Cyberprzestępcy coraz częściej wykorzystują w swoich działaniach serwisy społecznościowe. Cały czas zmieniają modus operandi dostosowując się do najnowszych aplikacji i trendów. Wykorzystują złudne poczucie bezpieczeństwa, aby wyłudzić od nas dane i pieniądze. W ramach cyklu #cyberWAT podpowiadamy, jak zapewnić sobie bezpieczeństwo na Facebooku.
Najpopularniejszym serwisem społecznościowym na świecie pozostaje Facebook, który tylko w samej Polsce posiada ponad 17 milionów użytkowników. Według oficjalnych statystyk z 2022 roku był on odwiedzany przez każdego z nich średnio osiem razy dziennie. O skali popularności tego portalu może świadczyć fakt, że jego użytkownicy generują co minutę 4 miliony polubień.
Jak podaje firma z Menlo Park 71% użytkowników Facebooka wchodzi na platformę, aby być na bieżąco z bliskimi, dla ponad 59% ważne jest również zapoznanie się z aktualnościami i wydarzeniami. Dlatego w serwisie profile posiadają nie tylko użytkownicy indywidualni, ale również osoby publiczne, instytucje państwowe, media, instytuty naukowe, organizacje pozarządowe oraz firmy, które wykorzystują je do promowania i rozwijania marki.
Bezpieczne logowanie
Ogromna popularność, którą cieszą się serwisy społecznościowe nie mogła ujść uwadze cyberprzestępców. Facebook jest nie tylko skarbnicą wiedzy na nasz temat, ale i bazą zaufanych kontaktów. Nie jest więc zaskoczeniem, że cyberprzestępcy coraz częściej wykorzystują media społecznościowe do swoich celów.
Duża liczba użytkowników serwisów społecznościowych nie przykłada wystarczającej uwagi do bezpieczeństwa swoich kont. Domyślnie, aby zalogować się na Facebooku potrzebujemy tylko adresu email i hasła. Zdobycie czyjegoś adresu, który jednocześnie jest loginem do portalu społecznościowego nie wymaga ani wiele czasu, ani specjalistycznych umiejętności – najczęściej wystarczy o niego zwyczajnie poprosić.
Nieco trudniejszym zadaniem jest zdobycie hasła, ale nie jest to aż tak trudne, jakby z pozoru mogło się wydawać. Często użytkownicy Internetu stosują zbyt proste hasła, korzystają z jednego hasła do wielu portali, logują się na konta za pośrednictwem niesprawdzonych urządzeń i sieci bezprzewodowych. Cyberprzestępcy mogą wejść w posiadanie naszego hasła na wiele sposobów: mogą je podpatrzeć, podsłuchać, przejrzeć bazy danych z dostępnych w sieci wycieków, domyślić się, czy wreszcie złamać. Przejęte w ten sposób konto i tożsamość posłuży im do kolejnych ataków i wyłudzeń.
Ataki phishingowe
Powodów, dla których cyberprzestępcy włamują się na konta społecznościowe w serwisach społecznościowych jest co najmniej kilka. Jednym z najbardziej popularnych jest ostatnio wykorzystanie przejętego konta do wyłudzania pieniędzy od znajomych ofiary. Przesłane do nich przez Messenger prośba o szybką pożyczkę, wydaje się bardzo wiarygodna. Oszuści najczęściej uzasadniają ją nagłą potrzebą, taką jak zgubienie portfela lub uszkodzenie karty płatniczej. W takiej wiadomości znajduje się prośba o podanie 6 – cyfrowego kodu BLIK, umożliwiającego szybkie płatności, co grozi utratą środków zgromadzonych na rachunku bankowym.
W innym wariancie oszuści podszywając się pod znajomego wysyłają wiadomości zawierające złośliwe linki z rzekomo wyjątkowo atrakcyjnymi ofertami. Klikając w nie zostajemy przekierowani na fałszywą stronę, na której jesteśmy proszeni o podanie naszych danych osobowych oraz danych do bankowości elektronicznej lub kodu CVC i daty ważności karty. Żeby uśpić naszą czujność kończąc transakcję otrzymujemy komunikat o błędzie. Dane wprowadzone na fałszywej stronie trafiają jednak bezpośrednio do przestępcy, który może dokonać kradzieży naszych środków.
Catfishing
W obu przypadkach cyberprzestępcy wykorzystują media społecznościowe do uśpienia naszej czujności. Czasem do zdobycia naszego zaufania nie jest nawet potrzebne przejęcie konta. Przyjmując nieznaną osobę do grona swoich znajomych najczęściej domyślnie udostępniamy jej swoje prywatne zdjęcia oraz informacje o sobie.
Mając do nich dostęp oszust może wykorzystać je do stworzenia fałszywej tożsamości w mediach społecznościowych. Tworząc profil w oparciu o prawdziwe informacje i zdjęcia może rozbudowywać w naszym imieniu sieć kontaktów, które może następnie wykorzystać do ataków phishingowych. Nie zawsze celem ataku musi być zdobycie pieniędzy. Czasem motywem takich działań jest upokorzenie ofiary lub publiczne jej zdyskredytowanie. Może odbywać się to poprzez publikację na fałszywym profilu kontrowersyjnych treści, ale również aktywność na portalu społecznościowym, która wprowadza w błąd innych użytkowników i kompromituje osobę, której dane ukradziono.
Złośliwe oprogramowanie
Poważnym zagrożeniem na Facebooku są linki promowane, które prowadzą do złośliwego oprogramowania. Istnieje wiele jego rodzajów: wirusy, trojany, programy szpiegujące czy ransomware. Serwis stara się ograniczyć do minimum wynikające z tego zagrożenia, ale zabezpieczenia wymagają ciągłych ulepszeń. Cyberprzestępcy wykorzystują te narzędzia do uzyskiwania dostępu do urządzeń i sieci, aby wykraść z nich dane i przejmować kontrolę nad systemami.
Jak zadbać o bezpieczeństwo?
Do każdego konta używaj innego hasła. Nie może być ono łatwe do odgadnięcia i musi być odpowiednio silne, aby cyberprzestępca nie mógł go w łatwy sposób złamać.
„To bardzo ważna rekomendacja, ponieważ jeszcze kilka lat temu Facebook przechowywał hasła użytkowników w postaci jawnej. Używanie jednego hasła w wielu serwisach internetowych generuje ryzyko, iż w przypadku wycieku haseł z jednego z nich, kompromitacji ulegają dane dostępowe do wszystkich pozostałych. O wyciekach danych logowania dowiadujemy się często z dużym opóźnieniem, więc cyberprzestępcy swobodnie mogą uzyskać dostęp do naszych kont w serwisach internetowych, w których korzystamy z tych samych danych do logowania” – mówi mgr inż. Michał Glet z Wydziału Cybernetyki WAT.
Menadżer haseł
Ponieważ używanie unikalnych haseł może być uciążliwe warto skorzystać z menadżera haseł. Wygeneruje on odpowiednio trudne do złamania ciągi znaków i automatycznie zaloguje się do serwisów.
„Stosowanie tego typu oprogramowania wraz z unikatowymi, wygenerowanymi losowo hasłami, znacząco podnosi poziom bezpieczeństwa naszych danych. Warto jednakże pamiętać o zapewnieniu odpowiedniej ochrony bazie danych, gdzie składowane są nasze hasła oraz o regularnym tworzeniu jej kopii zapasowej. Dzięki temu, w przypadku awarii komputera, będziemy dalej mieli dostęp do bazy haseł. W przeciwnym wypadku utrata bazy z hasłami może wiązać się z koniecznością ich zresetowania w każdym serwisie, w którym używaliśmy menedżera haseł” – tłumaczy ekspert.
Jeżeli nie chcemy korzystać z dodatkowego oprogramowania do składowania haseł, możemy skorzystać z podobnej funkcjonalności wbudowanej w przeglądarki internetowe – generowanie odpowiedniej jakości haseł i ich zapamiętywanie. Część z przeglądarek stosuje również dodatkowe mechanizmy bezpieczeństwa przy próbie dostępu do haseł. Przeglądarka Safari w systemie macOS wymaga uwierzytelnienia biometrycznego (odcisk palca) przy próbie dostępu do zapamiętanych danych logowania.
Uwierzytelnianie dwuskładnikowe
Najskuteczniejszą metodą zabezpieczającą nasze konto jest wieloskładnikowe uwierzytelnienie dostępu. Facebook wymaga potwierdzenia próby logowania lub wprowadzenia specjalnego kodu za każdym razem, gdy ktoś próbuje uzyskać dostęp do konta użytkownika z nieznanej przeglądarki internetowej lub z nieznanego urządzenia mobilnego. Dodatkowo istnieje możliwość otrzymywania powiadomień o próbach logowania tego typu.
„Niestety część użytkowników nie zwraca uwagi na powiadomienia o próbach logowania z nieznanych urządzeń. Należy zawsze traktować je bardzo poważnie, gdyż mogą one świadczyć o próbie nieautoryzowanego dostępu do naszego konta. Jednocześnie pamiętajmy, żeby przed kliknięciem w jakikolwiek link znajdujący się w otrzymanym powiadomieniu, dobrze zweryfikować jego pochodzenie oraz autentyczność. Niestety, cyberprzestępcy wykorzystują czasami tego typu powiadomienia w prowadzonych przez siebie kampaniach malwerowych. W takim przypadku klikając w link z fałszywego powiadomienia, możemy stać się ich kolejną ofiarą” – przestrzega mgr inż. Michał Glet.
Uwierzytelnienie wieloskładnikowe na Facebooku nie jest automatycznie aktywowane i wymaga włączenia. Do wyboru mamy skorzystanie z aplikacji uwierzytelniającej, takiej jak choćby Google Authenticator, wykorzystanie fizycznego klucza zabezpieczeń lub użycie wiadomości tekstowej SMS. Ten rodzaj zabezpieczeń od dawna stosowany jest m.in. przez banki.
„Przy korzystaniu z tego typu dodatkowych zabezpieczeń również należy zachować czujność i nie przekazywać nikomu obcemu otrzymanych kodów uwierzytelniających. Wybierając wiadomość SMS jako dodatkowy składnik uwierzytelniający należy pamiętać chociażby o atakach typu SIM swapping – jeżeli nagle nasza karta SIM przestała działać, proponuję natychmiast skontaktować się z operatorem i możliwie szybko zweryfikować, czy nie jesteśmy kolejną ofiarą tego typu ataków” – radzi mgr inż. Michał Glet.
Ostrożności nigdy za wiele
Serwisy społecznościowe zadziwiają możliwościami w zakresie poznawania nowych osób, komunikacji i dzielenia się informacjami. Wspomniane korzyści wiążą się jednak z pewnym ryzykiem. Udostępniane informacje mogą być wykorzystane przez cyberprzestępców przeciwko nam, dlatego lepiej być ostrożnym przy udostępnianiu wrażliwych danych.
Należy również być bardzo ostrożnym w przyjmowaniu nieznajomych osób do grona znajomych. Jeżeli mamy wątpliwości, czy dany profil należy do jej prawdziwego właściciela należy zgłosić ten fakt administratorowi. Pamiętaj również o wylogowaniu się w przypadku korzystania z Facebooka na nieswoim urządzeniu. Ostrożność jest również wskazana w otwieraniu pojawiających się w serwisie linków. W tym przypadku również niestety sprawdza się zasada, że nikt nie zadba o nasze bezpieczeństwo lepiej niż my sami.
Odzyskiwanie konta na Facebooku
Przejęcie konta na Facebooku przez cyberprzestępców to poważny problem dla wielu użytkowników tego serwisu, dlatego, jak tylko zauważysz nieautoryzowaną aktywność natychmiast zacznij działać. Jeśli nadal możesz się do niego zalogować natychmiast zmień hasło do profilu i adresu e‑mail, na który jest on zarejestrowany. Konieczne jest również zweryfikowanie danych dotyczących konta, szczególnie dotyczy to danych kontaktowych. Cyberprzestępcy zmieniają je, aby w przyszłości mieć możliwość zmiany hasła.
Znacznie trudniej jest odzyskać konto, jeśli nie można się do niego zalogować. W takiej sytuacji należy spróbować zresetować hasło za pomocą numeru telefonu lub powiązanego z kontem adresu e‑mail. Jeśli występuje problem ze znalezieniem swojego profilu należy użyć dedykowanej strony i krok po kroku postępować zgodnie z procedurą. Zawsze należy w takiej sytuacji zgłaszać kradzież konta. Można to zrobić ze swojego konta, ale również z profilu znajomego.
Śledź także cykl #cyberWAT, w którym w prosty i zrozumiały sposób tłumaczymy czytelnikom zagadnienia cyberbezpieczeństwa.
Marcin Wrzos
projekt graficzny: Katarzyna Puciłowska