บันทึกการกู้คืน facebook ที่ถูก hack ลบเบอร์ ลบอีเมล์ เปลี่ยนรหัสผ่าน

แชร์ประสบการณ์ถูก hack facebook แบบไม่ทันตั้งตัว เหตุการณ์เกิดเมื่อ 16 มิ.ย. 2566 เวลา 9.38 ผมกำลังนั่งดูทีวี และไถมือถือไปด้วย มีการแจ้งเตือน login มาจากที่อื่น ผมยังไม่ทันได้กดดูการแจ้งเตือน messenger ในมือถือก็แจ้ง session expired แล้วมันก็ถูกเตะออกไปหน้า login พอกลับมาที่ facebook กดเข้าไปดูที่แจ้งเตือนก็พบว่าเป็นหน้าขาว ๆ ไปแล้ว แปลว่า facebook ผมก็ถูกเตะออกเหมือนกัน มันเข้ามาโดยข้าม 2 factor authentication (2FA) มาได้ ไม่มีการแจ้งเตือนในมือถือ แบบที่เวลาเราผม login เครื่องอื่น มันจะต้องถามในมือถือก่อน และนี่เป็นภาพสุดท้ายที่ผม capture ได้ก่อนจะแตกคามือ

ผมรีบมาเปิด notebook เพื่อพยายามกู้คืนบัญชี โดยเข้าไปเปิดอีเมล์ที่ผมผูกกับ facebook ไว้ พบว่า hacker เริ่มจาก add email เข้ามาก่อน (ซึ่งผมเองก็ตกใจ ไม่ทันเข้าไปเช็คที่เว็บไซต์ของ mailnesia.com ไม่งั้นอาจจะกู้คือได้เร็วกว่านี้)

mailnedia.com คือ Anonymous E-Mail บริการสร้างเมล box ฟรี แบบไม่ต้องมี username, password ใครที่รู้ชื่ออีเมลที่ตั้ง ก็สามารถเข้าไปเช็ค inbox ได้

สิ่งที่พบต่อมาคือการแจ้งเตือนการเปลี่ยนรหัสและการเข้าใช้งาน ผมผูกเบอร์และอีเมลไว้จำนวน 3 เมล hacker ก็ทยอยลบจนหมด โดยลำดับขั้นตอนดังนี้

  1. เพิ่มเมลของ hacker เข้ามาใน facebook ของเรา
    This is to let you know that the email address [email protected] was just added to your Facebook account.
    About this request
    – Sunday, July 16, 2023 at 9:38 AM (UTC+07)
    – Near Hobro, Denmark
    – Chrome, Windows
  2. Hacker ดำเนินการเปลี่ยนรหัสผ่านของเรา
    This is to let you know that your password was just reset.
    About this change
    – Sunday, July 16, 2023 at 9:40 AM (UTC+07)
    – Near Hobro, Denmark
    – Chrome, Windows
  3. จากนั้น login ด้วยรหัสผ่านที่ hacker ตั้งใหม่
    We noticed an unusual login from a device or location you don’t usually use. Was this you?
    New login
    – July 16, 2023 at 9:41 AM
    – Near Hobro, Denmark
    – Chrome on Windows
  4. ลบอีเมล์ของเราออกจาก facebook ของผมผู้ไว้ 3 เมล ทำให้แจ้งเตือน 3 ครั้ง
    This is to let you know that the email address [email protected] was just removed from your Facebook account.
    About this change
    – Sunday, July 16, 2023 at 9:48 AM (UTC+07)
    – Near Esbjerg, Denmark
    – Chrome, Windows

ข้อสังเกตุคือมีการเข้าใช้ IP ของ Esbjerg, Denmark และ Hobro, Denmark

เมลด้านบนที่ขีดเส้นใต้สีเขียวไว้คือ ความพยายามกู้คืนครั้งแรก

เริ่มกระบวนการกู้คืน

ผมกดลิงค์ที่ได้จากอีเมลฉบับแรกที่แจ้งเตือนการเพิ่ม email address เข้ามา โดยกดลิงค์เข้าไป จะพบกับหน้านี้ เมื่อกด Secure account ก็พบว่าไม่ทันการแล้ว ผมไม่สามารถ recovery ด้วย email หรือ เบอร์โทร ที่เคยกรอกไว้ได้แล้ว เรียกว่าโดยยึดโดยสมบูรณ์

เข้าที่ URL นี้ https://www.facebook.com/hacked เพื่อแจ้งให้ facebook ทราบว่า account ของผมถูก hack

วิธีการคือผมกรอกอีเมลหรือเบอร์ เพื่อให้ขึ้น account ของเราสำหรับกู้คืน จากนั้นกรอกอีเมลที่จะรับ code สำหรับเข้าไปยังหน้ากู้คืนบัญชี มันจะส่งรหัส

รหัสจะถูกส่งมาเป็นตัวเลข 6 หลัก

จากนั้น facebook จะให้เราอัพโหลดไฟล์ เพื่อยืนยันตัวตน เอกสารที่ส่งที่ผมแนะนำจะเป็น บัตรประชาชน, ใบขับขี่ ให้มันตรงกับชื่อที่เราตั้งไว้ใน facebook

ถ้าใครที่ตั้งชื่อไม่ตรงกับ facebook ผมไม่แน่ใจว่าการยืนยันจะผ่านหรือป่าว แต่ AI เวลาตรวจมันจะไม่ได้อ่านชื่ออย่างเดียว มันจะตรวจสอบจากใบหน้าบนบัตรด้วย

เมื่อกรอก code แล้ว จะเข้าสู่หน้าการ upload ไฟล์ ระบบ facebook 2023 จะให้ถ่ายภาพจาก webcam หรือ กล้องมือถือ โดยถือบัตรไว้ในกรอบที่ตัวแอปแสดงให้ พอถ่ายภาพแล้วกดส่ง การ review มันจะ 24-48 ชั่วโมง

รอการ Review

หลังจากที่เราแจ้งระงับบัญชีไปแล้ว มันจะเป็นสีเทาๆ แสดงว่าทั้ง hacker และ เราก็จะไม่มีใครเข้าใช้งานได้ ให้เรารออีเมลตอบกลับจากทาง facebook ซึ่งแนวทางก็จะมีวิธีแตกต่างกันไป หากพบว่าอีเมลตอบกลับมาด้วยข้อความแบบนี้

Thank you for submitting your ID
Hi Thanikul,

Thanks for contacting us. It looks like we couldn't confirm your identity from what you sent. To help you with your account, we'll need you to send a photo or scan of something from our ID list that confirms your identity:

https://www.facebook.com/help/159096464162185/?ref=CR

You can help us confirm your identity in one of two ways:

- Send a photo or scan of one government issued ID like a drivers license, passport or official name change paperwork

or

- Send a photo or scan of two different non-government issued IDs like a magazine subscription and a school ID or a bank statement and a membership ID

There are also a few things you can try to get back into your account on your own:

- Log in from a computer or phone you’ve used to log into Facebook before.
- Turn off private browsing or incognito mode in your browser.
- Request a new login approval code. To learn how to do this, please visit the Help Center:

https://www.facebook.com/help/132694786861712/?ref=cr

We hope to hear from you soon so we can help you get back into your account.


Best
Facebook Security

ไม่ต้องตกใจ ให้เราลองเปลี่ยนบัตรใบอื่น ที่มีชื่อและหน้าของเรา และถ่ายภาพส่งไปใหม่อีกครั้ง ซึ่งปัญหาของ webcam ก็มีส่วนทำให้ภาพมันไม่ชัด ไม่สามารถพิสูจน์ได้ ให้ลองหา webcam ที่ความละเอียด 720p ขึ้นไปมาต่อดู

หลังจากที่ส่งไปใหม่แล้ว ได้พบข้อความแบบนี้ ถือว่าเป็นนิมิตรหมายที่ดี เราจะได้บัญชีของเราคืนจากอีเมลแบบนี้แหละ ซึ่งอีเมลที่ยืนยันตัวตนผ่าน จะเข้ามาพร้อมกัน 2 ฉบับ คือแจ้งรหัสผ่าน สำหรับเข้าใช้งาน และแจ้งการเพิ่มอีเมล

ขั้นตอนที่สำคัญและมีลำดับขั้น คือ ให้ login ให้ได้ก่อนด้วยรหัสที่ facebook security ส่งมาให้ การ login ให้เราพยายามหา account ของเราให้เจอ เช่น การค้นจากชื่อบัญชี, หรือ อีเมล หรือ URL ของ facebook เราก็ใช้ได้

หลังจากกรอกรหัสไปแล้ว จะมีหน้าจอถาม ว่าต้องการบันทึกการเข้าใช้งาน กับเครื่องนี้หรือไม่ เลือก save browser แลัวกด continue

มาถึงหน้าจอนี้ก็สำคัญ เนื่องจากผมถูกลบเบอร์โทรไปแล้ว ไม่สามารถเข้าใช้เบอร์ได้ เผลอไปกด no มันก็เลยวนกลับไปให้ผมยืนยันทางอีเมล (อันนี้พลาดมาก อย่าทำ) ให้กด yes แล้วใส่เบอร์โทรศัพท์เราเข้าไป

หากเรากด no มันจะย้อนกลับไปให้เรารับรหัสทางอีเมล ซึ่งเราก็ไม่ใช่เจ้าของอีเมล และเราก็ยังไม่มีอะไรรับรองว่าเป็นบัญชีของเรา กระบวนการนี้จะถูกวนซ้ำแบบไม่มีทางเลือกอะไรได้เลย คล้ายๆ ภาดนี้

จากนั้นกรอกเบอร์โทรศัพท์ที่เราจะทำการ ยืนยันการเข้าใช้งานเข้าไป

จะได้ code ทางข้อความ จากนั้นนำมากรอก เราจะผูกเบอร์สำเร็จ จากนั้นให้กลับไปที่อีเมล ลองคลิก confirm email เพื่อยืนยันการเพิ่ม อีเมล หากไม่ได้ เราจำเป็นต้องตั้งรหัสผ่านใหม่เสียก่อน โดยให้ตรวจสอบให้แน่ใจว่า เราได้ผูกเบอร์ไว้แล้ว จากนั้น reset รหัสผ่าน และ login เข้าใช้งานใหม่ ลิงค์ confirm email ก็จะ active ให้ จากนั้นค่อยลบอีเมลของ hacker ออกไป

กระบวนการนี้บางครั้งมันก็ไม่ได้สำเร็จในครั้งเดียว อาจต้องทำซ้ำหลายครั้ง ที่ผมเจอคือครั้งแรกสามารถเข้าได้แล้ว แต่ผมไม่สามารถเพิ่ม email และเบอร์โทรเข้าไปได้ มันเป็นการเข้าใช้งานจากรหัสผ่านชั่วคราวที่ facebook สร้างมาให้ หลังจากที่ผม logout มันก็จะเข้าไม่ได้อีกเลย นั้นแปลว่าเราต้องเริ่มกระบวนการยืนยันตัวตนของเราใหม่ครับ

ผมทำอยู่ เกือบ 2 เดือนกว่าจะได้บัญชีคืน คือลองผิดลองถูก ลองหาข้อมูลดูแล้ว ไม่พบแนวทางที่ชัดเจน ส่วนใหญ่เขาแค่ถูก hack ไม่ได้ลบเมล กับ เบอร์โทร มันเลยกู้คืนง่าย แต่รับประกันว่าถ้าเราเคยใช้งาน facebook แบบจริงๆจังๆ แบบสามารถระบุตัวบุคคลขอเราได้ เราก็กู้คืนได้แน่นอนครับ ถ้าเป็นพวก ID ผีที่ทำไว้เล่นๆ ก็คงจะยากหน่อย

วิเคราะห์สาเหตุที่ถูก Hack

ลองตรวจสอบ activity logs ก็ไม่พบอะไรมาก พบเพียงการเข้าใช้งานแค่ logout, login จาก IP อื่น ซึ่งไม่มีการส่ง 2FA มายืนยันเลย ผมเลยคาดว่าน่าจะเกิดจาก 3rd party อื่นที่เราไปใช้งาน login ด้วย facebook น่าจะถูก hack ไป ให้เรา hacker สามารถยกระดับสิทธิ์ เพื่อเข้าถึงบัญชีของเราได้ ซึ่งก่อนหน้าที่ผมจะถูก hack ผมเข้าไปล๊อคอินด้วย facebook ใน wordpress social plugin ตัวนึง ที่เพิ่งมีข่าว ซึ่งก็ไม่มั่นใจว่าจะเกี่ยวกันหรือป่าว เพียงแต่เป็นข้อสันนิษฐาน

อ้างอิง : https://thehackernews.com/2023/06/critical-security-flaw-in-social-login.html

หน้าจอ facebook บนมือถือเมื่อเราเปิด Two-Factor Authentication

หากมีการ login มาจากเครื่องอื่น มันจะต้องมีการแจ้งเตือนแบบนี้เข้ามา หากเราเห็น ก็สามารถกด No เพื่อปฏิเสธได้ หรือหากเป็นเราที่ login เข้าใช้งานเองก็กด Yes จึงจะสามารถเข้าใช้งานได้