Trucar el compte habilitat per a assistència al client de Facebook

L’equip d’assistència al client de Facebook ajudarà a algú a entrar al vostre compte.

L'usuari de Reddit, SquidWhale, afirma que algú va ser capaç de canviar l'adreça de correu electrònic, la contrasenya i la configuració d'autenticació de dos factors del seu compte de Facebook simplement suplantant-lo en missatges a l'equip d'assistència al client.

Els missatges ni tan sols s’han enviat des de l’adreça de correu electrònic utilitzada per al compte de Facebook i el representant de l’atenció al client va acceptar una identificació defectuosa després de demanar-li al hacker que demostrés que el seu compte els pertany realment.

Això és el que va fer que el pirata informàtic tingués accés al compte. Un cop fet això, va canviar tots els detalls d’inici de sessió, va suprimir diverses pàgines de Facebook dedicades al negoci del propietari del compte i va enviar una foto petita a la promesa del propietari legítim.

Tot l’assumpte va durar quatre hores de principi a fi. No importava que el pirata informàtic no tingués l’adreça de correu electrònic o la contrasenya del propietari del compte. Fins i tot, ni tan sols importava que el propietari del compte hagi activat l'autenticació de dos factors.

Tot el que importava era el fet que l’assistència al client de Facebook estigués disposada a canviar aquests paràmetres malgrat totes les banderes vermelles: enviant un correu electrònic des d’una adreça equivocada, afirmant que no tenia un telèfon, proporcionant una identificació incorrecta.

Tot això gràcies a una tècnica anomenada enginyeria social. En lloc de trencar el xifratge, robar dades o fer servir la màgia tècnica per accedir a la informació d'algú, l'enginyeria social només confia en dir una mentida convincent.

Simplement mireu aquest vídeo de Fusió "El futur real", que mostra a una dona que accedeix al compte de telèfon de l’editor Kevin Roose, que no té res més que un clip de YouTube d’un bebè plorant i d’una actuació dramàtica:

Facebook no és l'única empresa vulnerable a l'enginyeria social. A principis d’any, Amazon va ser acusada de donar informació personal d’un client a algú que els suplantava.

Més recentment, el compte de Twitter de l’activista dels drets civils DeRay McKesson va ser robat a través de l’enginyeria social. El pirata informàtic que es va presentar com a McKesson en una trucada a Verizon, va canviar la targeta SIM associada al seu número i, a continuació, va utilitzar aquest accés per evitar l’autenticació de dos factors al compte de McKesson.

SquidWhale finalment va ser concedit accés als seus comptes. Li va tornar el compte de Twitter de McKesson. Però això no canvia el fet que hagin perdut l'accés a serveis importants, tot i que van intentar defensar-se.

Només hi ha molta gent que pot fer per protegir-se en línia. Utilitzeu contrasenyes úniques fortes. No utilitzeu cap d’aquestes contrasenyes terribles. Configureu l'autenticació de dos factors. Eviteu les connexions insegures que puguin permetre que algú intercepta les dades d’inici de sessió mentre s’esteen en trànsit.

Aquest propietari de negocis va fer totes aquestes coses. Tanmateix, mentre els equips d’assistència al client siguin capaços de canviar de compte o buscar informació confidencial, sempre hi haurà un enllaç feble en la tanca metafòrica que envolta les dades personals.

Facebook encara no ha respost a les sol·licituds d’entrevistes sobre aquest cas, però actualitzarem aquesta història quan ho faci.