Przejdź do treści


Przypadki „włamań” na konta w portalu społecznościowym i próby wyłudzenia pieniędzy wśród znajomych ich właścicieli

Laptopy Apple macbook air - fot. pixabay.com

Przypadki „włamań” na konta w portalu społecznościowym i próby wyłudzenia pieniędzy wśród znajomych ich właścicieli. Policjanci radzą jak zapobiec takim sytuacjom
W ostatnich dniach sądecka Policja przyjęła trzy zgłoszenia dotyczące przełamania zabezpieczeń konta na jednym z popularnych portali społecznościowych. W tych trzech przypadkach osoba, która przejęła konto, bez wiedzy właściciela rozsyłała wśród jego znajomych korespondencję z prośbą o pożyczenie kilku tysięcy złotych.
Pierwszym działaniem w przypadku ujawnienia przejęcia profilu czy konta użytkownika w sieci powinna być zmiana hasła. Przede wszystkim hasła do tej usługi, ale też wszystkich, do których mieliśmy to samo albo podobne hasło. Tam, gdzie nie to jest możliwe – bo przykładowo sprawca zmienił hasło i uniemożliwił nam działanie, należy jak najszybciej nawiązać kontakt z administratorem usługi i poinformować go o zagrożeniu. Tylko on będzie mógł podjąć działania zmierzające do utrudnienia działań sprawcy, czy nawet ustalenia jego personaliów.
W większości przypadków działania zmierzające do przełamania zabezpieczenia oparte są na wykorzystaniu nieostrożności samych użytkowników.
Do najczęściej stosowanych sposobów zalicza się podsyłanie linków prowadzących rzekomo do portalu. Użytkownik klikając w link jest przekonany, że loguje się do swojego profilu, podczas gdy jest to stworzona przez oszusta strona przypominająca jedynie – czasem wręcz nieudolnie – oryginalną. Logując się na tej stronie podaje oszustowi wszystkie dane konieczne do zalogowana się do swojego profilu. W zależności od zaawansowania programistycznego sprawcy, taka strona czasem przekierowuje do oryginalnej strony. Wówczas podejrzenie ofiary powinna wzbudzić konieczność dwukrotnego logowania. Niekiedy fałszywa strona wyświetla po prostu komunikat o chwilowym błędzie, gdy sprawca nie potrafi obsłużyć przekierowania, albo gdy zależy mu na tym, by ofiara chwilowo z serwisu nie korzystała, podczas gdy on sam posiadając odpowiednie dane loguje się i podejmuje przestępcze działania. Gdy wejdziemy na tak spreparowaną stronę, sprawca może mieć możliwość uruchomienia na naszym komputerze szkodliwego kodu – choć tu powinny zapobiec odpowiednie programy antywirusowe, czy konfiguracja samego komputera ofiary.
Innym sposobem jest wysyłanie wiadomości e-mail, czy też porozumienie się w inny sposób z użytkownikiem, w celu nakłonienia go do przekazania nam danych pozwalających na zalogowanie się do portalu. Niekiedy do użytkowników trafiają wiadomości, z których wynika, że doszło do uszkodzenia serwera i administrator odbudowuje bazę użytkowników. Pomimo niedorzeczności tej prośby znajdują się osoby, które wysyłają swoje pełne dane do logowania. Należy zwrócić też uwagę na zagrożenie spowodowane tym, że wielu użytkowników wykorzystuje te same hasła i loginy w różnych zupełnie ze sobą niepowiązanych miejscach w sieci. Zatem po uzyskaniu hasła do logowania do poczty e-mail sprawcy próbują użyć tego samego hasła w innych usługach tego samego użytkownika – i bardzo często okazuje się, że są to próby udane. Portale często wysyłają do swoich klientów różnego rodzaju wiadomości, dlatego przejrzenie historii poczty bardzo szybko pozwoli sprawcy na ustalenie, z jakich usług ofiara korzysta.
Jeszcze innym sposobem działania jest wykorzystanie przez oszusta mechanizmów mających służyć przypominaniu hasła. O ile przejęcie wysłanego przez serwis smsa z nowym hasłem jest mało prawdopodobne (chyba, że sprawca znalazł telefon ofiary), to udzielenie odpowiedzi na pytanie np. o nazwisko panieńskie matki, imię sympatii czy naszego pupila, już wobec powszechności dostępu do danych często nie jest szczególnie trudne. Jeśli sprawca uzyskał już wcześniej dostęp do e-maila, to również może wykorzystać ten e-mail do otrzymania nowego hasła.
Często używanym sposobem przechwytywania haseł jest uzyskanie przez sprawcę dostępu do danych o hasłach z komputera ofiary. Dane pozwalające na zalogowanie się do różnych usług przechowujemy często w przeglądarce. Nieostrożni użytkownicy wykorzystują różne, często darmowe programy pochodzące z nieznanych i niesprawdzonych źródeł, służące do gromadzenia tych haseł. Może się zdarzyć, że autorem takiego oprogramowania jest oszust i zgromadzone dane trafią do niego bez wiedzy ich użytkownika. Stosunkowo najmniejszym zagrożeniem jest zapisywanie danych logowania i przechowywanie ich w bezpiecznym miejscu w domu, bo mimo wszystko ograniczony jest krąg osób mających dostęp do takich danych. Jeśli jednak ktoś takie dane przechowuje w telefonie komórkowym, albo zapisane na kartce umieszczonej w portfelu i dojdzie do ich utraty, to sprawcy bez większego problemu mogą wykorzystać taką okazję. Czasem do utraty poufności haseł może dojść podczas korzystania z usług portali na „obcych”, nie należących do nas komputerach, dostępnych w miejscach czy lokalach ogólnodostępnych.
Ponadto jeżeli korzystamy z menedżera haseł, niech będzie on sprawdzoną i rekomendowaną przez ekspertów aplikacją!
W związku z zaistniałymi zdarzeniami  apelujemy do wszystkich o zachowanie szczególnej ostrożności podczas korzystania z Internetu. Pamiętajmy, że przestępcy nie omijają wirtualnego świata. Wszystkie nasze działania powinny być przemyślane, a szczególnie  sytuacje, w których  ktoś za pomocą portalu społecznościowego prosi  nas o pieniądze (co z założenia celu istnienia takiego portalu, na wstępie powinno wzbudzić nasze podejrzenia).
Przypominamy także podstawowe środki ostrożności:
Przy płaceniu kartą płatniczą zwracajmy uwagę, czy połączenie internetowe jest bezpieczne i czy przesyłane przez nas dane nie zostaną wykorzystane przez osoby nieuprawnione. Korzystajmy z uznanych portali płatniczych, a przed potwierdzeniem przelewu upewnijmy się czy ten sam numer rachunku widnieje na zamówieniu.
W celu zapewnienia bezpieczeństwa korzystajmy z komputerów prywatnych, co do których mamy pewność, że nie korzysta z nich wiele osób, używajmy również programu antywirusowego i na bieżąco go aktualizujmy. Pamiętajmy by nie zapisywać haseł i nie zapamiętywać ich w przeglądarkach internetowych. Istnieje ryzyko, że hasła zostaną bez naszej wiedzy odczytane.
Zaleca się również włączenie dwuetapowej weryfikacji logowania, gdzie oprócz loginu i hasła otrzymamy kod przesłany do nas smsem lub użyjemy kodu wygenerowanego w specjalnej aplikacji.
Tekst: Oficer Prasowy wraz z Zespołem do walki z Przestępczością Komputerową Wydziału do walki z Przestępczością Gospodarczą Komendy Miejskiej Policji w Nowym Sączu