Určitě jste se s tím už někdy setkali: některý z vašich přátel na Facebooku začal rozesílat spam nebo rovnou falešné žádosti o peníze a podobně. Pojďme se v sérii záznamů obrazovky společně podívat na jeden takový útok a jeho anatomii.

V jedné z větších skupin na Facebooku se objevil naléhavý post se žádostí o pomoc při hledání uneseného dítěte. Skupina se týká koní a jezdectví, ale lidé, co to myslí dobře, často podobné zprávy rozesílají na všechny strany v rozšířené, ale zcela mylné představě, že tím někomu či něčemu pomohou.

 

Snaha pomoci může důvěřivé uživatele připravit o účet na sociálních sítích a způsobit další problémy
Původní příspěvek vedoucí k potenciální ztrátě účtu na Facebooku.
Foto: Facebook, Michal Altair Valášek

Odesílatelka zprávy vypadá jako běžná uživatelka Facebooku, profil na první dojem nepůsobí falešným dojmem, možná se stala obětí stejného podvodu.

Z cílového webu však falešnost přímo křičí. Tedy na někoho, kdo umí poslouchat. Pojďme si probrat varovné znaky, které ukazují, že jde o podvod:

Falešný článek o únosu dítěte obsahuje řadu varovných znaků
Falešný článek o únosu dítěte obsahuje řadu varovných znaků.
Foto: Facebook, Michal Altair Valášek
  • V první řadě samotná adresa informace5.click/mlada_divka/?s=Brno je podezřelá. Pokud by taková žádost byla pravdivá, patrně by se nacházela na nějakém známějším zpravodajském serveru nebo jiném zdroji, nikoliv na obskurní doméně „informace5.click“. Ostatně, zkuste si změnit text v adrese, místo ?s=Brno tam napište ?s=Abcde a název města v článku se změní.
  • Odkazy v „menu“ nikam nevedou, na serveru nejsou žádné jiné články ani stránky.
  • Text je špatně česky, je špatně přeložený z angličtiny, nejspíš automaticky. Třeba „in Brno“ zůstalo nepřeloženo (a ostatně i v nadpisu je místo „v Brně“ formulace „v Brno“, protože robot neumí tvarosloví).

Pokud se v naivní snaze pomoci pokusíte zobrazit video, dočkáte se pouze hlášky, že video je 18+ a pro zobrazení se musíte přihlásit přes Facebook jako potvrzení věku. Nedává to moc smysl (protože co by na záznamu z kamery obchodního centra mělo být 18+?), ale dejme tomu.

 

Záznam skrytý za ověřením věku je jen způsob, jak z uživatele vylákat heslo k facebookovému účtu
Záznam skrytý za ověřením věku je jen způsob, jak z uživatele vylákat heslo k facebookovému účtu.
Foto: Facebook, Michal Altair Valášek

Po klepnutí na odkaz se zobrazí stránka, která skutečně poněkud připomíná přihlašovací stránku Facebooku. Ale povšimněte si adresy v adresním řádku: verifikace-vek-18.pro-linuxpl.com. Doména zjevně nemá nic společného s Facebookem, jedná se o nějaký polský webhosting. Pokud zde zadáte svoje přihlašovací údaje, budete přesměrováni na web Úřadu pro mezinárodně právní ochranu dětí, který samozřejmě s celou věcí nemá nic společného.

 

Falešná přihlašovací stránka má grafiku ukradenou z Facebooku, ale jinou webovou adresu
Falešná přihlašovací stránka má grafiku ukradenou z Facebooku, ale jinou webovou adresu.
Foto: Facebook, Michal Altair Valášek

Co se ve skutečnosti stalo? Útočník si zaznamenal přihlašovací jméno a heslo a nyní se může pokusit se pod ním přihlásit na Facebook. Pokud se mu to povede, třeba protože není nastavená dvoufaktorová autentizace, získá úplný přístup k vašemu účtu a může vám ho sebrat. Může změnit heslo a zabránit vám v přihlášení. Může vašim přátelům vaším jménem rozesílat podvodné zprávy a podobně.

Jak nenaletět?

V první řadě, přemýšlejte. Což je těžké, protože podobné podvody využívají situací, kdy většina lidí moc nepřemýšlí. Buďto protože něco chtějí získat (podvodník nabízí peníze nebo zboží či služby za výrazně nižší než běžnou cenu), anebo protože chtějí zneužít přirozené lidské snahy pomáhat lidem či zvířatům. Naprostá většina podobných nabídek jsou podvody toho či onoho druhu a nejvhodnější je prostě je ignorovat.

Pokud už mermomocí na zprávu reagovat chcete, čiňte tak s velkým podezřením. Pokud by historka o únosu byla pravdivá, patrně by ji šířily zpravodajské servery všeho druhu. Nenacházela by se na jednom zastrčeném webu, o kterém slyšíte prvně v životě. Ověřte si, že adresa v adresním řádku odpovídá tomu, co očekáváte a podobně.

Pokud po vás web chce cokoliv podezřelého – zadání nějakého hesla, instalaci nějakého softwaru – odmítněte to. Prakticky vždy se jedná o podvod.

Naopak je zcela irelevantní, jestli adresa začíná na „https://“ a používá šifrované spojení (SSL, TLS, HTTPS...) nebo nikoliv. V tomto případě se útočník neobtěžoval získat certifikáty, ale to nic neznamená. Certifikát – a HTTPS na začátku – znamená jenom, že se připojujete skutečně k tomu webu, který je uveden v adresním řádku. Nikoliv že ten web je důvěryhodný nebo bezpečný. Certifikační autority ověřují jenom, že má žadatel pod kontrolou příslušný web server. A tento útok je veden na uživatele, ne na web server.

Někdy pomůže zapnutá dvoufaktorová autentizace, kdy pro přihlášení musíte kromě statického jména a hesla zadat ještě heslo zaslané na mobil nebo vygenerované speciální aplikací. Nicméně pozor, pokud je útočník trochu sofistikovaný, tak u tohoto typu útoku dokáže uspět: prostě se po přihlášení zeptá na toto druhé heslo nebo požádá o potvrzení přihlášení, a pokud jste zadali jedno heslo, zadáte i druhé. Jeho využití je nicméně podstatně sofistikovanější a tento typ útoků většinou cílí na nejslabší kusy ve stádě, takže zapnutí dvoufaktorového přihlašování lze jenom doporučit.

Co dělat, pokud jste už naletěli?

Tady je každá rada drahá, protože záleží na konkrétním typu útoku a na tom, co útočník stihl napáchat. Nicméně dobrá základní reakce je následující:

  • Na stránce s nastavením kontaktních údajů si ověřte, že k vašemu účtu nepřibyla žádná další e-mailová adresa nebo telefonní číslo. Pokud se útočníkovi podaří přidat svůj údaj, může ho použít pro reset hesla a opětovné získání přístupu.
  • Na stránce s bezpečnostními informacemi si zjistěte, odkud jste se přihlašovali a neznámé session ukončete. Nebo se rovnou odhlaste ze všech sessions a na všech svých zařízeních se přihlaste znovu.
  • Změňte si na téže stránce heslo. Použijte nové silné heslo, ne že na konec starého (které útočník zná) přidáte tečku nebo něco podobného. A když už v tom budete, zapněte si dvoufaktorovou autentizaci.
  • Na stránce s informacemi o propojení s weby a aplikacemi smažte spojení s čímkoliv, co aktivně nepoužíváte.
  • Zkontrolujte si odeslané zprávy, a pokud někdo vaším jménem posílal nějaké nepravosti, smažte je a příjemce varujte.
  • Podívejte se na své poslední aktivity, a pokud tam najdete nějaké podezřelé posty do skupin a podobně, opět je vymažte.