Hack et Facebook password & Hvordan du beskytter dig!

img_fb001

Der er helt latterligt mange brugere på Facebook. I Oktober 2012, der ramte de 1. milliard brugere. Ja, 1. milliard. Tusinde millioner. Det er ret mange brugere. I Danmark har mere end halvdelen af befolkningen også en konto, og vi deler på livet løs.

Vi samler alt på Facebook

Der er snart ikke den information man ikke kan få på Facebook. Hvem er vi venner med? Hvad kan vi lide at se i TV? Har vi en kæreste? Hvor gik ferien hen sidst? Hvor går den hen næste gang? Vi deler hvad som helst derinde på den blå væg. Men er det sikkert nok? Tja, både og. Der er forskellige muligheder for at få adgang til et password på Facebook – og det behøver ikke være det helt store computergeni for at gøre det.

Her følger fire forskellige måder du kan få adgang til en Facebook profil på:

Reset adgangskode

img_fb002

Vælg dine venner med omhu.

Det her er den letteste måde at tiltvinge sig adgang til en konto på. Det kræver at du er venner med den person, hvis konto du ønsker at få adgang til.

  1. Først skal du bruge den e-mail, som personen bruger til at logge ind på Facebook med. Hvis du ikke har den, så led inde på kontaktinfo siden på deres profil.
  2. Find knappen “Har du glemt din adgangskode?”. Brug den til at logge ind. Nu skal du bare bekræfte at det er din konto.
  3. Nu bliver du spurgt om du ønsker at genetablere dit kodeord via e-mail. Det kan du ikke bruge til noget, da du ikke kan komme ind på personens e-mail. Så du fortæller Facebook at du ikke har adgang til denne e-mail længere.
  4. Nu vil Facebook gerne vide, hvordan de så kan komme i kontakt med dig. Indtast en e-mail, der ikke er tilknyttet nogen anden Facebook konto (og en som du selv kan logge ind på).
  5. Nu skal du svare på et spørgsmål. Kender du personen, så gør det det hele lidt nemmere. Svarer du rigtigt, så har du nu mulighed for at skifte adgangskode til kontoen. Der er nu en sikkerhedslås på, der gør at du skal vente 24 timer, inden du kan komme ind med den nye adgangskode.
  6. Kan du ikke svare på spørgsmålet, så kan du vælge at etablere en ny adgangskode ved hjælp fra dine venner. Du kan nu vælge mellem tre og fem venner, som der så bliver sendt en kode til. Den tredelte kode skal så indtastes for at lave en ny adgangskode. Her kan du lave en aftale med tre fælles venner om at de sender den til dig. Alternativt, så kan du lave tre falske profiler, og så ellers bare tilføje den persons profil du vil have adgang til. Er de den type som bare siger ja til alle, der vil være ven med dem, så er du i mål.

Hvordan beskytter du dig selv?

  • Lav en e-mail specifikt til din Facebook konto. Og den skal deles hvor? Ingen steder.
  • Tænk dig meget grundigt om når du vælger dit sikkerhedsspørgsmål. Det skal være så svært som overhovedet muligt.
  • Du kan specificere, hvilke venner du vil have sendt den tredelte kode til. Her kan du jo vælge familiemedlemmer eller helt nære venner.

Keylogger

img_fb004

Eksempel på keylogger software.

Software keylogger:

En keylogger er et lille stykke software, der registrerer anslag på din computers tastatur. Det opererer i baggrunden, og kan ikke ses. Hver gang du trykker på en tast så gemmer programmet det i en fil. Du kan indstille keyloggeren til at sende informationerne til dig, eller reagere hvis der kommer en URL op som du finder interessant. I dette tilfælde Facebook.com.

Softwaren skal installeres på ofrets computer. Det kan gøres manuelt eller ved at få ofret til at gøre det selv. Eventuelt som et sjovt spil eller lignenede i en e-mail. Der er en del af dem tilgængelige helt frit på nettet. Du kan se et eksempel her.

Hardware keylogger:

En hardware keylogger fungerer på samme måde som en software logger. Den eneste forskel er at den skal være i nærheden eller fysisk tilsluttet ofrets computer. Det kan blandt andet opnås på denne måde.

Den mest enkle måde er at installere den på en simpel USB stick, og så ellers sætte den i computeren. Men da en del i dag bruger bærbare computere, så vil den alligevel stikke lidt ud (no pun intended). Så du kan enten installere den på et af ofrets egne USB sticks, og så håbe på at der er et tidspunkt, hvor den er tilsluttet og personen tilgår sin Facebook profil, eller gå efter den stationære, hvor den ikke er så synlig.

Hvordan beskytter du dig selv?

  • Få fyret op for den Firewall. Keyloggers sender informationer ud af din computer, og i langt de fleste tilfælde, så vil en Firewall opdage at der er mistænkelig aktivitet og luk det ned.
  • Brug en digital password manager. Keyloggere kan kun registrere anslag på dit tastatur. Og hvis du ikke taster noget, så er der ikke noget at logge. Apple har en udemærket en af slagsen indbygget i Safari f.eks.
  • Skift dit kodeord. Og gør det regelmæssigt.

Phishing

img_fb005

Eksempel på klonet Facebook side. Bemærk URL’en, der intet har med www.facebook.com at gøre.

Det her er ikke den letteste måde. På ingen måde faktisk. Men det er nok den mest benyttede. Phishing benytter sig af en falsk hjemmeside, hvor du så får en person til at indtaste sit brugernavn og adgangskode. Det kræver en hel del. For det første skal du have et troværdigt domæne – altså et som er relativt tæt på det domæne, som du forsøger at hente passwords fra. I vores tilfælde er det Facebook.com.

Det næste du skal er at lave en eksakt kopi af Facebooks login side (alternativt klone hele siden), og så ellers lave en mindre ændring til koden, der gør at når ofret indtaster sine oplysninger, så bliver de indsamlet og videresendt til dig. Det er ikke helt uden udfordringer at lave en såkaldt “Evil Twin”, men det kan lade sig gøre.

Hvordan beskytter du dig selv?

  • Du skal IKKE klikke på links der kommer via e-mails, som du ikke selv har bedt om. Login bør altid foregå via hovedsiden, hvor du normalt kommer ind.
  • Links kommer ikke kun via e-mails. De kan sagtens forekomme i chatbeskeder, på fora på internettet og alle mulige andre steder. Opgiv ALDRIG dine login informationer nogle steder.

Stjæl Cookies

img_fb003

HexSpy i aktion.

Cookies er nogle små ting, som lagrer information på din computer. Det kan være logininformationer som en given side bruger til at logge dig ind og ud af din konto. Ved at få adgang til de cookies, så kan en person udefra få adgang til din konto. Selve dit kodeord og brugernavn bliver ikke lækket, men er du online, så vil en person på samme netværk være i stand til at være online samtidig med dig. Når du logger ud, så bliver personen også smidt af.

Der var tidligere et fikst lille plugin til Firefox, der hed Firesheep. Det er ikke længere aktivt med den nyeste udgave af browseren, så nu er det HexSpy du skal bruge. Lidt forenklet, så opsnuser den trafik på et netværk, og gemmer cookies, der er relateret til sider som er indkodet i selve plugin’et. Lige nu er listen over kompatible websites ikke så lang, men der er nogle tunge nogle på, heriblandt Facebook, Google, Twitter, Gmail, Yahoo Mail, LinkedIn, Outlook Mail, MySpace, Instagram og Youtube.

Hvordan beskytter du dig selv?

  • Facebook har skiftet over til at køre med et sikkert (HTTPS) login som standard, og det kan en sniffer ikke bryde igennem som udgangspunkt.
  • Benyt et plugin til at tvinge en sikker forbindelse igennem overalt. Du vil hellere se HTTPS end HTTP.
  • Log ud af websites når du er færdig med at bruge dem. Snifferen kan kun hente data fra steder, hvor du er logget ind.
  • Benyt en VPN til at kyptere din færden på nettet. Det vil forhindre en udefrakommende i at hente data fra dig med ovenstående metode.

Tænk dig om, og så går det hele!

Det bedste du kan gøre er at tænke dig om. Lad være med at dele noget som du ikke vil have ud i offentligheden. Gå ud fra devisen: Er det på nettet, så kan alle se det.

Vi arbejder på en kommende artikelserie om datasikkerhed på nettet. Så følg med på bloggen og bliv klogere på, hvordan du beskytter dig selv.

 

Update: 01.02.2015: Vi har lavet en lille guide til, hvordan du laver din egen keylogger, og skjuler den i en simpel USB oplader. 



Forfatter(e)

Relaterede indlæg

3 kommentarer

  1. Pingback: God sommer – Her er vores mest læste blogindlæg | Keilberg & Christiansen

*

Top