SS7 telefone
Pack económico PiPplware + Raspberry PI 3: Compre já
Artigo anterior

Pack económico PiPplware + Raspberry PI 3: Compre já
Vernee Apollo Lite – 12 pontos que marcam a sua rapidez
Próximo artigo

Vernee Apollo Lite – 12 pontos que marcam a sua rapidez
Também pode gostar
PUB

Comentários

68

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

  1. Avatar de Luís
    Luís

    Isto não me parece uma falha do Facebook. Não é só o Facebook que envia um código de segurança por SMS

    Responder
    1. Avatar de Pedro Pinto
      Pedro Pinto

      Falha do protocolo SS7

      Responder
      1. Avatar de Gustavo
        Gustavo

        Roubou minha conta do feice

        Responder
  2. Avatar de Nuno Santos
    Nuno Santos

    Também não dou o meu número de telefone ao facebook. Estou protegido?

    Responder
    1. Avatar de Nicolas Pastorello
      Nicolas Pastorello

      Mas pensando bem, Já tentou fazer uma pesquisa sobre seu nome no google ou em outros motores de Busca ?

      Responder
      1. Avatar de Nuno Santos
        Nuno Santos

        Já. Tenho o nº de cc exposto na net publicamente devido ao Dia da Defesa Nacional…
        Tinha o meu número de telefone no olx, se colocar o número aparecem os meus anúncios. E ainda o tinha no google plus… Felizmente no google não aparece, mas aparece-me no sync.me, basta alguém com o seu numero e com android instale certas aplicações. Andamos todos vigiados..

        Responder
        1. Avatar de Luis f.
          Luis f.

          Nuno Santos, onde se pode ver essa questão do CC exposto por causa do dia da defesa nacional?

          Responder
          1. Avatar de dav
            dav

            chega dizer que podias lá meter o teu cc para saber o dia em que ias?

          2. Avatar de Estou a usar o w10 porque fui obrigado
            Estou a usar o w10 porque fui obrigado

            Acho que ontem a google ainda estava online

  3. Avatar de Diogo
    Diogo

    Resta ser suficientemente atrasado para hoje em dia deixar um telemovel a mão de semear, e sem codigo. Mas ha gente para tudo.

    Responder
    1. Avatar de PP
      PP

      Leste a noticia? É que pelo que escreveste não parece… ou então não entendeste.

      Responder
      1. Avatar de Diogo
        Diogo

        Tu é que nao deves ter percebido a minha resposta.
        “Basicamente o atacante só tem de ir à página do Facebook e carregar em “Forgot account?”. De seguida deverá indicar o número de telemóvel da vítima e conseguir “desviar” a entrega da resposta.” Significa com isto que deverias ter acesso ao telemovel da vitima, porque no maximo o que podes fazer é obrigar a pessoa a mudar de password.

        Responder
        1. Avatar de TipsHat
          TipsHat

          Não é isso Diogo. Basta só saberes o número de telemóvel associado à conta. Por exemplo se eu soubesse que o teu número estava associado à conta do Facebook bastava isso para poder raptar a tua conta. Não é necessário ter acesso físisco ao telemóvel como estás a dizer.

          Responder
          1. Avatar de Gustavo
            Gustavo

            “desviar” a entrega da resposta.”
            LOL se tivesse acesso ao telemovel da vitima, ia desviar a entrega da resposta para que? enfim….loles

        2. Avatar de lol
          lol

          ““desviar” a entrega da resposta.”
          LOL se tivesse acesso ao telemovel da vitima, ia desviar a entrega da resposta para que? enfim….loles

          Responder
        3. Avatar de Jorge Franco
          Jorge Franco

          ve o filme

          Responder
        4. Avatar de Xela
          Xela

          Diogo lê outra vez por favor

          Responder
        5. Avatar de Rui Dias
          Rui Dias

          Diogo você não entendeu mesmo. Não é preciso acesso físico ao telemóvel da vítima!

          Responder
        6. Avatar de Angelina
          Angelina

          Como faco pada entrar no do meu namorado

          Responder
    2. Avatar de Joao 2348
      Joao 2348

      Existem imensas vulnerabilidades no protocolo SS7, e para ouvirem as comunicações, sms’s, MMS’s e por aí em diante só têm de ter acesso a uma das centenas de empresas pelo planeta inteiro que está ligado a outras operadoras utilizando este protocolo para conseguirem interceptar tudo.
      Até que o estado obrigue as operadoras a mudar para outro protocolo que não tenha vulnerabilidades, não há muito a fazer… embora eventualmente as operadoras pudessem fazer algumas coisas, não parecem estar para aí viradas.

      Mesmo que não tenham acesso directo à rede através do protocolo SS7 existem imensas maneiras de interceptar as comunicações dos operadoras nas proximidades do alvo incluindo estações falsas, e decifração directa das comunicações entre base e móvel.

      Responder
    3. Avatar de Jaime
      Jaime

      Estamos em 2016 ou em 2006?
      Fiquei confundido agora ..

      Responder
  4. Avatar de WR
    WR

    Será assim tão fácil desviar/apanhar a SMS? Se assim for os bancos(internet) que usam o sistema de código por sms para validar uma operação não tem um sistema muito seguro.

    Responder
    1. Avatar de Skyloud
      Skyloud

      Não, basicamente se isso te acontecer foi um amigo próximo que o fez.

      Responder
    2. Avatar de Xinuo
      Xinuo

      Aqui no Brasil os bancos estão começando a usar QR Codes nos telemóveis, mas é para autenticar operações bancárias feitas em PC ou notebooks.

      Responder
    3. Avatar de Pedro
      Pedro

      Sim …… realmente espero que não

      Responder
    4. Avatar de André Silva
      André Silva

      Qualquer sistema que envie o código através de uma sms onde só o número de destino é confirmado, é possível de realizar. É um sistema que funciona da mesma maneira que uma clonagem dos cartões e do Imei do telemóvel.

      Responder
  5. Avatar de vector
    vector

    Só ataca Androids se tiveres iPhone tás seguro!

    Responder
    1. Avatar de Fedora
      Fedora

      A estupidez destes gajos não tem limites. O mundo está perdido

      Responder
    2. Avatar de Manel Torre
      Manel Torre

      isso nada tem a ver com o telemovel que usas…porque apanham a informação ainda antes de ela chegar ao telemovel

      Responder
    3. Avatar de lol
      lol

      LOL!

      Responder
  6. Avatar de Márcio
    Márcio

    muitas entidades usam SMS para a recuperação de password mas parece que não é de todo seguro, até porque por hacking social podes por exemplo pedir ao operador que te desvie as comunicações para outro numero com a desculpa que perdeste o telemovel (numero da vitima), não sei se me fiz entender mas tenho a ideia de já ter visto uma noticia aqui acerca disso

    Responder
  7. Avatar de Mega
    Mega

    O pessoal da FNAC, única coisa que percebem de ataques, são os ataques aos clientes para efetuarem vendas, para ganhar comixões 🙂

    Responder
  8. Avatar de Jorge Franco
    Jorge Franco

    eu tenho o meu numero na conta de facebook
    fui l]a e fiz o recover pus o meu numero e sim apareceu a minha conta mas não tinha a opção de recover por sms apenas por email

    Responder
    1. Avatar de Marquito
      Marquito

      O ideal é utilizar os dois.

      Responder
  9. Avatar de João
    João

    Acabei de experimentar e consegui desviar a informação.
    Grande falha!!!

    Responder
    1. Avatar de Jonh Stuart
      Jonh Stuart

      Que programas usaste amigo?

      Responder
      1. Avatar de João
        João

        Não usei nenhum programa.
        E é bastante fácil, como já aqui vi é só estudar o SS7.

        Responder
  10. Avatar de Manuel Santos
    Manuel Santos

    “e conseguir desviar a entrega da resposta”
    Acho que esta frase diz tudo… se fosse assim fácil…
    Essa parte não está explicada em nenhum lado… Alguém que explique se souber…

    Responder
    1. Avatar de Jorge Carvalho
      Jorge Carvalho

      Vai estudar o SS7 ! 🙂

      Responder
      1. Avatar de Manuel Santos
        Manuel Santos

        Não obrigado

        Responder
        1. Avatar de MLopes
          MLopes

          então se não queres ir estudar, o que significa que não é a curiosidade técnica que te move, queres saber como se faz com que objetivo?! talvez seja mesmo melhor é ires dar banho ao cão…

          Responder
    2. Avatar de Marquito
      Marquito

      Uma das formas é o atacante aguardar vc ficar offline como por exemplo entrar em cinema ou local que bloqueia sinal celular e de posse de um aparelho clonado ele começa a usar o seu número de telefone. Outra forma é ficar em local próximo com o clone e interceptar os sinais. Outra forma é clonar a antena retransmissora de celular próxima, agindo como base e enganar o aparelho da vítima. Outra forma….

      Responder
      1. Avatar de Manuel Santos
        Manuel Santos

        Isso não parece fácil de fazer, a não ser que se seja profissional de telecomunicações e se tenha os equipamentos necessários…

        Responder
        1. Avatar de Marquito
          Marquito

          Tendo dinheiro é fácil pois os equipamentos existem e são fáceis de encontrar e sempre tem funcionários de telecomunicações que aceitam suborno.

          Responder
          1. Avatar de darkvoid
            darkvoid

            que exagero!

  11. Avatar de Gilberto
    Gilberto

    que noticia mais descabida. fala-se no facebook para chamar a atenção dos utilizadores para uma coisa que nada tem a ver com o facebook.
    o pplware esta a virar mais uma novela…

    Responder
    1. Avatar de T
      T

      Tem a ver com o Facebook e com tudo o que usa o SS7. Fala-se no Facebook para chamar a atenção? Sim. É marketing? Claro. E muito bem já que “praticamente” toda a gente o usa.

      Responder
  12. Avatar de Ze Vitos
    Ze Vitos

    Não é facil ter acesso a rede SS7/SIGTRAN/MAP de um operador de telecomunicações.
    Se for um inside job é mais fácil, talvez mesmo a única forma.
    Na outra reportagem referida neste artigo da CBS News, é referido que o acesso a rede SS7/MAP, etc foi dado pela operadora….

    Responder
  13. Avatar de Fairwind
    Fairwind

    Se fosse só o Facebook, é em parte TUDO!! Talvez alguém se lembre de ter visto esta parte do programa 60 Minutos da CBS na SiC: https://youtu.be/9D9DWONrQj4

    Ver a partir do minutos 27:25…

    Agora é que se vai falando mais nesse protocolo e as suas falhas, mas é quase tão “velho” como as redes de telemóveis…

    Responder
  14. Avatar de Joao 2348
    Joao 2348

    Os bancos (e todos os outros serviços) apenas deveriam permitir autenticar operações via canais mais seguros tipo “Threema”… ainda assim é preciso confiar que os próprios dispositivos não estão “contaminados” de alguma maneira, mas aí já é responsabilidade da pessoa garantir a segurança do dispositivo final… mas pelo menos não têm de confiar em toda a infra-estrutura de transmissão (sobre a qual as pessoas não têm qualquer capacidade de interferência, falando de maneira genérica).

    Responder
  15. Avatar de tania
    tania

    posso fazer pelo celular

    Responder
  16. Avatar de Jeff Isaac Hard
    Jeff Isaac Hard

    esse truque funciona!
    pessoal

    Responder
    1. Avatar de Brenda
      Brenda

      Como conseguiu ?

      Responder
    2. Avatar de Vinicius Monteiro
      Vinicius Monteiro

      Quero recuperar minha senha

      Responder
  17. Avatar de Jeff Isaac Hard
    Jeff Isaac Hard

    usando alguns comandos no Propt dos Dos, é a forma mais facil ….

    Responder
    1. Avatar de Anne
      Anne

      Pode me ajudar? Preciso hackers uma conta? Muito obrigada 😉

      Responder
  18. Avatar de Alexandre
    Alexandre

    Oi Boa noite desconfio que minha esposa me trai com alguem e conversa pelo face como faço pra acessar ao face dela mas sem rakear o proprio

    Responder
  19. Avatar de Mactos Barros
    Mactos Barros

    preciso de um hacker para me ajudar a hackear uma conta do facebook

    Responder
  20. Avatar de Rafaelly lima
    Rafaelly lima

    preciso de um hacher para me ajuda .

    Responder
  21. Avatar de Bernardo
    Bernardo

    Apesar desta falha, nós não podemos nos aproveitar!

    Responder
  22. Avatar de Alex
    Alex

    Gostei

    Responder
  23. Avatar de Rochelcio
    Rochelcio

    Amei

    Responder
  24. Avatar de Daniel Miranda
    Daniel Miranda

    Preciso imenso

    Responder
  25. Avatar de Dener Augusto
    Dener Augusto

    Hackearam meu Facebook

    Responder
  26. Avatar de Ernesto Rufino
    Ernesto Rufino

    Não consigo alguém pode me ajudar?

    Responder
  27. Avatar de António Maurício
    António Maurício

    Tentaram hackear minha conta , fui mais esperto que o tall hacker

    Responder
    1. Avatar de Sarah
      Sarah

      Kkkkkkkkkk

      Responder
Aviso:

Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.