昨天 (2023/11/20) 晚上 8:19 我經歷了一場歷時 16 小時的驚魂記,因為我的臉書 (Facebook) 帳號被盜了!我之前已經將 Facebook 所有的安全保護機制全部都啟用且設定過,二階段驗證也有啟用,但帳號是還是被盜了,這還是讓我覺得不可思議。還好就在剛剛我經成功把帳號救回來了,所以我想分享一下我這 16 小時的親身經歷,希望能幫助到有遇到同樣問題的人。
帳號被盜的過程
昨天晚上 8:19 我收到一封來自 Facebook 的信件,信件內容是說有人新增了一個 E-mail 到我的 Facebook 帳號,由於我在 Facebook 註冊了 5 個 E-mail 地址,所以我是一口氣收到 5 封郵件,每個信箱都有收到。
由於當時是家庭時間,我並沒有看到這封郵件,不過我還是有在滑手機,大部分時間也是在 Facebook 上面看貼文,我完全沒收到任何通知,直到我 8:45 左右發現手機 Facebook APP 發生了異常,突然間 Facebook 都看不到任何新的貼文,按任何一個按鈕都沒有反應。一開始我還以為是網路異常造成的,所以不以為意,繼續跟小朋友看電視,但過了一會兒,小孩準備要去洗澡睡覺了,我就回座位用桌機看 Facebook 是否正常,結果發現帳號被登出了。接著去看郵件,這才發現不妙,駭客已經把我的所有 E-mail 與手機號碼全部移除,導致我完全無法存取我的 Facebook 帳號,這實在是太扯了!🔥
當時已經是 9:10 了,我立即按下了如上圖郵件中的「這不是我」按鈕,結果已經來不及了,他說:「你點擊的連結已經失效或過期了。」
這個過程僅花了 2 分鐘,駭客就連續完成了以下動作:
- 新增駭客的 E-mail 地址並將我所有註冊在 Facebook 的 E-mail 移除
- 重設我的密碼
- 移除我的電話號碼
我收到的郵件如下:
總之,當下的我還是有點震驚,我個人從來沒有帳號被盜的經驗,這是第一次,我對帳號安全還是有一定的警覺性,對於各網站也都沒有共用密碼,沒想到還是在 Facebook 中了一箭!
如何取回被盜的 Facebook 帳號
若要救回你被盜的帳號,接下來是最重要的步驟,必須小心操作!
-
開啟 https://www.facebook.com/hacked/ 頁面
-
輸入你的 E-mail 信箱,不過這應該會搜尋不到,因為駭客已經移除了你的信箱!
所以,此時你要輸入駭客的信箱,這個信箱就在你的 E-mail 裡面,Facebook 回發通知給你,如同我上面「帳號被盜的過程」的第一張圖片所示:
-
接著輸入你原本的 E-mail 信箱與原本的密碼
注意: 因為駭客已經移除了你的信箱,你若用無痕視窗是無法用你原本的 E-mail 帳號登入的,必須依賴你原本瀏覽器中的登入紀錄。
-
接著左下角有一個「已無法用這些方式獲取驗證碼」,按下後會要求你填一個新的信箱,然後 FB 會寄一組驗證碼到那個新的信箱,並要求你填入驗證碼。
-
填入驗證碼確認後,他就會要求你上傳身分證件,請提供一個擁有清楚姓名與大頭照的相片給 Facebook 審核,他會去比對你的身分資料,如果你的身分證件上的姓名與大頭照與你的 Facebook 帳號相符,那麼你就有很大的機會可以取回你的 Facebook 帳號。
這個步驟送出之後,帳號就再也登入不了,包含駭客,所以是鎖住的狀態,這可以避免你的帳號被拿來做壞事。
-
接著則是漫長的等待過程,由於帳號被盜心情一定不太好受,因此請務必耐心的等待 Facebook 回覆證件的驗證結果。我就是等了 15 個小時才收到 Facebook 回覆,郵件標題為 Final step to get back on Facebook
,的信件內容如下:
-
你只要按下郵件中的 Reset password 按鈕,就可以重新設定你的密碼,然後就可以重新登入你的 Facebook 帳號了。請記得登入後立即設定 2FA (二階段驗證),這樣才能避免帳號再次被盜。
攻擊手法分析
老實說,我還是不知道駭客是如何盜取我的帳號的,我覺得最有可能的原因是:
-
Facebook 網站有未知的 0-day 漏洞
-
駭客獲取或偽造了我的身份證件,透過 Facebook 檢舉被入侵的帳號頁面,重設了我的密碼!
注意: 重設密碼後的帳號,二階段驗證等同於失效,想想還真可怕!
-
可能被某個惡意的 Chrome / Edge 擴充套件劫持了我在 Facebook 的 Session Cookies
我其實把大部分已安裝的擴充套件都停用了,只啟用常用的而已,但我覺得這還是一個可能的攻擊途徑!
強化帳號安全
Facebook 有個密碼和帳號安全頁面,可以幫助你替帳號設定的更安全!
總結
我的帳號復原之後,怎樣也查不到任何詭異的 IP 來源或登入紀錄,所以我還是無法確認到底是透過什麼管道入侵帳號的,如果有人知道還有什麼可能的話,請留言告訴我,謝謝!
最後,我在思考,如果我是 Facebook 的話,我會怎樣加強帳號安全?
-
我個人資料擺在哪邊十多年,駭客可以在 2 分鐘以內移除我的所有個人資料,而且我本人沒有收到任何通知。
更新個人資料都應該再次輸入二階段驗證。
-
雖然說有發通知給我,但不到半小時就失效,搞什麼啊?我一定要每分每秒都在滑 Facebook 才能確保帳號安全嗎?!
我覺得 Facebook 與信箱同時被盜的機率較小,所以我覺得可以延長這個時間,讓使用者有時間可以回應,半小時實在是太短了。
-
駭客在新增 E-mail 地址時,有發通知給我,但移除 E-mail 的時候,卻無消無息,這不合理吧?正常人不會隨便移除自己的個人資料,而且還是全部移除!
這種明顯惡意的操作,應該優先阻擋,或是延長修改的時間,讓使用者有時間可以意識到被攻擊。
-
駭客移除我的手機、移除我的 E-mail,完全不需要二階段認證,這也不合理吧?
任何重要的操作都應該再次輸入二階段驗證!
相關連結