免费参与·100+跨境活动 
免费下载·4000+跨境资料 
免费学习·2000+直播课程 
免费加入·15万+卖家交流群 
2024-04-26 14:00
昨晚接到前同事的求助信息,他们公司与广告绑定的Facebook账户被盗,被用于投放其他公司的广告,一晚就损失了2万美金。
最蹊跷的是,对应的账户密码刚刚被修改过,确定没有泄露。由于Facebook账户是二次认证,输入密码后,正常情况下还需要短信的认证,并且相关手机会收到信息通知。
而账户所有人未收到任何通知,只是事后在检查Facebook后台的登录信息时,发现了明显不是自己操作的记录。
图片来源:FB后台截图
当事人很惶恐,不知道对方使用了什么黑科技,为什么事先修改了密码,Facebook的二次认证安全机制没有起作用呢?原因是什么?要如何防范?
事实上,Facebook的二次认证并未失效,这个蹊跷的案例值得所有重要资产管理者引起注意,因为真相会颠覆你们很多认知。
关于二次认证
二次认证现在已经很普遍,它的重点有几个:
1)输入的用户名和密码正确后,还需要预留的二次认证设备,一般是手机短信,或者 Google的二次认证动态机制等,来进行二次认证。2)以上流程适用于新的设备,即以前从未登录的设备,或者最近一段时间都未登录的设备。3)认证通过后,Facebook会在设备上记录信息,在短期内登录时,无需再认证。
调查
经过了几番确定后,相关电脑上安装了向日葵远程,应该以前知道相关信息的人通过该渠道“入侵”电脑。
向日葵做为远程工具应用得非常广泛,大家几乎都用它来操作远程的电脑。到这里,似乎案子就破了,有人通过向日葵到电脑上操作,假借账户投放了自己的广告。
但几个疑点依然显示没那么简单:
1)三个时间点都是工作时间,电脑都有人在使用,如果有人通过向日葵连接过来,会有明显的提示2)就算是通过那台电脑操作,相关的登录IP也和企业固定的IP不符,因此确定是在另外一台设备上登录进行了所有操作3)就算这台设备以前认证过,由于修改了密码,所有设备是需要重新认证的,但相关人员未收到任何信息。
所以,诡异的地方在于,对方是如何在不知道密码,未触发Facebook二次认证的情况,在异地悄然登录完成一系列操作的?
虚拟空间
在具体讲解前,我们的思维先跳跃,看下旅行者号。
旅行者号飞行器飞行几十年,在距离地球64亿公里远外传回最后一张照片,地球只是一个微小的蓝色小点。有段非常感人的话:
图片来源:NASA
徜徉于广袤宇宙之中,我们的目光不禁聚焦在那张令人着迷的照片上。在那片宛如织物般的黑暗中,微弱而淡蓝的光点映入眼帘。它微不足道,然而,那正是我们的家园,地球。每个亲爱的人、每个相识的灵魂,每个传颂的名字,每个历史的缩影,都曾在这个小小的光点上绽放一段辉煌的人生。
让我们再回到地球,你每日在网络上的工作,生活,喜怒哀乐,你以为发生在你的电脑设备上,而实际上,它都发生在一个虚拟空间内,让我们看一个图:
图片来源:Edge浏览器开发者模式运行截图
你的一切足迹,都保存在cookie,localStorage,localDB等组成的一个虚拟空间中。对于Facebook等来说,那就是你的设备,他们留下的,用于判断你身份的信息都在里面。
如果有一种方法,将这个信息完整地复制到另外一个地方,就相当于盗用了你的身份,不会引起任何的预警。 这也是很多所谓超级浏览器,能在一个程序中同时登录多个账户的原理。
有的小伙伴会问,如果同时使用,IP不同,不会被禁用吗?
答案是:如果短期内,在同一个区域内的IP,就算不同也不会有问题。因为你工作的环境可能在变,不断在不同WIFI,移动网络间切换,如果IP一变账户被锁就会给大家带来大麻烦。
但如果是短期内变动范围很大,例如你上个请求在香港,下个请求在日本,则会很快被安全机制锁定。这也是为什么很多使用VPN上网,IP动态变化引起账户被封的重要原因。
再回到事情本身,对方是如何复制的呢?
不要忘记,向日葵除了有远程桌面外,还有远程文件(图中的File),能在你不知晓的情况复制你电脑上任何信息。
图片来源:向日葵远程客户端截图
解决方案
我的建议是:
1)创建一个全新的浏览器用户身份,用该身份登录后,删除以前所有登记的设备
2)在重要电脑上不要安装远程,即使要装也要装自己可以控制的企业版本
3)二次安全认证一定要选择手机短信,而不是Google的二次认证机制,那个分分钟被自动跳过。
在保证广告账户安全,包括广告效果及复杂的跨境电商流程上,我们还有很多需要做的,很多都隐藏在不被注意的角落,需要有人能帮助大家去识别,处理各种风险,给出有力的建议。欢迎大家私信我,随时交流。
(来源:花总)
以上内容属作者个人观点,不代表乐鱼(中国)leyu·官方网站立场!本文经原作者授权转载,转载需经原作者授权同意。
收录于以下专栏
