Bezpieczeństwo na portalu Facebook

Bezpieczeństwo na portalu Facebook

Portale społecznościowe już na dobre zadomowiły się w świadomości internautów. Na rynku jest ich całkiem sporo, jedne bardziej popularne, drugie mniej, jednak niekwestionowanym liderem jest portal Facebook. Z tego właśnie powodu, to na tym portalu skupimy się w tym artykule. Okazuje się bowiem, że odpowiednie ustawienie zasad bezpieczeństwa i rozpoznanie niektórych ataków wymierzonych w użytkowników tego serwisu, może być problematyczne.

O prywatności na Facebooku wspominaliśmy już przy okazji innego artykułu, jednak tym razem skupimy się nie tylko na prywatności, ale ogólnie na bezpieczeństwie. Zachęcamy jednak do zapoznania się z naszymi pozostałymi tekstami.

Podwójne zabezpieczenie

W dzisiejszych czasach hasła nie zawsze dają gwarancję bezpieczeństwa. Po pierwsze wielu internautów używa stosunkowo proste kombinacje, które są łatwe do odgadnięcia lub złamania. Zdarza się też, że użytkownicy stosują jedno hasło do wielu serwisów. Wówczas zdobycie hasła z jednego miejsca skutkuje uzyskaniem dostępu do wszystkich portali, które mają podobne zabezpieczenie. Oczywiście wina nie musi leżeć po stronie użytkownika, bywają przypadki, że dochodzi do wycieku danych lub włamania i wówczas to firma, która doświadczyła incydentu, powinna poinformować o takim zajściu swoich klientów.

Czasami jednak chcielibyśmy mieć pewność, że nasze dane i informacje są bezpieczne i nikt niepowołany nie wejdzie w ich posiadanie. Portal Facebook pozwala na włączenie dwuetapowego uwierzytelniania. Jest to zabezpieczenie, które od lat stosują banki i serwisy transakcyjne, ale zyskuje ono na popularności także u innych usługodawców. Wspomniane banki wymagają do zatwierdzenia przelewu nie tylko hasła do konta, ale również kodu jednorazowego np. wysłanego SMS-em lub wygenerowanego przez token. Facebook również daje kilka opcji do wyboru. Po włączeniu tej funkcji, podczas logowania wymagane będzie dodatkowe uwierzytelnienie, które użytkownik ma zazwyczaj przy sobie. Z tego powodu dwuetapowe uwierzytelnianie jest bezpieczniejsze od standardowego.

Zrzut ekranu ustawień zabezpieczeń na portalu Facebook
Zrzut ekranu ustawień zabezpieczeń na portalu Facebook

Jak widać na powyższym obrazku, użytkownik ma do wyboru:

  • Wiadomość tekstową (SMS)
  • Klucz zabezpieczeń (U2F)
  • Generator kodów
  • Kody resetowania

Najwygodniejszą, a jednocześnie najbardziej praktyczną opcją wydaje się być dystrybuowanie kodów jednorazowych potrzebnych do logowania, poprzez SMS-y. Telefon mamy przy sobie praktycznie zawsze, dzięki czemu nawet kiedy korzystamy z Facebooka na innym urządzeniu, nie będzie problemu z zalogowaniem się poprzez dwuetapową autoryzację. Nie musi to być smartfon, wystarczy nawet zwykły telefon komórkowy.

Jeden z etapów włączania dodatkowego zabezpieczenia konta
Jeden z etapów włączania dodatkowego zabezpieczenia konta

Dla ścisłości opiszemy jednak pozostałe metody uwierzytelniania:

  • Klucz U2F to skrót od Uniwersal Second (2nd) Factor. Jest to fizyczne urządzenie wielkości pendrive’a, które należy włożyć do portu USB komputera, po wpisaniu hasła. Uznaje się to za bezpieczniejszą metodę od haseł jednorazowych dystrybuowanych poprzez SMS-y, gdyż jest odporny na metody wyłudzenia i phishing.
  • Generator kodów to rozwiązanie zbliżone do wysyłania kodu poprzez SMS. W tym przypadku kod jest generowany przez aplikację na urządzeniu mobilnym. Co ważne, generator kodów działa także w przypadku braku dostępu do internetu.
  • Kody resetowania są potrzebne, jeżeli np. nie mamy przy sobie telefonu, a korzystamy z zatwierdzenia logowania poprzez SMS-y. Jednorazowo można wygenerować 10 kodów, a każdy z nich może zostać użyty jedynie raz.

Jak widać Facebook zapewnia różne metody na dodatkowe zabezpieczenie i każdy może wybrać najlepszą dla siebie opcję.

Facebookowy scam

Wyjaśnijmy sobie czy w ogóle jest scam. Ten rodzaj ataku wykorzystuje socjotechnikę i manipulację użytkownikiem by wzbudzić jego zaufanie i zainteresowanie np. jakąś treścią. Niestety taka wiadomość lub mail jest oszustwem i treść ma na celu wprowadzenie w błąd użytkownika, który chce zweryfikować prawdziwość informacji, które prezentuje atakujący. Łatwiej będzie to wyjaśnić na konkretnym przykładzie. Nie tak dawno temu w internecie został opisany[1] ciekawy przykład scamu, który był wymierzony w użytkowników Facebooka:

Osoby korzystające z tego serwisu zaczęły masowo otrzymywać wiadomości , które sugerowały, że ktoś się pod nich podszywa. Do tego dołączony był link, pod którym właściciel konta mógł zweryfikować problem. Poniższy obrazek przedstawia taką wiadomość:

Źródło: https://niebezpiecznik.pl/wp-content/uploads/2017/01/fb-scam.jpg
Źródło: https://niebezpiecznik.pl/wp-content/uploads/2017/01/fb-scam.jpg

Warto zwrócić uwagę na fakt, że w tym ataku zostały wykorzystane elementy socjotechniki. Po przeczytaniu, że ktoś korzysta z naszej tożsamości, może pojawić się obawa, że zostanie to użyte przeciwko nam i naszym znajomym. W takiej sytuacji często działamy odruchowo, nie analizując dokładnie całego problemu. Wskazany we wiadomości link prowadzi na witrynę, która wygląda podobnie do strony logowania Facebooka.

Źródło: https://niebezpiecznik.pl/wp-content/uploads/2017/01/informacje1-27-24h_eu.jpg
Źródło: https://niebezpiecznik.pl/wp-content/uploads/2017/01/informacje1-27-24h_eu.jpg

Oczywiście wszystkie dane (login, hasło) wprowadzone na tej stronie zostaną przechwycone przez atakującego, a my bardzo szybko możemy stracić dostęp do konta. Z tego powodu istotne jest sprawdzanie certyfikatu strony (czy jest autentyczna) oraz ignorowanie wiadomości tego typu.

Fałszywe konkursy

Kolejnym przykładem zagrożenia, z którym mogą spotkać się użytkownicy portalu społecznościowego są fałszywe konkursy. Schemat działania jest prosty – powstaje fanpage, który jest stylistycznie wzorowany na znanym producencie sprzętu, odzieży czy usług, a następnie ogłasza się konkurs, w którym do wygrania są atrakcyjne nagrody (o dużej wartości). Zazwyczaj wzięcie udziału w konkursie jest bardzo proste, wystarczy:

  • Polubić stronę
  • Udostępnić na profilu informację o konkursie
  • Umieścić w komentarzu informację np. jaki kolor telefonu wybieramy

Tego typu informacje rozchodzą się w błyskawicznym tempie, a winne temu są udostępnienia konkursu. Znajomi zauważą „atrakcyjny” konkurs i również wezmą w nim udział, udostępniając post. W ten sposób tworzy się długi łańcuch powiązań. No dobrze, ale jaki w tym wszystkim cel? W przypadku fałszywych konkursów zazwyczaj chodzi o wzbogacenie się kosztem użytkownika. Poniższy przykład odda to lepiej.

Ktoś stworzył fałszywy profil Roberta Lewandowskiego, na którym miał on rzekomo oferować swój nowy samochód. Zdobyć miał go jeden z wylosowanych fanów, który spełnił określone warunki:

Źródło: http://www.spidersweb.pl/2017/01/robert-lewandowski-facebook-oszustwo.html
Źródło: http://www.spidersweb.pl/2017/01/robert-lewandowski-facebook-oszustwo.html

Jak nie trudno się domyślić, nikt samochodu nie wygrał, natomiast niektórzy mogli zmniejszyć saldo swojego konta o 200 zł. Po pewnym czasie do uczestników konkursu były rozsyłane następujące wiadomości:

Źródło: http://www.spidersweb.pl/2017/01/robert-lewandowski-facebook-oszustwo.html
Źródło: http://www.spidersweb.pl/2017/01/robert-lewandowski-facebook-oszustwo.html

Jak widać konkurs odgrywa tutaj zasłonę dymną, która ma zmniejszyć czujność i odwrócić uwagę od prawdziwych intencji autora. Dodatkowo wykorzystano bez zgody wizerunek znanej osoby z samochodem w tle, co ma dodać wiarygodności całej sprawie.

Niestety nie jest to jedyna opcja fałszywych konkursów. Coraz częściej spotkać można prośby o wysłanie SMS-a o określonej treści na numer, który okazuje się być numerem o podwyższonej opłacie.

W kolejnym przykładzie, bezprawnie wykorzystany został wizerunek firmy Nike. Sam fanpage nie miał nic wspólnego z prawdziwą firmą, ale okazja do zgarnięcia jednej z tysiąca par butów przyciągnęła uwagę internautów.

Jeżeli ktoś chciał wziąć udział w konkursie, musiał wejść na odpowiednią stronę i zweryfikować swoją tożsamość. Jak się okazało, całość służyła jedynie nakłonieniu użytkownika na wysłanie SMS-a. Koszt jednej wiadomości wynosił ponad 30 zł, a dodać trzeba, że proces weryfikacji wymagał wysłania kilku SMS-ów…

Źródło: http://finanse.wp.pl/falszywe-konkursy-na-facebooku-tak-sie-zarabia-na-naiwnosci-polakow-6111835961407617a
Źródło: http://finanse.wp.pl/falszywe-konkursy-na-facebooku-tak-sie-zarabia-na-naiwnosci-polakow-6111835961407617a

Najlepszym sposobem na uniknięcie tego typu oszustwa jest ostrożne działanie i nie podejmowanie szybkich decyzji, pod wpływem impulsu. Zapoznajmy się z regulaminem, przeczytajmy opinie w internecie i przede wszystkim zastanówmy się czy bardzo drogie przedmioty mogą być faktycznie rozdawane za darmo. Jeżeli wszystko wydaje się być wiarygodne i dalej planujemy wziąć udział w losowaniu nagrody, to w momencie wysłania przez organizatora prośby o dokonanie przelewu lub wysłanie SMS-a, powinna zapalić się nam czerwona lampka.

Kolejnym pomocnym krokiem jest zweryfikowanie czy strona konkursowa faktycznie jest powiązana z firmą, która organizuje konkurs. Niestety patrzenie na liczbę polubień nie zawsze jest dobre. Niekoniecznie musi to być wyznacznik tego czy strona jest prawdziwa. Zawsze istnieje możliwość, aby wejść na oficjalną stronę firmy (www, nie na profil na Facebooku) i skontaktować się telefonicznie lub mailowo, w celu weryfikacji.

Podsumowanie

W poradniku tym chcieliśmy wskazać najważniejsze kwestie, które mogą wpłynąć na bezpieczeństwo konta na portalu Facebook. Poza wymienionymi atakami i metodami ochrony konta, sugerujemy także kilka innych rozwiązań dla poprawy bezpieczeństwa.

  • Regularnie aktualizuj system operacyjny i przeglądarki – pomoże to w uniknięciu ataków, które wykorzystują luki np. w przeglądarce
  • Zainstaluj program antywirusowy – niektóre szkodniki mogą próbować wykraść hasło do konta poprzez zapisywanie znaków wprowadzanych poprzez klawiaturę, z programem antywirusowym zmniejszamy szansę na infekcję systemu
  • Zawsze klikaj „wyloguj”, po zakończeniu korzystania z usługi – dotyczy to każdego serwisu, nie tylko portali społecznościowych
  • Przed zalogowaniem się na stronę sprawdź czy witryna jest szyfrowana i potwierdzona odpowiednim certyfikatem (zielona, zamknięta kłódka)
  • Nie publikuj postów publicznie – najlepszym wyborem jest widok tylko dla znajomych

[1] https://niebezpiecznik.pl/post/nowy-scam-na-facebooku-2/