Jak nie dać się oszukać przez Facebooka

Masz konto w serwisie społecznościowym? Zobacz, co to jest "account spoofing" i jak można się przed nim obronić.

Spis treści

Jak wygląda atak Przestępca znawcą charakteru

Jak bronić się przed oszustwami?

Zachowaj zdrowy rozsądek. Nie klikaj w nic "z automatu", bo rutyna może zrobić z ciebie łatwą ofiarę przestępców; analizuj linki, które zamierzasz otworzyć.
Pamiętaj o użyciu oprogramowania sprawdzającego strony, które odwiedzasz.
Zachowuj ostrożność przy korzystaniu z dostępnych publicznie komputerów. Loguj się do swoich serwisów wyłącznie z komputerów zabezpieczonych odpowiednim oprogramowaniem ochronnym.

Polecamy:

Jak zminimalizować skutki kradzieży danych

Więcej informacji:

Zobacz także:

Account spoofing to oszustwo sieciowe, polegające na tym, że cyberprzestępca podszywa się pod naszych znajomych z serwisu społecznościowego, w którym mamy konto. Oszuści wykorzystują w ten sposób wirtualną sieć wzajemnych powiązań i relacji między internautami, by wyciągać od nich informacje poufne (osobiste). Potrzebują ich, by przejmować kontrolę nad kontami użytkowników i kraść ich tożsamości.

Rozróżniamy trzy podstawowe rodzaje ataków typu "account spoofing", dzielone ze względu na drogę, którą przestępca dociera do użytkownika.

Zobacz również:

Threads, konkurencja Twittera od Facebooka, już dostępny. Niestety nie w Polsce

"E-mail account spoofing" to nic innego jak phishing prowadzący do instalacji i uruchomienia złośliwego programu lub zalogowania na specjalnie przygotowanej stronie www. "Najczęściej jest wysyłany z fałszywym adresem w polu From w celu osłabienia czujności ofiary oraz uwiarygodnienia fałszerstwa" - przypomina Łukasz Nowatkowskie, dyrektor IT w G Data Software (firma z sektora rozwiązań antywirusowych).

Drugi z wektorów to "social account spoofing" polega często na namawianiu użytkownika do instalacji aplikacji, których zadaniem jest dotarcie do prywatnych danych, a następnie udostępnienie ich przestępcy.

"Dzięki nim zwiększa się zasięg działania, ponieważ wykorzystując dane użytkownika powiązanego z innymi znajomymi atakujący uwiarygodnia swój atak" - tłumaczy Nowatkowski. Przestępcy wykorzystują po prostu naturalne reakcje użytkowników na pojawiające się wiadomości znajomych (któż z nas nie wziąłby udziału w zabawie proponowanej przez znajomego z Facebooka?).

Wreszcie "web account spoofing" - prawie phising, ale przybierający formę pozyskiwania danych, prowadzący do niekontrolowanego przejmowania danych na innych serwisach. "Niewielu użytkowników korzystając z różnych aplikacji webowych pamięta o używaniu w każdym serwisie innego hasła, a jeszcze mniej stosuje się do zaleceń, aby regularnie je zmieniać" - zauważa przedstawiciel G Daty.

Szczególnie groźne są oszustwa "kombinowane", czyli takie, w których napastnicy korzystają z różnych metod "spoofingu". Np. internauta poznaje kogoś na LinkedIn, po czym otrzymuje od nowego znajomego mail, wyglądający tak, jakby był wysłany za pośrednictwem serwisu (ale nie jest).

Gdy użytkownik kliknie link "Odpowiedz" zostanie przeniesiony na stronę udającą LinkedIn.com, na której oszust już czyha na jego dane logowania.

Jak wygląda atak

Przykładowo, kontaktuje się z nami osoba podająca się za znajomego lub współpracownika naszego przyjaciela: najpierw czyni to za pośrednictwem serwisu społecznościowego, potem bezpośrednio - wysyłając SMS-a lub e-mail. To ostatnie może nieco dziwić, ale w końcu jest to "znajomy znajomego" więc nie ma powodów do niepokoju... teoretycznie.

Inny przykład to podszywanie się oszusta pod osobę którą znamy lub znaliśmy, np. dawno niewidzianego kolegę ze szkoły. Informacje o naszej przeszłości łatwo przestępcom odnaleźć - większość z nas sama zamieszcza je w Sieci, podając do publicznej wiadomości przebieg edukacji i historię zatrudnienia.

Gdy oszustowi uda się nawiązać kontakt z internautą, próbuje wyłudzić od niego wszelkiego rodzaju dane, np. dane o członkach rodziny, ulubione zespoły muzyczne, hobby i inne na pozór przypadkowe informacje. Prawdziwym celem tych, wydawałoby się, kurtuazyjnych pogawędek jest uzyskanie potencjalnych haseł logowania do serwisów i usług online, takich jak poczta czy bankowość elektroniczna.

Nie jest przecież tajemnicą, że użytkownicy mają skłonność do upraszczania sobie życia, i na hasła dostępu wybierają np. imię domowego zwierzątka, nazwę swojego hobby, personalia swoje i swoich bliskich czy ulubione drużyny sportowe. Są to najgorsze z możliwych haseł - nie dość, że nie ma mowy o ich unikalności, to jeszcze przestępcom bardzo łatwo je zdobyć.

Inna metoda na podszycie się przez przestępcę pod kogoś innego to opublikowanie przechwyconego z czyjegoś profilu zdjęcia. "Widnieją na nim wszyscy, do których adresowana jest wysyłana przez oszusta wiadomość. Wystarczy ją zatytułować 'znajdź się na zdjęciu' i załączyć aplikację, którą wszyscy zainstalują, aby tylko móc wskazać siebie na zdjęciu. W portalach społecznościowych można znaleźć bardzo dużo takich zbiorowych zdjęć" - ostrzega Ł. Nowatkowski.

Przestępca znawcą charakteru

Jest oczywiste, że między rosnącą popularnością Facebooka i innych serwisów social media a liczbą oszustw przeprowadzanych za pośrednictwem tych serwisów zachodzi korelacja. Zdaniem Ł. Nowatkowskiego dostarczenie dodatkowych kanałów za pomocą, których można przeprowadzić atak do dla każdego przestępcy kolejne "otwarte drzwi", w które można włożyć wytrych.

"Liczba oszustw wzrasta. Ataki takie jak 'distracting beach babes' pokazują, jak wielka siła drzemie w atakach na nieświadomych użytkowników i jak umiejętnie osoby dokonujące ataków wykorzystują nie tylko wiedzę informatyczną, ale również społeczną i psychologiczną" - mówi przedstawiciel G Daty.