昨晚接到前同事的求助信息，他们公司与广告绑定的Facebook账户被盗，被用于投放其他公司的广告，一晚就损失了2万美金。

最蹊跷的是，对应的账户密码刚刚被修改过，确定没有泄露。由于Facebook账户是二次认证，输入密码后，正常情况下还需要短信的认证，并且相关手机会收到信息通知。

而账户所有人未收到任何通知，只是事后在检查Facebook后台的登录信息时，发现了明显不是自己操作的记录。

FB后台截图

当事人很惶恐，不知道对方使用了什么黑科技，为什么事先修改了密码，Facebook的二次认证安全机制没有起作用呢？原因是什么？要如何防范？

事实上，Facebook的二次认证并未失效，这个蹊跷的案例值得所有重要资产管理者引起注意，因为真相会颠覆你们很多认知。

关于二次认证

二次认证现在已经很普遍，它的重点有几个：

1）输入的用户名和密码正确后，还需要预留的二次认证设备，一般是手机短信，或者 Google的二次认证动态机制等，来进行二次认证。2）以上流程适用于新的设备，即以前从未登录的设备，或者最近一段时间都未登录的设备。3）认证通过后，Facebook会在设备上记录信息，在短期内登录时，无需再认证。

调查

经过了几番确定后，相关电脑上安装了向日葵远程，应该以前知道相关信息的人通过该渠道“入侵”电脑。

向日葵做为远程工具应用得非常广泛，大家几乎都用它来操作远程的电脑。到这里，似乎案子就破了，有人通过向日葵到电脑上操作，假借账户投放了自己的广告。

但几个疑点依然显示没那么简单：

1）三个时间点都是工作时间，电脑都有人在使用，如果有人通过向日葵连接过来，会有明显的提示2）就算是通过那台电脑操作，相关的登录IP也和企业固定的IP不符，因此确定是在另外一台设备上登录进行了所有操作3）就算这台设备以前认证过，由于修改了密码，所有设备是需要重新认证的，但相关人员未收到任何信息。

所以，诡异的地方在于，对方是如何在不知道密码，未触发Facebook二次认证的情况，在异地悄然登录完成一系列操作的？

虚拟空间

在具体讲解前，我们的思维先跳跃，看下旅行者号。

旅行者号飞行器飞行几十年，在距离地球64亿公里远外传回最后一张照片，地球只是一个微小的蓝色小点。有段非常感人的话：

NASA

徜徉于广袤宇宙之中，我们的目光不禁聚焦在那张令人着迷的照片上。在那片宛如织物般的黑暗中，微弱而淡蓝的光点映入眼帘。它微不足道，然而，那正是我们的家园，地球。每个亲爱的人、每个相识的灵魂，每个传颂的名字，每个历史的缩影，都曾在这个小小的光点上绽放一段辉煌的人生。

让我们再回到地球，你每日在网络上的工作，生活，喜怒哀乐，你以为发生在你的电脑设备上，而实际上，它都发生在一个虚拟空间内，让我们看一个图：

Edge浏览器开发者模式运行截图

你的一切足迹，都保存在cookie，localStorage，localDB等组成的一个虚拟空间中。对于Facebook等来说，那就是你的设备，他们留下的，用于判断你身份的信息都在里面。

如果有一种方法，将这个信息完整地复制到另外一个地方，就相当于盗用了你的身份，不会引起任何的预警。 这也是很多所谓超级浏览器，能在一个程序中同时登录多个账户的原理。

有的小伙伴会问，如果同时使用，IP不同，不会被禁用吗？

答案是：如果短期内，在同一个区域内的IP，就算不同也不会有问题。因为你工作的环境可能在变，不断在不同WIFI，移动网络间切换，如果IP一变账户被锁就会给大家带来大麻烦。

但如果是短期内变动范围很大，例如你上个请求在香港，下个请求在日本，则会很快被安全机制锁定。这也是为什么很多使用VPN上网，IP动态变化引起账户被封的重要原因。

再回到事情本身，对方是如何复制的呢？

不要忘记，向日葵除了有远程桌面外，还有远程文件（图中的File)，能在你不知晓的情况复制你电脑上任何信息。

向日葵远程客户端截图

解决方案

我的建议是：

1）创建一个全新的浏览器用户身份，用该身份登录后，删除以前所有登记的设备

2）在重要电脑上不要安装远程，即使要装也要装自己可以控制的企业版本

3）二次安全认证一定要选择手机短信，而不是Google的二次认证机制，那个分分钟被自动跳过。

在保证广告账户安全，包括广告效果及复杂的跨境电商流程上，我们还有很多需要做的，很多都隐藏在不被注意的角落，需要有人能帮助大家去识别，处理各种风险，给出有力的建议。欢迎大家私信我，随时交流。