- Facebook, LinkedIn, Social Media, portale społecznościowe
- Wyłudzenie Blik
- Komunikator Messenger
Kiedykolwiek przyszło Ci do głowy, aby sprawdzić, czy Twoje konta w social media są odpowiednio zabezpieczone?
Pojęcia typu wieloskładnikowe uwierzytelnianie wywołują u Ciebie ciąg pytań: a co to? Na co to komu? To nie dla mnie, nie jestem programistą.
Większość osób, które korzystają z socjali rekreacyjnie, nie czuje potrzeby dbania o bezpieczeństwo. Przecież Facebook dba, aby moje dane były bezpieczne.
„Shakowali mi face’a? Trudno. To tylko zapychacz czasu. Mam ważniejsze tematy na głowie.”
Jak bardzo błędne jest takie myślenie dowiesz się, gdy wirtual zderzy się z realem jak któregoś dnia zapuka do Ciebie policja.
Przeczytaj historię naszego klienta, aby zadbać o bezpieczeństwo zawsze i wszędzie.
Piątkowy wieczór dla Piotra byłby kolejnym regeneracyjnym wstępem do weekendu po ciężkim tygodniu pracy, gdyby nie jedna krótka wiadomość SMS: „Stary po co ci ta kasa???”
Krótki telefon do kumpla i okazuje się, że kolega dostał na Messengerze zaadresowaną od Piotra prośbę o bliknięcie 400 zł. Nie minęła minuta i zaczęły na Messenger przychodzić informacje od kolejnych znajomych z pytaniami: “o co chodzi”, “nie mam blika moge przelac szybkim”, “???????????”, nawet od żony: “a na co znowu!?”. Najdziwniejsze było, że żadnych wiadomości wysyłanych od Piotra na Messengerze nie było.
Jeden ze znajomych, za którym Piotr nawet nie przepada, bliknął w dobrej wierze 1000 zł. Piątek wieczór, impreza z okazji narodzin syna, nawet nie ma co się koledze dziwić.
Pieniądze poszły m.in. na tzw. “słupa”. Legalna firma sprzedająca na OLX, która oczekiwała na wpłatę za używanego iPhone’a, pieniądze otrzymała blikiem od kolegi Piotra. I pewnie było wielu innych sprzedających z towarami, które przyjdą “anonimowo” do paczkomatów i które można szybko upłynnić w lombardzie.
Zrobił się młyn, bo z perspektywy pokrzywdzonych na Blika, pieniądze przelali Piotrowi i to od niego będą domagać się zwrotu. W końcu nie wyprze się, że jest właścicielem konta na Facebooku, z którego wyszły wiadomości na Messengerze. Może być trudno udowodnić, że to nie Piotr je wysyłał. Logowania hakera były z internetu mobilnego na terenie Polski - na pierwszy rzut oka, to Piotr z komórki się logował.
Hasło do „jednorazówek” wszędzie Piotr miał to samo. Mogło wypaść w jednym z wielu ostatnich wycieków, m.in. z e-commerce jednego największych producentów mebli, który dwa dni wcześniej odgórnie zresetował wszystkim hasła.
Te dane zły aktor z pomocą automatycznych skryptów sprawdził we wszystkich popularnych portalach i społecznościówkach. Trafił m.in. na Facebook, gdzie była solidna lista osób aktywnych w piątkowy wieczór na Messenger.
Haker po zalogowaniu się do Facebooka sprawdził, czy Piotr jest aktywny. Nie był. Odpalił więc kolejny automat, który jako Piotr rozsyłał do wszystkich znajomych z Facebooka posiadających Messengera prośby m.in. o:
- pożyczkę przez Blika
- zapłatę Blikiem za zamówienie, “oddam po wypłacie”
- pilne "bliknięcie", bo bank ma przerwę techniczną... kartę na stacji odrzuciło stoję przy kasie i nie wiem co robić?
- do mamy: Cześć! Wiesz, że mamy z Kasią wspólne konto bankowe, chcę jej zrobić niespodziankę i kupić voucher na wakacje.pl, tak żeby nie widziała przelewu w historii. Zapłacisz mi, a jak się zobaczymy to oddam???
- link do “zapłaty za aukcję”, który po wejściu wyłudza dane do konta bankowego
- link do postu na portalu społecznościowym, który wymaga logowania, wyłudzając tym samym dane (i umożliwiając shakowanie kolejnej ofiary wg. tego samego schematu)
Przy okazji automat od razu usuwał wysłane wiadomości, tak by Piotr niczego nie podejrzewał.
W trakcie całej akcji przyszedł też e-mail od hakera do Piotra, że za “800 zł w bitcoinach“ przerwie całą akcję i nie sprzeda danych z wiadomości prywatnych.
Piotr zachował zimną krew, podzwonił po znajomych i przez dobrego kolegę trafił do nas. Tak to jest, że jedni w piątki wieczorem imprezują ze znajomymi. Drudzy imprezują z kodem programistycznym… Jest jeszcze trzecia grupa, która pracuje w cyberbezpieczeństwie i w piątki wieczorem ma dyżur… :)
“Mitygacja”, czytaj: pozbycie się szkodnika i ograniczenie szkód, poszło bardzo sprawnie.
Jak mnie dzieci pytają, jaki zawód ma tata, to mówię, "anty-haker", taki trochę doktor od komputerów i trochę detektyw. Z doktora mam to, że na moje pytania również należy odpowiadać szczerze, bez ubarwiania. Chcesz wyleczyć konto społecznościowe, to nie ukrywaj, że hasło było łatwe do odgadnięcia i wszędzie stosowałeś identyczne. My nie oceniamy, wiemy że świat nie jest idealny.
Szybka akcja z odzyskiwaniem hasła, przymusowe wylogowanie ze wszystkich urządzeń, uruchomienie 2FA i Facebook był w naszych rękach. Pozbycie się hakera było szybkie i sprawne, bo i adwersarz nie był wymagający realizując znany, zautomatyzowany schemat.
Trudniejsza część, to tzw. kontrola szkód. Konto Facebooka, które może wydawać się współczesną wirtualną “zabawką”, może okazać się realnym problemem.
Przede wszystkim trzeba było dopełnić wszelkich starań, aby poinformować
wszystkie potencjalne ofiary, że Piotr nie próbował wyłudzać danych i pieniędzy.
Istniało ryzyko, że Piotr zostanie przez poszkodowanych oficjalnie oskarżony o
wyłudzenie danych, albo doprowadzenie do niekorzystnego rozporządzenia mieniem.
Stąd warto w takiej sytuacji zebrać dokumentację, nawet tak elementarną jak w
formie wydruków screenshotów i zgłosić włamanie na konto na Policję.
Warto “na czarną godzinę” mieć ślad w oficjalnych dokumentach, niezależnie, czy
sprawca włamania zostanie ustalony.
Szczęście w nieszczęściu, że historia konwersacji na Messenger, do której haker miał dostęp, nie zawierała poufnych danych (ani dowodów na zdradę małżeńską...). Nie było więc pożywki, aby szantażować Piotra. W zasadzie na tym interakcja z hakerem się zakończyła.
Należy jednak pamiętać, że wiele firm wykorzystuje profile społecznościowe do komunikacji z klientami. Wystarczy, że klient prześle na Messenger prywatny adres do wysyłki zareklamowanego produktu i mamy do czynienia z incydentem RODO, który należy zgłosić do UODO. Urząd nie spojrzy przychylnym okiem na brak 2FA przy logowaniu do konta społecznościowego, albo brak polityki haseł.
Jaka jest skala? Sprawdziliśmy portfel Bitcoin, który podał haker, sporo osób przelało “okup”.
Należy też mieć na uwadze, że tak jak są specjaliści pokroju Inveo, dostarczający platformy do podnoszenia bezpieczeństwa danych (np. nasza autorska platforma On Secure), są też legalnie działające firmy, wystawiające faktury, które dostarczają hakerom platformy do przeprowadzania zautomatyzowanych ataków na masową skalę.
Wystarczy, że jedno na 1000 haseł zadziała.
W dniu pisania tego know-how, do baz
wycieków na całym świecie trafiło 31 milionów nowych rekordów z danymi
dostępowymi...
Z czego 1,5 mln z polskich e-commerce.
Jesteś ciekawy, ile może zarabiać haker? Zapraszamy do podglądowego kalkulatora.
Haker dostał się na Twoje konto? Sprawdź jak się go pozbyć...
Jak UnitScore 24/7 może zadbać o cyberbezpieczeństwo Twoich danych?
- Natychmiastowa informacja, gdy tylko Twój e-mail albo zakodowana wersja Twojego hasła pojawi się w bazach wycieków (nie przechowujemy Twoich haseł!)
- W centrum Identity Protection 24/7 zbieramy informacje z jakimi portalami społecznościowymi powiązane są Twoje e-maile. Jeżeli ktoś założył konto na Twoje dane, to będziemy o tym wiedzieć.