Nedávno se na nás se svým příběhem obrátila jedna čtenářka, která se v poslední době setkala s několika pokusy o phishing na sociálních sítích. Pokusy využít důvěřivosti lidí k vlastnímu prospěchu nejsou ničím novým, nicméně zatímco dříve šlo spíše o podvodné emaily, poslední dobou je čím dál tím populárnější platformou k těmto nekalým praktikám Facebook a Instagram.
Mechanismů podvodů je hned několik a lišit se mohou i svým cílem. Nejčastěji bude chtít útočník získat vaše peníze, přístup k osobním datům nebo ideálně oboje. Ačkoliv je pro zkušeného uživatele většina triků snadno odhalitelná, hodně lidí bohužel stále těmto útokům podlehne.
Spíše než na pravidelné čtenáře našeho webu tak tímto článkem cílíme na desítky lidí, které se měsíčně podle údajů operátorů a policie stanou obětí těchto podvodů a hledají třeba způsob, jak postupovat dále. Věnovat se ale samozřejmě budeme i tomu, jak takový útok rozpoznat a škodě zabránit dříve, než k ní dojde.
Jak útok probíhá?
Nejprve se věnujme variantě, kterou pracovně nazveme „cílený útok“. Jde tedy o situaci, kdy útočník nezkouší nachytat kohokoliv, ale jen vás, resp. užší skupinu „společných známých“. Mechanismus funguje tak, že útočník ukradne identitu nějakého vašeho známého, kamaráda či člena rodiny.
Ptáte se, jak je to možné? Velmi jednoduše. Takový člověk si prostě vybere někoho z vašich přátel, kdo má nastavený veřejně viditelný seznam přátel, založí nový profil se stejným nebo podobným jménem a jako profilovou fotografii nastaví tu stejnou, jakou má váš skutečný známý. Z tohoto falešného účtu vás pak zkusí oslovit. Většinou vám pravděpodobně nejprve pošle žádost o přátelství, ale není ani vyloučeno, že vám zkusí napsat rovnou. Pokud vám však píše profil, který nemáte v přátelích, Facebook vás na to upozorní.
Z hlediska útočníka je tak zpravidla nejprve nutné, abyste žádost přijali. Pokud se mu povede trefit do toho, že imituje profil někoho, s kým si třeba zas tak často nepíšete, ale znáte ho, jsou šance útočníka docela vysoké. Spousta lidí si prostě řekne, že si je daný člověk asi omylem odebral z přátel a chce zpět, nebo zkrátka jen mechanicky odklikávají všechny žádosti. Pokud patříte k lidem, kteří mají stovky přátel a přidáváte si každého, s kým jste se viděli jednou v životě, dost možná vám unikne, že vás o přátelství žádá někdo, koho už ve skutečnosti v přátelích máte.
Pak už může nastat fáze samotného oslovení. Od vašeho kontaktu přijde zpráva, v níž vás bude útočník žádat buď o nějaké hlasování v soutěži, nebo bude tvrdit, že potřebuje vaše telefonní číslo (pokud už ho nemá), aby si na něj nechal poslat nějakou ověřovací SMSku.
Hlasování v soutěži
Za předpokladu, že jde o hlasování v soutěži, může to probíhat nějak takto. Přijde vám zpráva, kde vás útočník přátelsky pozdraví, a protože například z fotografií na profilu „kopírovaného“ známého ví, že má psa, požádá vás, abyste pro něj hlasovali v soutěži o nejhezčího psa Horní Dolní. Vy si řeknete, že o nic nejde, a pro svého domnělého známého uděláte laskavost.
Web pro hlasování nebude vypadat nijak podezřele, ale bude vyžadovat přihlášení přes Facebook, Instagram nebo jinou sociální síť. Jakmile do políček vyplníte přihlašovací údaje, ve skutečnosti je získá útočník. Formulář totiž bude falešný a místo aby šlo o přihlašovací bránu dané sociální sítě, bude zadané údaje někam ukládat či odesílat.
Pokud útočník do vytvoření falešného webu vložil trochu úsilí, klidně si toho nemusíte vůbec všimnout a může se zdát, že hlasování proběhlo v pořádku. O následcích se pravděpodobně dozvíte až později.
Potvrzovací SMS
Předchozí „soutěžní“ mechanismus cílí na získání přístupových údajů. Ty se mohou hodit k ledasčemu, stejně tak jako samotný přístup k vašemu účtu. Taková data lze zneužít k získání přístupu k jiným službám, podvodům vůči vašim přátelům nebo je lze prodat jiným útočníkům. Jde nicméně o náročnější a propracovanější útok, takže se možná setkáte spíše s variantou potvrzovací SMS.
Začátek je stejný jako u minulého scénáře, přijde vám zpráva od domnělého známého. Pokud máte telefonní číslo viditelné na Facebooku, usnadníte útočníkovi práci. Pokud ne, bude ho muset nejprve získat. To vás může upozornit, že se děje něco zvláštního – jak to, že váš dobrý známý nemá telefon?
Útočník pravděpodobně bude pokračovat tím, že vám řekne, že už se nějakou dobu snaží potvrdit platbu, ale stále mu nepřichází potvrzovací kód. Na zaplacení ale spěchá a rád by tedy využil k potvrzení vaše číslo. Jakmile mu ho poskytnete, útočník provede tzv. m-platbu. Jde o formu internetové platby provedené přes operátora, uhrazená částka se vám tedy buď strhne z nabitého kreditu, nebo se objeví jako samostatná položka na měsíčním vyúčtování.
Útočník se bude pravděpodobně v tomto scénáři snažit vyvolat dojem naléhavosti, abyste si neměli moc času celou situaci promyslet. Na první pohled totiž průběh „operace“ vypadá relativně legitimně. Skutečně vám přijde jakási SMS s potvrzovacím kódem platby. Tyto SMS sice obsahují upozornění, abyste kód nikomu nesdělovali, nicméně kdo by na to dbal, že. Text SMS jen prolétnete a kontaktu přepošlete kód, který požadoval.
Co si v tuto chvíli ještě neuvědomujete, je to, že sice skutečně šlo o potvrzení platby, kterou provedl váš domnělý známý, avšak platíte za ni vy. Zjistíte to sice nejpozději na vyúčtování, ovšem to už budete o příslušnou částku lehčí.
Obdobně mimochodem může celý scénář fungovat i pro jiná zneužití. Telefonní číslo se může hodit k obnovení přístupu k nějakému účtu, autorizaci platby kartou (jejíž údaje útočník získal opět například falešným formulářem) a podobně.
Soutěže celebrit a značek
Třetí typový útok je trochu jiný v tom, že už vás neoslovuje váš falešný známý, ale na „návnadu“ se chytíte tak trochu sami. Tato forma je populární zejména na Instagramu. Podvodníci se tam vydávají za celebrity, youtubery, společnosti, e-shopy, prostě kohokoliv, od něhož byste mohli čekat nějakou soutěž či promo akci. Konkrétně jsme zaznamenali třeba falešné profily baviče Kazmy nebo značky Honor.
Některé profily budou nabízet výhru elektroniky, některé peníze, někdo možná jen slevový poukaz. Někdy taková „reklama“ bude mít formu Stories, někdy půjde o klasický příspěvek, komentář nebo snad i přímou zprávu. Lišit se bude i úroveň důvěryhodnosti, od příspěvků psaných lámanou češtinou po zdařilé grafické podvrhy.
Jedno mají ale všechny tyto metody společné. Abyste získali nebo měli šanci nějaký ten benefit získat, musíte se někde zaregistrovat. A zde už je vše opět stejné jako u scénáře se „psí soutěží“. Na jakémsi pochybném webu vyplníte své údaje, „ideálně“ třeba k bankovnictví, platební kartě nebo PayPalu.
Místo registrace však tyto údaje zamíří k útočníkovi, který už následně rychle zajistí, aby vaše prostředky změnily majitele. Teoreticky by se ještě mohla objevit druhá fáze, kde by bylo třeba pro nějaký krok SMS potvrzení, a útočník by se tak mohl pokusit navázat historkou o potvrzovací SMS.
Na tyto typy falešných profilů můžete narazit víceméně náhodně, ale také se vám mohou samy ozvat. A to často poté, co se zúčastníte nějaké skutečné soutěže. Podvodníci sledují (zpravidla automaticky) interakce s těmito profily a pak mohou zkusit cíleně oslovit lidi, kteří zjevně mají o takový obsah zájem.
Podvodníci či automatizovaní roboti jdou nejčastěji na Instagramu po nějakém konkrétním hashtagu (#soutez, #giveaway…). Technologický youtuber Vojta Dalekorej (WRTECH) například na svém Instagramu spustil soutěž, které se právě takový robot chytil. Následně došlo k vytvoření falešného profilu (i webové stránky), ze kterého přes soukromé zprávy docházelo ke kontaktování jeho sledujících.
Zprávy informovaly o výhře a nutily uživatele kliknout na odkaz, který vedl na podvodnou stránku (ta je mimochodem stále aktivní, URL najdete na přiloženém screenshotu). I nad tímto typem „útoků“ je tedy nutné mít se na pozoru.
Jak se těmto útokům bránit?
Zatím jsme si popsali tři hlavní typy phishingových útoků na sociálních sítích. Teď když víme, jak probíhají, můžeme celkem snadno odhalit i jisté nápovědy, podle nichž lze poznat, že se je někdo snaží aplikovat na vás. Doporučujeme tak této části věnovat pozornost a v případě, že se setkáte s chováním nápadně podobným některému z popsaných scénářů, velmi dobře rozmýšlet, co děláte.
U „cílených“ útoků, kdy vás osloví váš domnělý známý, může být prvním ukazatelem to, že s takovou osobou nemáte žádné zprávy. Vzhledem k tomu, že vás ve skutečnosti oslovuje nový a falešný profil, logicky jste si spolu ještě nikdy nepsali. Pokud si ale pamatujete, že s touto osobou už někdy v minulosti konverzace proběhla, je to nanejvýš podezřelé.
Nepozorný nebo technicky méně zdatný uživatel si toho ale všimnout nemusí. Útočník by také mohl mít štěstí a strefit se do profilu někoho, s kým jste si opravdu ještě nepsali. Případně by se vás mohl zkusit přesvědčit, že jde jen o nějaký výpadek Facebooku, kvůli němuž se konverzace nezobrazuje.
Dalším krokem k odhalení je tedy zamířit na facebookový profil takového člověka. Dostat se na něj dá snadno z mobilní aplikace i z webového prostředí, jak ukazují přiložené screenshoty.
Na profilu člověka, který vám píše, už zpravidla nebude pochyb o tom, že jde o podvodníka. Většinou totiž nebude mít skoro žádné přátele, nebo v nich bude mít náhodné lidi, či například bude chybět někdo, u nějž to bude podezřelé – například člen rodiny. Falešný profil také téměř jistě bude nový a nebude mít žádnou nebo velmi krátkou historii příspěvků.
Posledním krokem může být, že vyhledáte danou osobu a zjistíte, že na Facebooku existují dva identické účty. Jejich porovnání pak už bez jakýchkoliv pochyb potvrdí, že ten, který vám píše, je podvodný.
Falešné celebrity
V případě falešných profilů celebrit a značek popisovaných výše, je pak odhalení falešnosti ještě snazší. Na Instagramu totiž na rozdíl od Facebooku nemůže být jméno zcela identické. Bližší pohled tak zpravidla odhalí nějaký znak v uživatelském jménu navíc, zaměněné malé „L“ za „I“ a podobně. Dobrým ukazatelem je také počet sledujících daného profilu.
Zatímco skutečné celebrity a značky budou mít většinou minimálně desítky tisíc sledujících, falešný profil nanejvýš pár tisíc, spíše ale méně.
Velmi snadnou pomůckou také mohou být odznáčky ověřených profilů. Facebook, Instagram i jiné sociální sítě používají pro populární profily značky označující jejich pravost. Vedle uživatelského jména tak najdete modrou fajfku, která značí pravost. Pokud tedy zkusíte vyhledat daného člověka nebo značku a uvidíte, že existuje ověřený profil, zatímco ten, který nabízí soutěž, ověřený není, je celkem jasné, na čem jste.
Hodí se ale poznamenat, že i některé skutečné profily ověřené nejsou. Buď o to daný profil nepožádal, nebo sociální síť toto potvrzení z nějakého důvodu odmítla udělit. Zaměřili bychom se tak především na počet sledujících, stáří, resp. historii profilu a jazykovou kvalitu příspěvků.
Co dělat, když už jste se stali obětí?
Pokud tento článek čtete až poté, co už jste některé z těchto metod podlehli, nezbývá než se pokusit minimalizovat škody. Pokud máte sebemenší podezření, že útočník mohl získat vaše přihlašovací údaje kamkoliv, okamžitě je změňte. Změnit je musíte samozřejmě nejen na službě, skrz níž jste o ně přišli, ale také všude tam, kde používáte stejné. Jestliže jste tedy například zadali své heslo k Facebooku do pochybného soutěžního formuláře, ale zároveň stejné používáte i k emailu, je třeba změnit obě hesla.
Následně doporučujeme také zkontrolovat seznam přihlášených zařízení. Ta najdete na Facebooku v Nastavení a soukromí -> Nastavení -> Zabezpečení a přihlašování -> Kde jste přihlášeni. V případě Instagramu je pak obdobná sekce v Nastavení -> Zabezpečení -> Přihlašovací aktivita. Zde snadno vidíte všechna zařízení s přístupem k vašemu účtu, včetně toho, z nějž jste aktuálně přihlášeni. Ty, které nepoznáváte, zde může odhlásit.
Dalším krokem je pochopitelně nahlášení podvodného profilu. Postup je téměř identický na Facebooku i Instagramu. Otevřete si detail profilu, klikněte na tři tečky značící nabídku a vyberte dialog nahlášení. V něm už pak jen vyberte relevantní důvod a potvrďte.
V případě, že máte podezření, že útočník váš profil zneužil k oslovení vašich přátel, určitě je také varujte – například příspěvkem. Nenechte se uchlácholit tím, že žádné podezřelé zprávy nevidíte. Útočník teoreticky mohl zkusit ztížit odhalení tím, že je po sobě vymazal a vidí je tak již jen protistrana.
Vznikla vám škoda? Budete se muset obrátit na policii
Pokud z vás útočník vylákal peníze, například podvrženou m-platbou, nemáte bohužel moc šancí se k nim dostat. Platbu můžete teoreticky zkusit reklamovat u obchodníka, kterému šla, nicméně naděje na úspěch nejsou příliš velké. Můžete zkusit oslovit i operátora, nicméně nelze předpokládat, že by za vás uhradil platbu, kterou jste více či méně dobrovolně ve skutečnosti provedli vy.
Nezbývá tak než se obrátit na polici. Bohužel ani tak nejsou šance na to, že peníze ještě někdy uvidíte, příliš velké. Takto získané platby totiž většinou dosahují relativně malých částek. Pohybují se v rozmezí vyšších stovek až nižších tisíců. Po novele trestního zákoníku z minulého roku musí škoda překročit už nikoliv pět, ale deset tisíc. Do té doby jde pouze o přestupek a nalijme si čistého vína, nelze očekávat, že ho někdo bude vyšetřovat s kdovíjakým nasazením. Přesto ale nemusí být od věci policii celou záležitost nahlásit. Pokud by se totiž pachatele povedlo najít a přičíst mu několik dílčích činů v rámci jeho systematické podvodné činnosti, šlo by pak už o trestný čin.
I pokud bude pachatel dopaden, usvědčen a odsouzen, pořád to nicméně není zrovna zárukou toho, že peníze získáte. Podvodníci zpravidla nebývají zrovna majetné osoby a také vymožení dlužných prostředků nemusí být nic jednoduchého. Nejlepší je tak se vůbec do této situace nedostat, což při dodržení bezpečnostních pravidel a určité obezřetnosti není zase nic tak složitého.
Žaloba na ochranu osobnosti
Spíše pro úplnost dodáváme, že pokud pachatel svým jednáním například nějak poškodil vaši pověst, způsobil vám nemajetkovou újmu, zneužil vaše jméno k dalším podvodům a podobně, můžete se bránit i v občanskoprávní rovině. Jednou z možností je podání žaloby na ochranu osobnosti a žádat omluvu, náhradu nemajetkové újmy či případně zanechání činnosti, jejíž pokračování vás nadále poškozuje.
Opět ale vezměme v úvahu realitu. Pokud nedošlo skutečně k nějakému podstatnému poškození vašich práv, například zničení profesní pověsti a podobně, nelze asi obecně tento postup doporučit. Pokud byste uspěli, musel by sice žalovaný uhradit i náklady řízení, nicméně opět berme v úvahu, nakolik je reálné z internetového podvodníka tyto prostředky skutečně získat.
Obecné zásady bezpečnosti
Výše jsme se pokusili popsat prvky, podle nichž snadno poznáte, že se vás někdo snaží podvést. Všechny tyto útoky jsou totiž založeny minimálně částečně na tom, že podvodníkovi zkrátka uvěříte.
Jsou ale možnosti, jak se bránit i technickými prostředky. Snížíte tak šanci, že vás vůbec nějaký útočník osloví, a i pokud byste mu náhodou omylem třeba přihlašovací údaje předali, bude mít jejich zneužití těžší.
Hesla a ověřování
Jednou z nejdůležitějších zásad bezpečnosti na internetu je nemít na všech službách stejná hesla. Ideální je samozřejmě mít pro každou registraci jiné heslo, nicméně je pravda, že bez správce hesel se v takovém případě asi neobejdete. Bezpečnosti ale výrazně pomůže i to, když budete mít samostatné heslo alespoň pro ty důležité služby. Především je tedy podstatné mít jiné heslo pro email a pro sociální sítě. O nutnosti mít samostatné a silné heslo pro jakékoliv finanční služby asi ani netřeba mluvit.
Jinak totiž padne jedna linie vašeho digitálního opevnění. Spousta zásadních kroků, jako je změna hesla, kontaktního emailu a podobně, musí být potvrzena emailem. Ve chvíli, kdy je heslo stejné jako do emailu, to je nicméně pro útočníka zdržení maximálně v řádu minut. Stejně tak je nutné, abyste měli zadaný email, který skutečně používáte a máte k němu přístup. Jinak se připravíte o možnost resetovat heslo v případě, že vám ho útočník změní.
Důrazně doporučujeme si na všech službách a sítích, které využíváte, aktivovat dvoufázové ověření. Díky němu se útočník nebude mít šanci přihlásit, ani když získá vaše heslo. Musel by totiž mít ještě přístup k přístroji (typicky váš telefon), na který dojde ověřovací SMS či je na něm nainstalována autentizační aplikace.
Zajímavou možností může být také nastavit si na Facebooku tři až pět důvěryhodných přátel, kteří vám mohou v případě potřeby vygenerovat kód, s nímž obnovíte přístup ke svému účtu. Tuto alternativu má Facebook popsanou ve své nápovědě.
Nebuďte lákavá oběť
Kromě dobrého zabezpečení účtu také pomůže, když budete pro útočníka méně lákavou obětí. Doporučujeme například nastavit viditelnost vašeho seznamu přátel jen pro vás či pro vaše přátele. Útočník tak nebude moci tak snadno odhadnout, koho profil využít ke zkopírování identity. Toto nastavení najdete v sekci Nastavení a soukromí -> Nastavení -> Soukromí.
Přímo na vašem profilu pak lze nastavit viditelnost dalších osobních údajů. Zde lze doporučit neuvádět telefon z důvodů popsaných v části o podvodných ověřovacích SMS.
Závěr: stačí trocha pozornosti
Pokud jste dočetli až sem, už víte, jaké triky na vás mohou útočníci zkoušet, co tím mohou získat, jak je odhalit i jak se jim bránit. Není samozřejmě v možnostech článku obsáhnout všechny varianty podvodů, na něž můžete na sociálních sítích narazit. To ale ani není potřeba.
Analýza: Facebook o nás ví skoro všechno, ale dušuje se, že data neprodává
Pokud budete dodržovat bezpečnostní pravidla a dávat si trochu pozor na to, s kým komunikujete, měl by si na vás každý internetový podvodník vylámat zuby. Většina popsaných opatření navíc má smysl nejen kvůli ochraně před těmito podvody. Nezveřejňovat zbytečně moc osobních údajů a mít dobře zabezpečené účty je totiž něčím, čeho rozhodně nebudete mít důvod litovat.
Pokud už jste se někdy s podobným jednáním setkali, budeme rádi, když se o svůj příběh podělíte v diskuzi.
Tomáš Krompolc
Další dnešní články
