入侵Facebook／Facebook黑客一直是搜索量最多的网络话题之一。下面就为大家准备了一份入侵Facebook账户方式集锦，以及如何针对攻击行为做出正确的防护举措。作为一名Facebook白帽黑客，经常会听到很多人问我这些问题：

有没有破解Facebook的工具？
在哪里能买到Facebook攻击软件？
有没有免费的Facebook密码探测器？

就我所知的话，目前并没有这种工具，你也不可能在任何地方获取到。也许通过“谷歌”搜索，你会看到很多网站都声称他们可以提供免费的破解工具，但是往往都是需要完成调查问卷才能进行下载，甚至问卷结束后你也无法获得下载权限。这些广告不过是想要获取你的信息来挣钱而已，所以不要浪费你的宝贵时间来寻找这种黑客工具了。如果你想知道黑客如何入侵Facebook账户，请继续阅读下面列出的相关技术手段。这所有手段中，最成功的方式就是网络钓鱼，可以让任何没有高超技能的人在短短几分钟内成功获取Facebook密码。

下面列举的攻击手段不仅适用于Facebook，像我们日常使用的谷歌、Twitter、雅虎等网站也同样适用。

“如何懂得黑客是如何工作的，你就不会那么容易遭到攻击”。需要强调的一点是，这篇文章不是为了告诉你如何入侵Facebook账户，还是教育人们黑客攻击是如何运作的，我们应该如何阻止这些行为。切记不可将这些技术用于恶意用途！

方法一：网络钓鱼

网络钓鱼是黑客获取Facebook密码最常用的技术。这种手段对任何没有技术知识的人都可以适用，因此备受青睐。由于钓鱼页面的布局和外观具有很高的可信度，因此很多人都成为钓鱼页面的受害者。

网络钓鱼如何运作？

简单来说，网络钓鱼是创建知名网站页面的重复副本的过程，其目的是窃取用户密码或其他敏感信息（如信用卡详细信息等）。在入侵Facebook账户的主题下，我们需要创建一个Facebook页面的完美复制品，但是其链接地址却是不同的，如fakebook.com 或 faecbook.com或任何看起来像“facebook.com”的网址。当用户登录到这样的页面时，他们可能认为这就是真正的Facebook登录页面，所以要求他们输入用户名和密码时，他们也不会有所怀疑。如此一来，用户的登录名和密码就全部被发送到黑客伪造的Facebook钓鱼网页中。

案例：John是一名程序员，他创建了一个Facebook登录页面，其中包含一些脚本可能帮他获取用户名和密码信息。John把这个伪造的登录页面放置在https://www.facebouk.com/make-money-online-tricks。Peter是John的朋友，John发送信息给Peter称，“你好，Peter，我发现一个网上赚钱的方法，你肯定有兴趣，链接为：https://www.facebouk.com/make-money-online-tricks。Peter点开链接发现一个Facebook的登录页面。像往常一样，Peter毫不犹豫地输入了Facebook的用户名和密码。现在Peter的用户名和密码都被发送给了John，Peter却被重定向到一个赚钱技巧页面https://www.facebouk.com/make-money-online-tricks。这就是Peter的Facebook账户被黑的全过程。

如何防止FaceBook网络钓鱼攻击？

黑客可以通过各种手段对你实施钓鱼攻击，如电子邮件、短信、Facebook信息以及网站广告等。只要你点击这些消息中的任何链接都会将你引入一个Facebook登录页面。当你看到Facebook页面时，唯一需要着重注意的就是该页面的网址，因为没有人可以使用Facebook的合法网址进行任何攻击行为，除非其自身存在XSS零日漏洞（下文会讲到这种攻击技术），但这种情况是非常罕见的。

你在浏览器中应该看到的网址是什么样的呢？真实的Facebook网址是https://www.facebook.com/（尾部斜线很重要，因为它是谷歌chrome中区别域和子域的唯一分隔符。）此外，地址栏提供的应该是HTTPS。

将这些问题记在脑海中可以帮助你防止网络钓鱼攻击。下面展示的就是一个超级完美的网络钓鱼页面： 

大多数人不会怀疑上面给出的钓鱼页面，因为它有HTTPS前缀，www.facebook.com也没有问题。但是这是一个钓鱼网页，请注意该页面的网址https://www.facebook.com.infoknown.com，这就意味着https://www.facebook.com是“infoknown.com”的子域。因为Google Chrome不像Firefox那样区分子域和域。

SSL证书（HTTPS）可以从许多供应商处获得，但是很少有供应商能提供1年的免费SSL证书。对于一个新手来说，创建一个这样完美的网络钓鱼页面不是什么难事。所以一定要谨慎对待！

上图是一个普通的Facebook钓鱼页面，只对一些字母进行了修改。

方法二：社会工程学

这是黑客入侵Facebook第二惯用的手段。事实上，这种手段不能列为攻击手段，因为这种方法没有太多的知识要求。我之所以在攻击手段中列出这种方法，就是确保入侵Facebook账户的最常见技术都能包含其中。社交工程基本上是为入侵行为收集有用的信息，如出生日期、手机号码、男／女朋友手机号码、昵称、父母姓名及住址等。

社会工程如何运作？

问题一：安全问题

许多网站都有一个常见的密码重置选项称为安全问题。最常见的安全问题是“你的昵称是什么？”，“你的本地位置是哪里？”或用户自定义的任何问题。从相应的人那里获取这些信息，可能会让我们入侵到他们的帐户中。Facebook也提供了安全问题作为密码恢复选项，所以如果任何人知道它的答案，他们可以使用忘记密码选项来破解您的帐户。

问题二：最常见的弱密码

安全问题不能让别人很轻松地访问你的Fb帐户。但是设置弱密码就可以轻松地允许任何朋友侵入您的帐户。那么什么是弱密码呢？第三方很容易猜到的密码称之为弱密码。以下是人们在Facebook中最常使用的一些密码：

手机号码；
昵称/姓名和出生日期；
男朋友/女朋友的手机号码 - 大多数是恋人之间；
男朋友/女朋友的名字 - 大多数是恋人之间；
男朋友和女朋友名字组合；
车牌号；
未使用/旧手机号码；
爱称；
亲人的名字（也可以是朋友）；

如何保护自己免受社会工程攻击？

问题一：安全问题

不要设置简或熟悉的安全问题/答案。最好是只有你自己知道的问题。您可以设置您的Facebook安全问题，但是记得在Facebook安全设置下附加一个名为“登录警报”的选项，您可以在里面添加自己的手机或电子邮件，当您的Facebook帐户登录到一个新的或未知的设备时就会收到通知。

问题二：最常见的弱密码

这个问题很简单，如果您有上述任何一个弱密码，请立即更改您的Facebook密码。

方法三：密码抓取

这是窃取Facebook用户的密码另一种常见的方法。大多数人不知道这种方法，但传统的黑客经常使用这种方法来破解用户帐户。

密码抓取如何运作？

在这种方法中，Facebook黑客/攻击者针对特定的低质量网站，访问他们的数据库以获得被保存的普通用户名和密码。如此黑客/攻击者是如何访问Facebook呢？我们许多人习惯多个网站使用相同的密码，因此这些低质量的网站中获取的用户名和密码可能与FB一样。黑客通过破解低质量的poorxyz.com网站就可以轻松地获取您的密码。 另一种情况是，Facebook黑客/攻击者会创建一个网站，以获得受害者的密码。每当用户使用电子邮件注册他的帐户并创建密码时，这些详细信息将存储在他们的数据库中。所以他们就可以获得你的电子邮件和密码。一般用户选择使用与低质量网站相同的密码，就会导致他们的Facebook帐户被黑客入侵。

如何保护自己免受密码抓取攻击？

永远不要相信低质量的第三方网站，即使是像Linkedin这样的主流网站也会被黑客入侵。所以绝对不要信任低质量的第三方网站。大多数网站的开发人员在数据库中只存储了简单的密码，甚至不考虑加密或安全问题。这就使得Facebook入侵工作变得异常容易，因为密码存储的都是纯文本形式。

防止这种手段的最佳方法就是至少为您真正信任的网站提供唯一的密码。Facebook账户密码不要使用与其他任何网站/门户一样的密码。

方法四：键盘记录器

键盘记录器是用于记录计算机键击的软件工具。但是反过来，它也会记录并存储你使用键盘录入的所有内容。

键盘记录器如何运作？

所有键盘记录器都会在后台运行（除了轨迹版本），并且在您使用快捷键查看键盘记录器之前不会向用户显示。它会记录所有的键击信息，并详细地向你展示，你在什么时候按了什么键用于什么应用程序。任何查看键盘记录器的人都可以看到你的Facebook密码或任何其他密码和敏感信息，如信用卡、银行用户名和密码等。所以每当您登录到公共计算机时，都有机会让您的密码被黑客入侵。 另外一种情况，您的朋友/同事/邻居可能会要求您使用他们的计算机登录来帮助他们。如果他们的意图是得到你的密码，那么你的Fb帐户就很有可能被黑客入侵。 Refog是一个流行的键盘记录器，为Windows和Mac用户提供服务。你只需要支付42美元就可以得到一个普通版本的Refog 键盘记录器，它帮助您跟踪所有的计算机活动和使用后台运行程序的关键日志。支付82美元就可以获得个人监视器版本，可以帮助您通过电子邮件跟踪所有的计算机活动，它对于那些需要在任何时间监控个人电脑的人来说非常有效。有兴趣者可以按照以下链接获取Key Logger软件：

Refog KeyLogger – Windows  Refog KeyLogger – Mac  Refog Personal Monitor KeyLogger - Windows（自带电子邮件日志）

Refog Personal Monitor KeyLogger - Mac（自带电子邮件日志）

如何保护自己免受键盘记录器攻击？

当你使用个人计算机时，你不必害怕键盘记录器，因为你是唯一一个访问它的人。但是无论何时，不管是使用任何公共计算机或朋友的计算机，您都不可以信任它。 我总是建议我的朋友，需要输入密码时最好使用屏幕键盘，而且要确保在你输入密码时没有人在监视您的屏幕。在Windows中有一个内置的工具，称为屏幕键盘，可以帮助我们使用鼠标来选择按键。您可以使用“运行”对话框来打开OSK。WinKey + R打开运行对话框，键入osk，然后按enter键。现在很多银行门户网站都会在浏览器自身提供了一个屏幕键盘。所以，当你必须使用公共电脑或他人电脑登录账户时请记得选择屏幕键盘。

方法五：浏览器扩展Facebook 黑客

这种方法不能让Facebook黑客/攻击者完全访问您的Facebook帐户，但却给予了他们一些权力来间接控制您的帐户。我曾见过很多Google Chrome和Firefox插件可以隐藏执行一些操作，包括关注用户、收藏FB页面等。

浏览器扩展Facebook黑客如何运作？

当您访问某些恶意网站或网页时，系统会提示您安装浏览器插件。一旦你安装了插件，它将执行Facebook黑客或创建它的攻击者所描述的所有任务。一些主要的指令，包括在你的状态墙上发布状态更新、收藏Fb页面、关注一个人、将你添加到一些Facebook组中、邀请你的朋友加入Facebook组等。你可能不知道这些事情发生在你的FB帐户，除非您定期检查您的Facebook活动日志。

如何防止浏览器扩展Facebook攻击？

您可以使用Facebook自带功能“Activity Log”来监视您的活动。您不可以信任任何第三方网站提示您添加浏览器扩展的提示。只有您完全信任的发布商才可以选择安装插件。如果你不清楚插件的发布者是谁或意欲何为，千万不要冒险安装！

方法六：恶意Facebook应用程序攻击

您在Facebook中使用的所有应用程序由来自第三方供应商，而不是来自Facebook。当然也有一些例外，如Instagram。一个恶意的应用程序，可以允许攻击者对你的Facebook账户做出任何破坏行为。

恶意Facebook应用程序攻击如何运作？

每当你看到任何使用Facebook登录选项的网站，你就应该知道，这是一个第三方Facebook应用程序，而不是来自Facebook自身。当您单击使用Facebook登录时，您将看到一个权限对话框，其中包含所请求的权限详细信息。单击“确定”按钮后，就意味着允许在你的FB帐户中执行请求的所有操作。

第三方应用程序在您的Facebook帐户中可以做什么？

发布相片和状态更新；
分享链接给你所属的任何群组；
管理您的页面；
在您拥有的Facebook专页上代表你发布讯息；
访问您的个人信息；
访问您的照片，包括“只有我可见”的隐私照片，有时候，它们还可以使用Facebook漏洞访问您的手机照片。

如何防止恶意Facebook应用程序攻击？

你应该知道你赋予了Facebook应用程序哪些权限，如果您不信任该网站或应用程序，请勿向应用程序授予权限。

您可以在权限对话框（上面给出的快照）中编辑您提供给应用程序的信息。此外，您还可以在此处查看有权访问您的Facebook帐户的应用程序。

方法七：浏览器漏洞

浏览器漏洞是旧版本的移动和桌面浏览器中存在的安全漏洞。

浏览器漏洞在Facebook攻击中如何运作？

大多数浏览器漏洞都是通过旧版本的浏览器进行漏洞利用的，因为一旦世界各地的研究人员提交报告，所有的零日都会被浏览器供应商修补。例如，浏览器同源策略漏洞可以允许黑客/攻击者读取任何页面（如Facebook）的响应，并且可以在您的Facebook帐户中执行任何操作，因为他们能够通过访问Facebook源来读取响应。Rafay Baloch发现的Android Chrome SOP就是这样一个漏洞，可以影响Android4.4版本以上的Android网页视图。

如何防止自己受到浏览器漏洞攻击？

一旦有可用的更新版本，您应该立即更新您的浏览器和操作系统。因为继续使用较旧的版本存在许多风险因素。

方法八：Facebook Self—XSS（跨站脚本）漏洞 

XSS漏洞也被称为跨站脚本漏洞。XSS本质上是一个Web安全漏洞，它允许黑客将脚本注入其他用户使用的网页。那么什么是Self—XSS呢？Self—XSS是一种社会工程攻击，受害者意外地执行一个脚本，从而被黑客利用。

Facebook Self—XSS（跨站脚本）漏洞如何运作？

在这种方法中，黑客承诺帮助你攻击别人的FB帐户。他们并不是给予你访问他人帐户的权限，而是在的你浏览器控制台中运行恶意Java脚本，使黑客有权操纵您的帐户。Facebook黑客使用这种技术完成将你加入群组、将你的朋友添加到群组、在你的信息墙中发布消息等操作。

如何防止Self—XSS（跨站脚本）漏洞？

Self—XSS（跨站脚本）是你允许黑客入侵你的帐户的东西，永远不要复制&粘贴浏览器中任何人提供给你的代码。否则你的Facebook帐户就要被黑客入侵了。

方法九：特洛伊木马

Trojan Horse是一个恶意程序，通过误导用户其真正意图来监视和控制计算机。恶意软件木马也可以被称为“远程键记录器”，因为它可以记录我们计算机上的所有应用程序的关键信息，并将其发送给黑客。

特洛伊木马Facebook攻击如何运作？

你认为合法的软件可能是木马，您信任的PDF文件可能包含木马，您拥有的avi媒体文件可能也是一个木马。特洛伊木马在后台进程中运行，收集信息并将其发送给黑客。特洛伊木马可以通过任何媒体，如笔记本电脑，ipod，网站或电子邮件完成发送。在入侵Facebook的主题中，木马会记录您在浏览器中键入的FB密码，并使用互联网将其发送到Facebook黑客。

如何防止木马攻击？

不要安装未知来源的程序；
不要播放未知来源的媒体文件；
不要打开从不受信任的来源下载的任何类型的文件；
不要让任何可疑人员插入笔式驱动器；
在您的计算机中安装最新的防病毒软件；

安装一个最新的防病毒软件虽然不能保证你能免受黑客攻击。但是，本质上而言，防病毒软件是已知的恶意软件和病毒的集合。它的工作是将每个文件与其病毒数据库中的病毒进行比较，从而检测出潜在威胁。所以配置一个最新的防病毒程序具有很好的防护作用。

方法十：Facebook零日漏洞

零日漏洞是指软件供应商未知的安全漏洞，因此未被发现的Facebook漏洞就称之为Facebook零日漏洞。

Facebook零日漏洞是如何运作的？

FB零日漏洞是非常罕见的，因为Facebook公司有漏洞悬赏计划，允许世界各地的安全研究人员参与和报告零日漏洞。挖掘零日漏洞的一般有两种人：第一种情况是安全研究人员和漏洞猎人，这些人只要负责提交漏洞报告给FB并获取奖励；而另一类情况就不容乐观了，发现零日漏洞的黑帽子黑客不选择将漏洞提交给Facebook，而是用于恶意目的来获取个人利益。以下列出了在Facebook漏洞悬赏计划中发现的一些高严重性漏洞：

在Facebook服务器中远程执行代码；
使用电话号码攻击任意FB帐户；
使用旧版API的Facebook帐户攻击；
使用暴力破解的FB帐户攻击；
删除任意Facebook照片；

如何防止零日漏洞攻击？

你不必害怕零日漏洞会影响Facebook，并且会影响到你。因为正如我前面所说，零日漏洞是非常罕见的。在大多数情况下，零日漏洞仅针对有影响力的名人。很少有黑客会使用零日漏洞来攻击一个普通人。