reklama
Facebook od dawna przyciąga hakerów. Ciężko wszak o inne miejsce w internecie, w którym zgromadzona byłaby tak duża ilość wrażliwych danych dotyczących tak wielu internautów. Oczywiście trudno uzyskać w ten sposób hasło do konta bankowego, ale adres mailowy czy po prostu login i hasło do konta na Facebooku – jak najbardziej. W ten sposób można chociażby przejąć fan page i zarobić pieniądze na jego sprzedaży lub prowadzeniu strony.
Przekonało się o tym na przestrzeni ostatnich kilku dni grono administratorów co najmniej kilkunastu fanpejdży. Wśród skradzionych stron znalazły się te o pokaźnej liczbie fanów, jak chociażby Kocham Football (ponad 500 tys. fanów), I ♥ TRUSKAWKI (475 tys.), Gazeta Wyborcza (118 tys.) czy Weź się tato (110 tys.). Kradzież dotknęła też kilka markowych fan page’y, jak Kia Motors Polska, Durex Polska, AXE PL czy Wódka Żołądkowa Gorzka (źródło: PrzerwaNaReklame.pl). Większości z wymienionych fanpejdży nie znajdziemy w tej chwili na Facebooku, można więc domniemywać, że zostały zablokowane przez administratorów serwisu.
Wystarczy kilka kliknięć
Całą sprawę nagłośnił Łukasz Rzepiński, właściciel wspomnianego wyżej fan page “I ♥ TRUSKAWKI”. Rzepiński utrzymuje, że łączna liczba fanów wszystkich utraconych przez niego w wyniku ataku stron przekracza milion. W poście opublikowanym na facebookowej grupie skupiającej miłośników social media opisał w kilku zdaniach jak przebiegał atak phishingowy.
Administrator otrzymywał wiadomość od nieznajomego użytkownika, który „proponował” udostępnienie zdjęcia na fan page za opłatą. Wiadomość zawierała również link do domniemanego zdjęcia. Po kliknięciu w link administrator zostawał przeniesiony do strony, której wygląd był identyczny do strony logowania na Facebooka. Różnił się „jedynie” adresem witryny. Jeśli użytkownik się nie zreflektował i wpisał w polu logowania swój login i hasło, strona przesyłała dane do hakera i w ten sposób mógł on przejąć kontrolę nad prowadzonymi przez administratora fan page’ami.
Poza opisaniem sprawy na Facebooku, Rzepiński dokonał również zgłoszenia na policji i poprosił o to innych użytkowników, którzy w ten sam sposób utracili fanpejdże. Jak udało nam się dowiedzieć od samego zainteresowanego, otrzymał on propozycje odkupienia utraconych stron. Dysponuje również adresem IP hakera.
Wyborcza „obraża” premiera i… samą siebie
Po nadaniu sprawie rozgłosu w sieci zaczęły pojawiać się materiały dotyczące przejęcia fan page’a Gazety Wyborczej. Administratorzy utracili nad nim kontrolę w poniedziałek rano (1 kwietnia). Haker zdążył umieścić na fan page post obrażający szefa rządu i samą GW (nawiązanie do obraźliwej wersji nazwy gazety). Początkowo część fanów strony była zdezorientowana i niektórzy sądzili, że to forma żartu primaaprilisowego. Sprawę starali się wyjaśnić sami administratorzy, wpisując komentarze pod postem ze swoich prywatnych kont.
Po pewnym czasie postanowili skontaktować się z administratorami Facebooka i w ten sposób udało im się odzyskać kontrolę nad stroną (tutaj oświadczenie GW). Przy okazji przedstawiciele serwisu poinformowali, że na podstawie adresu IP haker został zlokalizowany w okolicach Włocławka. Z kolei administrator serwera, na którym hostowany był phishing ujawnił, że posiada numery kontaktowe do osób, które w dniu ataku doładowały swój portfel kwotą równą tej, którą doładował haker.
Nieuwaga czy brak kompetencji?
Cała sprawa jeszcze nie znalazła swojego finału. Z pewnością jednak stanowi ostrzeżenie dla administratorów fanpejdży. Jak widać, wystarczy zaledwie kilka chwil nieuwagi, które mogą kosztować utratę ciężko budowanej społeczności na Facebooku, nierzadko przynoszącej administratorowi pewne zyski. Z drugiej strony, niektórzy wskazują, że od osoby prowadzącej fan page należałoby oczekiwać nieco wyższych kompetencji internetowych. Tego zdania jest Piotr Konieczny, szef zespołu bezpieczeństwa serwisu Niebezpiecznik.pl:
Przyznam szczerze, że niezmiernie dziwi mnie, iż osoby, których praca polega na przebywaniu non-stop w internecie i rozumieniu jego tajników dały się złapać na tak niesamowicie banalny atak. O ile potrafię zrozumieć ludzką naiwność, to nie jestem w stanie pojąć dlaczego “profesjonaliści od Facebooka” nie korzystali z udostępnianego przez ten serwis od ponad roku mechanizmu dodatkowego uwierzytelniania. Mechanizm ten wymaga, aby podczas logowania się do serwisu podać nie tylko hasło, ale również kod wysyłany SMS-em, co skutecznie chroni nas przed skutkami kradzieży hasła – atakujący musi bowiem oprócz hasła wykraść także SMS-a z naszego telefonu, a to przez internet jest dosyć ciężkim (chociaż nie niemożliwym) zadaniem…
Przykazania rozważnego administratora
Jak unikać tego typu sytuacji? O pomoc poprosiliśmy Piotra, administratora popularnego fan page “Kocham spać!” (ponad 800 tys. fanów).
Piotr specjalnie dla czytelników Social Press przygotował wskazówki, których stosowanie może znacznie ograniczyć ryzyko utraty fan page’a:
1. Bezpieczne logowanie
Włącz “secure browsing” (Facebook będzie wymuszał HTTPS tam gdzie to możliwe) – przy normalnym logowaniu Twój login i hasło są przesyłane w otwartej formie, bez jakiegokolwiek szyfrowania! Wystarczy zwykły “sniffer” [program komputerowy lub urządzenie, którego zadaniem jest przechwytywanie i ewentualnie analizowanie danych przepływających w sieci – przyp. red.], aby je przechwycić.
2. Uwierzytelnianie za pomocą SMS
Pomyśl o włączeniu podwójnego uwierzytelniania (login/hasło + kod z smsa) – to zapobiega kradzieży konta w takiej formie w jakiej miało to miejsce ostatnio, ale tez znacznie zmniejsza komfort jeśli korzystasz z Facebooka z wielu urządzeń i miejsc.
3. Uważaj na linki
Patrz w co klikasz – nawet jeśli link wygląda mało podejrzanie, nigdy nie wiesz czy nie trafisz na:
- przekierowanie (aplikacje do skracania adresu URL są bardzo popularne, bit.ly/wygrajmilion może prowadzić gdziekolwiek);
- iframe z przekrętem na stronie (lub docelowa strona jest zainfekowana i np. wyświetla pop-up);
- podmienioną stronę (np. podmiana serwisu na wygasłej domenie).
4. Firmy i agencje to poważniejsi partnerzy
Poważne propozycje biznesowe pochodzą zwykle od firm lub agencji obsługujących firmy czy marki, rzadko kiedy od osób prywatnych. Firma lub agencja nie ukrywa kim jest i kogo reprezentuje.
5. Sprawdzaj wiarygodność kontrahenta
Zawsze sprawdzaj referencje firmy/agencji, której przedstawiciel się z Tobą kontaktuje. Nazwę firmy wymyślić nietrudno, ale nieistniejące firmy rzadko posiadają serwisy internetowe i opinie klientów.
6. Twoje ryzyko
Warto przypomnieć, że jeśli chodzi o publikację treści reklamowych na fan page, to admin robi to na własne ryzyko, gdyż zgodnie z regulaminem (rozdział III, punkt A) reklamy firm trzecich na stronach są zabronione.
Jak jednak podkreśla Piotr, najważniejszy jest zdrowy rozsądek. – Darmowy obiad nie istnieje, czasem propozycja jest po prostu zbyt dobra, aby mogła być prawdziwa. Niestety, za nieuwagę płaci się bardzo wysoką cenę – podsumowuje właściciel “Kocham spać!”.
[Aktualizacja: 03.04.2013, godz. 21:00] Administratorzy odzyskują utracone strony
Większość skradzionych stron wróciła już do prawowitych właścicieli. Tak jest w przypadku największych stron, czyli Kocham Football i I ♥ TRUSKAWKI, a także fan page’y należących do takich marek jak KIA Motors Polska, Durex Polska czy Wódka Żołądkowa Gorzka.
- Grzegorz Miłkowski
- Roma Toszek
- Roma Toszek
- Roma Toszek