„Facebook? Jeśli Cię tam nie ma, to nie istniejesz!”. Kiedyś może to i była prawda – sam nie wyobrażałem sobie życia bez medium społecznościowego spod znaku „f” na niebieskim tle. Czasy się zmieniły, ja sam przez parę lat trzymałem się z dala od FB (teraz korzystam bo poniekąd muszę). Dla młodzieży Facebook to coraz częściej cringe, nie zmienia to jednak faktu, że korzysta z niego ok. 66% Polaków (w granicach 25 mln, zależnie od badań). Dlatego najpopularniejsze medium społecznościowe i nasze konta na nim są wciąż łakomym kąskiem dla oszustów.
Według analiz i obserwacji CERT Orange Polska Facebook to od dłuższego najpopularniejszy wektor dotarcia z podejrzanymi treściami do internautów. Reklamy fałszywych inwestycji, podejrzane sklepy – to najpopularniejsze przykłady oszustw, z którymi najłatwiej dotrzeć do potencjalnych ofiar właśnie dzięki największemu serwisowi społecznościowemu.
Co więcej, serwisowi którego moderacja z – hmmm – wyraźną niechęcią podchodzi do próśb o usunięcie fałszywych treści, czego na konferencji Oh My Hack dowiedli Piotrek Zarzycki z CERT Orange Polska i Paweł Srokosz z CERT Polska. Jeśli macie wolne 43 minuty, warto obejrzeć ich prezentację. Zaręczam – nie ma nudy!
Kto publikuje fałszywe treści
To pytanie nasuwa się jako pierwsze, prawda? Z jednej strony Facebook niechętnie moderuje nawet ordynarne fejki (czyżby dlatego, że pieniądz nie śmierdzi – nie wiem, choć się domyślam). Z drugiej jednak – przecież Facebook nie składa się tylko z fałszywek! Nie ma miarodajnych danych na ten temat, wg. nielicznych badań liczba tego typu kont waha się między kilku i kilkunastoma procentami całości. Niewiele? Według danych z 2024 r., Facebook ma ponad 3,07 mld aktywnych użytkowników miesięcznie. 10 procent „lewych” kont to zatem ok. 300 milionów.
Dlatego oszuści szukają innych pomysłów na to, by promowane przez nich treści dotarły do większej liczby internautów. Fałszywe konto, czy fanpage podszywający się pod znaną firmę (z kilku/kilkunastoma obserwatorami) łatwo rozgryźć i nie dać się złapać na oszustwo. Co jednak, gdy lewizna pojawi się na liczącej tysiące internautów grupie? W takim gronie zawsze znajdą się ludzie, którzy okażą się być na bakier ze zdrowym rozsądkiem i dadzą się złapać na lep, niezależnie od tego jak absurdalny się okaże. A co, jeśli ofertę świetnej inwestycji zobaczymy na stronie lokalnej uczelni, czy fanpage’u popularnego filmu? Wciąż znajdą się tacy, którzy nie dadzą się oszukać, ale z doświadczenia wiem, że w takim przypadku kliknie więcej osób. Pytanie – skąd oszuści mają dostęp do takich stron? Domyślacie się już?
Zaloguj się przez Facebook
Logowanie się za pośrednictwem aplikacji trzeciej? Od zawsze jestem fanem paswordless i nie zamierzam krytykować używanie w tym celu Facebooka, czy Google. Ale brak zdrowego rozsądku już zdecydowanie tak. Od lat niczym Katon Starszy o niszczeniu Kartaginy powtarzam: Sprawdź adres strony zanim się zalogujesz!
Czy to fałszywe bramki płatności (to nie o nich tekst, ale warto przypomnieć), czy dramatyczne fake newsy, sugerujące, że zobaczysz drastyczne treści jeśli zalogujesz się do Facebooka… (nie tylko) W tych sytuacjach oszuści albo prezentują nam fałszywą stronę pod abstrakcyjnym adresem, czy też proszą by login i hasło wpisać w wyskakujące okno. Efekt? Efekt jest taki, że nasze poświadczenia logowania trafiają w ręce przestępców, którzy po chwili przejmują nasze konto!
Co mogą z nim robić? Pół biedy jeśli to po prostu nasze konto w social mediach. Może stracimy kontakty do znajomych, być może najemy się wstydu, gdy 20 osób przeleje „nam” przez BLIK-a po 100 PLN, bo przecież przyjaciół w potrzebie się nie zostawia. Trochę gorzej jeśli spróbują sprawdzić, czy aby nie logujemy się do jakichś popularnych serwisów za pośrednictwem Facebooka. To jednak wciąż sytuacje, w których konsekwencje poniesiemy tylko my i wyłącznie prywatne. Gorzej, gdy zawodowo administrujemy fanpage’ami. Myślicie, że skąd się wziął serwis filmu o kucykach reklamujący fałszywe inwestycje?
Oszuści atakują przez LinkedIn
Zdaje się więc, że przestępcy znaleźli kolejną niszę. Przy olbrzymiej popularności mediów społecznościowych nietrudno znaleźć osoby, które zajmują się nimi profesjonalnie. A jakie miejsce jest do tego lepsze, niż „Facebook do pracy”, czyli LinkedIn? CERT Orange Polska uzyskał informację o wyrafinowanej kampanii, której celem są właśnie kobiety i mężczyźni administrujący serwisami społecznościowymi w firmach.
A o co chodzi w skrócie:
- oszust, podszywa się pod headhuntera
- znajduje osobę, która w opisie pracy ma wpisane media społecznościowe kontaktuje się z nią, prezentując atrakcyjną ofertę pracy
- w trakcie wymiany informacji przekierowuje potencjalną ofiarę na komunikację e-mail z „osobą odpowiedzialną za zatrudnienie”
- w kolejnym mailu pojawia się link do wideo-rozmowy kwalifikacyjnej
Nie byłoby w tym nic złego, gdyby nie fakt, że kliknięcie w link z ostatniego punktu wywołuje… pop-up z logowaniem do Facebooka! Jeśli wpiszesz tam swoje hasło, w zasadzie możesz się pożegnać ze swoim kontem i dostępami do fanpage’u! Chyba, że…
Pamiętaj o 2 Factor Authentication
…masz uwierzytelnianie dwuskładnikowe. O ile w przypadku zwykłych użytkowników uważam, że powinniście je mieć, tak w przypadku, gdy administrujesz social mediami lub w inny sposób dysponujesz informacjami wrażliwymi – musisz korzystać z 2FA. Bezdyskusyjnie. I co więcej – stanowczo zalecam, by był to klucz sprzętowy. Tak, takie zabezpieczenie kosztuje kilkaset złotych. Ale jeśli Twoi przełożeni mówią, że to (zbyt) dużo – zapytaj ich, jakie koszty będą musieli ponieść, gdy ktoś przejmie firmowe konta w mediach społecznościowych? Z jednej strony fajnie jest powiedzieć: „Mamy coś wspólnego z filmem My Little Pony!”. Nie wiem jak Wy – ale ja wolałbym, że to był budżet.