Media społecznościowe pozwalają ludziom łączyć się, dzielić doświadczeniami zawodowymi, zdjęciami czy filmami. Jednak nadmierna chęć do wymiany informacji i zawierania znajomości mogą ściągnąć na użytkowników sporo kłopotów.
Według różnych szacunków co czwarta ofiara oszustw internetowych została oszukana w mediach społecznościowych. Ponadto Facebook, LinkedIn czy Instagram są kopalniami danych dla cyberprzestępców.
Internetowi oszuści doskonale opanowali sztukę socjotechniki, pozwalającą manipulować ludźmi tak, aby dzielili się poufnymi informacjami, a czasami nawet pieniędzmi. Pierwszą fazą ataku socjotechnicznego, takiego jak na przykład phishing, jest rozpoznanie. Polega ono na tym, że napastnik stara się zebrać jak najwięcej informacji o swojej potencjalnej ofierze. Bardzo ważne z punktu widzenia napastnika jest opracowanie e-maila lub SMS-a zachęcającego odbiorcę do reakcji. O wiele większe jest prawdopodobieństwo, że adresat prędzej odbierze spersonalizowaną wiadomość niż e-maila, który jest wysyłany jednocześnie do kilkunastu tysięcy osób.
Zdaniem ekspertów idealnym miejscem służącym do rozpoznania potencjalnych ofiar są właśnie media społecznościowe. Profile na Facebooku, Instagramie, czy LinkedInie zawierają nieprzebrane zasoby danych. Większość ludzi lubi się chwalić swoimi osiągnięciami zawodowymi, bogactwem czy życiowymi sukcesami. Użytkownicy mediów społecznościowych często działają automatycznie, nie zdając sobie sprawy z tego, iż publikowane przez nich informacje mogą być w dowolnej chwili wykorzystane przez hakerów.
Rozpoznanie nie jest nową taktyką wymyśloną przez cyberprzestępców. W analogiczny sposób działają włamywacze. Niezwykle rzadko zdarza się, że wybierają dom na chybił trafił. Najpierw szukają słabości i oceniają, który lokal oferuje najwięcej korzyści po uwzględnieniu ryzyka i zysków. Czyli jednym słowem – szukają miejsc, gdzie można zdobyć najwięcej łupów przy minimalnym wysiłku. Nie inaczej wygląda to w przypadku cyberataków.
– Część oszustów preferuje sprofilowane ataki, takie jak na przykład BEC (Business E-mail Compromise), bowiem przynoszą im najwyższe profity. W tym przypadku cyberprzestępcy wykorzystują prawdziwe dane właścicieli firm i osób z zarządów przedsiębiorstw, podszywając się pod nich i wysyłając e-maile do kontrahentów lub podwładnych. Wiadomości kierowane są najczęściej do księgowych, dyrektorów finansowych i przedstawicieli zespołów płatności. W mailach proszą między innymi o: zmianę numeru rachunku do przelewu, pilne uregulowanie płatności na wskazany adres, a czasami dostęp do poufnych informacji. – mówi Michał Łabęcki, Marketing Manager G DATA Software.
Hakerzy dostosowują swoje działania do platformy
Metody stosowane przez napastników zależą od platformy mediów społecznościowych. Na przykład Facebook pozwala użytkownikom zachować prywatność zdjęć oraz komentarzy. W związku z tym internetowy oszust stara się zaprzyjaźnić się ze znajomymi potencjalnej ofiary lub wysyła bezpośrednio prośbę o dodanie do grona znajomych do docelowego użytkownika. Niemniej połączenie ze znajomymi znacznie zwiększa prawdopodobieństwo, że osoba znajdująca się na celowniku hakera zaakceptuje zaproszenie.
– Łakomym kąskiem dla cyberprzestępców grasujących w mediach społecznościowych jest LinkedIn. Sieci użytkowników tej platformy w znacznym stopniu tworzą współpracownicy oraz kontrahenci. Napastnik może wykorzystać publiczne informacje, aby znaleźć kilku pracowników, którzy mają dostęp do informacji finansowych, prywatnych danych klientów lub dostępu do sieci o wysokich przywilejach. LinkedIn wydaje się być bezcennym źródłem informacji dla grup przestępczych przeprowadzających ataki typu BEC. – tłumaczy Michał Łabęcki.
LinkedIn jako największa na świecie platforma z profesjonalnymi kontaktami, stała się ważnym miejscem poszukiwania pracy i nawiązywania relacji zawodowych. Jednak wraz z jej rosnącą popularnością i prestiżem, zwiększa się ryzyko natknięcia na fałszywe oferty pracy. Tego rodzaju oszustwa mają na celu wprowadzenie osób w błąd, aby dostarczyły wrażliwe informacje bądź dokonały pod fałszywymi pretekstami dokonały wpłat finansowych.
Jak nie dać się zwieść oszustom
Miliardy użytkowników sieci społecznościowych przyciągają różnej maści oszustów. Ale czujność, a także ścisłe trzymanie się zasad i reguł postępowania w sieci pozwoli ominąć pułapki zastawiane przez cyberprzestępców. Trzeba być powściągliwym – konto w mediach społecznościowych nie może być pamiętnikiem czy też słupem ogłoszeniowym. Przed publikacją posta warto przez chwilę się zastanowić czy nie stanie się on pożywką dla oszustów.
W mediach społecznościowych, podobnie jak w życiu, należy rozważnie dobierać znajomych. Dlatego warto patrzeć chłodnym okiem na wszelkie prośby o dodanie do znajomych czy obserwowania, zwłaszcza, kiedy pochodzą od nieznanych osób. Ich autorami często są właściciele kont stworzonych do zbierania informacji dla celów przestępczych lub rozpowszechniania fałszywych informacji. Jednym ze sposobów na zdemaskowanie oszustów jest analiza ich profilu. Jeśli jest na nim niewiele treści lub zaledwie kilku przyjaciół, powinna zapalić się czerwona lampka. Przeciętny użytkownik Facebooka ma około 200-250 znajomych. Niezależnie od platformy, jeśli konto ma mniej obserwujących lub jest bardzo nowe, może to być oszust.
Nie można też zapominać o silnych, unikalnych hasłach, będących pierwszym krokiem do do ochrony kont w mediach społecznościowych przed włamaniem. Nagminnym błędem popełnianym przez użytkowników jest posługiwanie się tym samym hasłem dla każdego kanału mediów społecznościowych. W takim przypadku, kiedy haker zdobędzie hasło, ma otwarte drzwi do wszystkich platform.
Kiedy coś wydaje się zbyt piękne, aby mogło być prawdziwe, prawdopodobnie takie jest. Istnieje bardzo duże prawdopodobieństwo, graniczące z pewnością, że propozycje świetnych możliwości inwestycyjnych, wygrania najnowszego modelu iPhone’a, randki z atrakcyjną partnerką czy dobrze płatnej pracy nie wymagającej wysokich kwalifikacji, są nieprawdziwe. To tylko próby wciągnięcie potencjalnej ofiary do kliknięcia linka prowadzącego do złośliwego oprogramowania bądź wyciągnięcia od niej pieniędzy.
————
www.GDATA.pl