Wyciek danych z Facebooka. Lada chwila pojawią się ataki typu spear phishing
Facebook po raz kolejny przypomniał swoim użytkownikom, że ich dane nie były i nie będą bezpieczne. Wyciekły informacje o 533 milionach użytkowników, z czego 2,6 miliona ludzi to mieszkańcy Polski. To szósty największy taki przypadek w historii – jakie mogą być następstwa tego zdarzenia?
W sobotę świat obiegły informacje o ogromnym wycieku danych z Facebooka. Wśród ofiar znalazł się nawet sam Mark Zuckerberg. Baza danych wypełniona rekordami zawierającymi dane osobowe 533 milionów użytkowników została upubliczniona w sieci. Trafiła na jedno z forów hakerskich.
Wśród zawartych w niej rekordów znalazły się głównie informacje wymieniane na profilach. Zostały uzyskane najprawdopodobniej poprzez wykorzystanie podatności, gdyż część z ofiar nigdy nie udostępniła tych informacji publicznie, a i tak znalazły się w bazie. W pliku znalazły się poniższe dane:
imię i nazwisko,numer telefonu,adres e-mail (nie zawsze),zawód,miasto,stan cywilny,płeć.Teoretycznie mogłoby się wydawać, że nie ma powodów do obaw. W bazie nie znalazły się żadne hasła czy dane kart płatniczych. Należy jednak zwrócić uwagę, że pliki zostały udostępnione całkowicie za darmo. Dostęp do nich mogą uzyskać nie tylko tysiące oszustów i cyberprzestępców, ale także firmy telemarketingowe o wątpliwej renomie.
Jakich następstw wycieku danych z Facebooka możemy się spodziewać?
Kradzież danych z Facebooka może szczególnie uprzykrzyć życie osobom, których numer telefonu trafił do sieci. We wtorek opisywaliśmy, w jaki sposób można sprawdzić, czy należymy do ofiar wycieku. Polecamy to zrobić, jeśli jeszcze nie mieliście okazji. To pomoże wam lepiej rozpoznać przyszłe próby oszustw, które każdemu mogą się przydarzyć.
Spear phishing – to jedno z największych potencjalnych zagrożeń. To bardziej rozwinięta forma standardowych ataków phishingowych, które uderzają w nas każdego dnia. Oszuści znają już imię i nazwisko ofiary oraz inne prywatne dane jak chociażby miejsce pracy. Mogą wyszukać jej konto na Facebooku czy w innych social media stosując znany już adres e-mail i numer telefonu, aby lepiej ją poznać i zebrać więcej informacji. O jednym z przykładów informował nasz czytelnik.
W tym przypadku oszuści mogą skontaktować się z ofiarą poprzez adres e-mail lub nawet numer telefonu. Ta druga opcja jest jeszcze bardziej niebezpieczna, ponieważ w rozmowach głosowych ludzie są bardziej podatni na socjotechnikę. Jest to technika manipulacji, polegająca na zdobyciu zaufania ofiary. Przykładowo, oszust może podawać się za pracownika banku.
Ma dane ofiary, których wydawałoby się, obca osoba nie powinna znać. Nic bardziej mylnego – wszystko sama wrzuciła do sieci. Oszust może nakłonić ofiarę do zainstalowania złośliwego oprogramowania (lub TeamViewera) na komputerze, z pomocą którego wykradnie pieniądze z konta. Sam będzie twierdzić, że jest ekspertem z banku i prawdopodobnie doszło do ataku hakerskiego na konto bankowe. To tylko jeden z wielu opisywanych przez nas przykładów, które można wymieniać godzinami.
W przypadku spear phishingu i socjotechniki, najsłabszym ogniwem zawsze okazują się ludzie. Przed tymi atakami nie obronią nikogo antywirusy, a jedynie zdrowy rozsądek. Socjotechnika wykorzystuje między innymi cechy osobowości ofiar takie jak: próżność, chciwość, ciekawość, altruizm czy naiwność.
Jak nie dać się nabrać na atak phishingowy?
Przede wszystkim uratuje nas zdrowy rozsądek i trzeźwy umysł. Nie wykazujmy zbyt dużego zaufania w stosunku do obcych osób. Jeśli dzwoni do nas ktoś podający się za przedstawiciela banku i żąda dostępu do komputera lub wypytuje o dane osobowe, to zastanówmy się czy ma realny powód i prawo, aby to robić. Odpowiedź brzmi: "nie". Rozłączmy się i skontaktujmy z naszym bankiem, aby dowiedzieć się więcej o tej sytuacji. Z pewnością okaże się, że instytucja nie ma nic wspólnego z osobą, która prowadziła z nami rozmowę.
Nigdy nie podawajmy żadnych prywatnych danych, nawet jeżeli osoba, która do nas dzwoni podaje się za policjanta, funkcjonariusza ABW czy jakąkolwiek inną wpływową postać. Jeżeli ktoś nas straszy lub szantażuje, twierdząc że uzyskał dostęp do naszego komputera, czy telefonu, to z pewnością blefuje. O ile nie przedstawi nam realnych dowodów w postaci zdjęć czy innych plików, to nie należy się niczym przejmować. Z kolei jeżeli pokaże nam nasze zdjęcia, zastanówmy się, czy nie opublikowaliśmy ich wcześniej na Facebooku czy Instagramie.
Warto zapoznać się także z informacjami na temat phishingu, przygotowanymi przez agencje rządowe. Jeśli korzystacie z Facebooka lub Twittera, śledźcie takie konta jak CERT Polska. Dzięki temu na bieżąco będziecie dowiadywać się o nowych formach ataków phishingowych.
Nieuniknione są też kolejne połączenia od telemarketerów
Nie od dziś wiadomo, że telemarketerzy uzyskują nasze numery w telefonów w niewyjaśniony sposób. Już kilkukrotnie udowodniliśmy, że nie są w stanie wytłumaczyć, skąd mają nasz numer telefonu – oto jeden z przykładów. Niestety, ale część z tych firm pobiera bazy numerów z sieci.
W konsekwencji wycieków danych powstają tzw. "polskie książki telefoniczne". Największą dotychczasową bazą było 2,5 milionów rekordów zdobytych ze sklepu internetowego Morele.net. Teraz dołączy do nich kolejne 2,6 miliona numerów telefonów, chociaż niewykluczone że część z nich się pokrywa.
Ofiary wycieku danych z Facebooka mogą spodziewać się "ostrzału" ze strony telemarketerów. Są jednak sposoby, aby się przed nimi ochronić. W naszym poradniku przeczytacie między innymi o aplikacjach, które poinformują was, czy warto odebrać połączenie, czy możecie spodziewać się spamu.