Uwaga! Przypadki „włamań” na konta w portalu społecznościowym i próby wyłudzenia pieniędzy wśród znajomych ich właścicieli. Policjanci radzą jak zapobiec takim sytuacjom

Przypadki „włamań” na konta w portalach społecznościowych i próby wyłudzenia pieniędzy wśród znajomych ich właścicieli

W ostatnich dniach sądecka Policja przyjęła trzy zgłoszenia dotyczące przełamania zabezpieczeń konta na jednym z popularnych portali społecznościowych. W tych trzech przypadkach osoba, która przejęła konto, bez wiedzy właściciela rozsyłała wśród jego znajomych korespondencję z prośbą o pożyczenie kilku tysięcy złotych.

Pierwszym działaniem w przypadku ujawnienia przejęcia profilu czy konta użytkownika w sieci powinna być zmiana hasła. Przede wszystkim hasła do tej usługi, ale też wszystkich, do których mieliśmy to samo albo podobne hasło. Tam, gdzie to nie jest możliwe – bo przykładowo sprawca zmienił hasło i uniemożliwił nam działanie, należy jak najszybciej nawiązać kontakt z administratorem usługi i poinformować go o zagrożeniu. Tylko on będzie mógł podjąć działania zmierzające do utrudnienia działań sprawcy, czy nawet ustalenia jego personaliów.

W większości przypadków działania zmierzające do przełamania zabezpieczenia oparte są na wykorzystaniu nieostrożności samych użytkowników.

Do najczęściej stosowanych sposobów zalicza się podsyłanie linków prowadzących rzekomo do portalu. Ofiara klikając w link jest przekonana, że loguje się do swojego profilu, podczas gdy jest to stworzona przez oszusta strona przypominająca jedynie – czasem wręcz nieudolnie – oryginalną. Ofiara logując się na tej stronie podaje oszustowi wszystkie dane konieczne do zalogowana się do swojego profilu. W zależności od zaawansowania programistycznego sprawcy, taka strona czasem przekierowuje do oryginalnej strony. Wówczas podejrzenie ofiary powinna wzbudzić konieczność dwukrotnego logowania. Czasem fałszywa strona wyświetla po prostu komunikat o chwilowym błędzie, gdy sprawca nie potrafi obsłużyć przekierowania, albo gdy zależy mu na tym, by ofiara chwilowo z serwisu nie korzystała, podczas gdy on sam posiadając odpowiednie dane loguje się i podejmuje przestępcze działania. Gdy wejdziemy na tak spreparowaną stronę, sprawca może mieć możliwość uruchomienia na naszym komputerze szkodliwego kodu – choć tu powinny zapobiec odpowiednie programy antywirusowe, czy konfiguracja samego komputera ofiary.

Innym sposobem jest wysyłanie wiadomości e-mail, czy też porozumienie się w inny sposób z użytkownikiem, w celu nakłonienia go do przekazania nam danych pozwalających na zalogowanie się do portalu. Od czasu do czasu do użytkowników trafiają wiadomości, z których wynika, że doszło do uszkodzenia serwera i administrator odbudowuje bazę użytkowników. Pomimo niedorzeczności tej prośby znajdują się osoby, które wysyłają swoje pełne dane do logowania. Należy zwrócić też uwagę na zagrożenie spowodowane tym, że wielu użytkowników wykorzystuje te same hasła i loginy w różnych zupełnie ze sobą niepowiązanych miejscach w sieci. Zatem po uzyskaniu hasła do logowania do poczty e-mail sprawcy próbują użyć tego samego hasła w innych usługach tego samego użytkownika – i bardzo często okazuje się, że są to udane próby. Ponieważ portale często wysyłają do swoich klientów różnego rodzaju wiadomości, to przejrzenie historii poczty bardzo szybko pozwoli sprawcy na ustalenie, z jakich usług ofiara korzysta.

Jeszcze innym sposobem działania jest wykorzystanie przez oszusta mechanizmów mających służyć przypominaniu hasła. O ile przejęcie wysłanego przez serwis smsa z nowym hasłem jest mało prawdopodobne (chyba, że sprawca znalazł telefon ofiary), to udzielenie odpowiedzi na pytanie np. o nazwisko panieńskie matki, imię sympatii czy naszego pupila, już wobec powszechności dostępu do danych często nie jest szczególnie trudne. Jeśli sprawca uzyskał już wcześniej dostęp do e-maila, to również może wykorzystać ten e-mail do otrzymania nowego hasła.

Często używanym sposobem przechwytywania haseł jest uzyskanie przez sprawcę dostępu do danych o hasłach z komputera ofiary. Dane pozwalające na zalogowanie się do różnych usług przechowujemy często w przeglądarce. Nieostrożni użytkownicy wykorzystują różne, często darmowe programy pochodzące z nieznanych i niesprawdzonych źródeł, służące do gromadzenia tych haseł. Może się zdarzyć, że autorem takiego oprogramowania jest oszust i zgromadzone dane trafią do niego bez wiedzy ich użytkownika. Stosunkowo najmniejszym zagrożeniem jest zapisywanie danych logowania i przechowywanie ich w bezpiecznym miejscu w domu, bo mimo wszystko ograniczony jest krąg osób mających dostęp do takich danych. Jeśli jednak ktoś dane przechowuje w telefonie komórkowym, albo wypisane na kartce w portfelu i dojdzie do ich utraty, to sprawcy bez większego problemu mogą wykorzystać okazję. Czasem do utraty poufności haseł może dojść podczas korzystania z usług portali na „obcych”, nie należących do nas komputerach, dostępnych w miejscach czy lokalach ogólnodostępnych.

Ponadto jeżeli korzystamy z menedżera haseł, niech będzie on sprawdzoną i rekomendowaną przez ekspertów aplikacją!

W związku z zaistniałymi zdarzeniami  apelujemy  do wszystkich o zachowanie szczególnej ostrożności  podczas korzystania  z Internetu.  Pamiętajmy, że przestępcy nie omijają wirtualnego świata. Wszystkie nasze działania powinny być przemyślane, a szczególnie  sytuacje, w których  ktoś za pomocą portalu społecznościowego prosi  nas o pieniądze (co z założenia celu istnienia takiego portalu, już powinno wzbudzić nasze podejrzenia).

Przypominamy także  podstawowe środki ostrożności:

Przy płaceniu kartą płatniczą zwracajmy uwagę, czy połączenie internetowe jest bezpieczne i czy przesyłane przez nas dane nie zostaną wykorzystane przez osoby nieuprawnione. Korzystajmy z uznanych portali płatniczych, a przed potwierdzeniem przelewu upewnijmy się czy ten sam numer rachunku widnieje na zamówieniu.

W celu zapewnienia bezpieczeństwa korzystajmy z komputerów prywatnych, co do których mamy pewność, że nie korzysta z nich wiele osób, używajmy również programu antywirusowego i na bieżąco go aktualizujmy. Pamiętajmy by nie zapisywać haseł i nie zapamiętywać ich w przeglądarkach internetowych. Istnieje ryzyko, że hasła zostaną bez naszej wiedzy odczytane.

Zaleca się również włączenie dwuetapowej weryfikacji logowania, gdzie oprócz loginu i hasła otrzymamy kod przesłany do nas smsem lub użyjemy kodu wygenerowanego w specjalnej aplikacji.

Tekst: Oficer Prasowy wraz z Zespołem do walki z Przestępczością Komputerową Wydziału do walki z Przestępczością Gospodarczą Komendy Miejskiej Policji w Nowym Sączu