Vedno pogostejši so vdori v Facebook uporabniške račune. Ti so najbolj problematični zato, ker uporabnik račun zelo težko dobi nazaj, nastanejo pa lahko še hujše posledice. Na Nacionalnem odzivnem centru za kibernetsko varnost SI-CERT v zadnjem mesecu beležijo 100 % porast tovrstnih prijav. Ob tem opozarjajo, da je najpomembnejša preventiva, se pravi da si račun predhodno čim bolje zaščitite, preden pride to takšnega incidenta, saj je potem najpogosteje prepozno.
Vsak lahko postane žrtev vdora
Kot so nam potrdili na SI-CERT, se je nanje zaradi nedavnih vdorov v Facebook v zadnjem mesecu obrnilo večje število uporabnikov. Pri tem je večina žrtev upravljala s stranjo organizacije ali podjetja ter imela dostop do oglaševalskega računa. “Seveda napadi niso omejeni zgolj na te uporabnike, temveč lahko žrtev vdora postane prav vsak. Vsak mesec prejmemo par prijav v zvezi z vdori v uporabniške račune, s tem da je bilo v juniju število prijav 2x višje, kot je letošnje povprečje od januarja do vključno maja,” so ob tem poudarili.
Zdi se, da spletni goljufi targetirajo predvsem uporabnike, ki so administratorji poslovnih strani in imajo dostop do oglaševalskega računa. Ampak tarča je lahko vsak.
Posledice takšnega vdora so v prvi vrsti izguba uporabniškega računa in potencialno tudi Facebook strani podjetja/organizacije, lahko pa pride tudi do finančne škode. “Če ima uporabnik dostop do oglaševalskega računa na Facebooku, lahko napadalci v njegovem imenu zakupijo oglase za trivialne storitve in tako bremenijo našo kreditno kartico,” pojasnjujejo na SI-CERT.
Pozorni bodite na lažno Facebook stran
Na nacionalnem odzivnem centru za kibernetsko varnost sicer sumijo, da do vdorov prihaja s “phishing napadi” – uporabniki dobijo dobijo phishing sporočilo in na lažni strani vnesejo uporabniške podatke. Phishing je zelo enostavna, a hkrati izredno učinkovita prevara, s katero spletni goljuf pridobi osebna uporabniška imena in gesla za dostop do storitev kot so elektronska pošta, Facebook ali PayPal. Na SI-CERT o njem redno opozarjajo, saj je žal prepogosta metoda spletnih goljufov.
Pozorni bodite na povezavo do spletne strani. Če se vpisujete na Facebook račun, mora pisati “Facebook.com”. Če je namesto tega navedeno kaj drugega, ali je besedi Facebook dodana kakšna številka ali črka, nikar ne vnašajte svojih podatkov.
Če ste bili v preteklosti opozorjeni na lažne strani vaše banke, ali ste dobili kakšno sporočilo, ki vas je hotelo popeljati na spletno stran, ki ni bila legitimna, je šlo za takoimenovane phishing napade. Zelo verjetno je, da se vdori na Facebook zgodijo na podoben način, toda na SI-CERT pojasnjujejo, da žal nimajo točnih informacij, ali to drži tudi v dotičnem primeru.
Tako se lahko zaščitite
Najboljša zaščita pred vdori v katerekoli uporabniške račune je dvofaktorska avtentikacija. Tudi, če napadalci poznajo naše geslo, jim bo dvofaktorska avtentikacija preprečila vdor v naš račun, saj za vpis zahteva še drugi faktor, ki ga običajno prejmemo po telefonu (SMS ali generator kod). “Obenem bomo takoj, ko bo na našem računu prišlo do poskusa vpisa, prejeli obvestilo o sumljivih aktivnostih in tako lahko ustrezno urgirali,” opozarjajo na SI-CERT.
Koraki za vklop dvofaktorske avtentikacije so naslednji:
V svojem Facebook računu kliknete > Meni > Nastavitve in zasebnost
Poiščete zavihek “Varnost računa”
Kliknete “Uporaba dvojnega preverjanja pristnosti”
Izberete eno izmed dveh možnosti: Aplikacijo za preverjanje pristnosti (generator kod) ali SMS – SMS je načeloma enostavnejši, ampak če Facebooku ne želite razkriti svoje telefonske številke, izberite generator kod.
Če ste izbrali SMS, vpišete svojo telefonsko številko in kliknete naprej. Nato boste prejeli sporočilo s kodo, ki jo vtipkate v Facebook in znova kliknete naprej. Vaš račun je zaščiten.
Če ste izbrali aplikacijo za preverjanje pristnosti, bo najlažje nadaljevati, če si prenesete aplikacijo “Google Authenticator”, ki jo lahko uporabljate za preverjanje pristnosti ob vpisu. Po izbiri se vam prikaže QR koda, ki jo skenirate z Google Authenticatorjem. Po uspešno skenirani QR kodi, se vam bo v aplikaciji izpisala 6 mestna številka, ki se menja vsako minuto. Vaš račun je zaščiten, ko se boste sedaj prijavljali v Facebook pa boste potrebovali še 6-mestno številko, ki jo boste prepisali iz te mobilne aplikacije.
Dvofakorska avtentikacija dejansko pomeni, da za vpis ni dovolj samo uporabniško ime in geslo, temveč se ob vpisu sproži mehanizem, ki od uporabnika zahteva še vnos nečesa drugega, unikatnega. Izberete lahko enkratno geslo, ki se lahko generira – preko aplikacije (mobilni avtentikator) ali preko namenske naprave (geselnik), ali pa izberete, da geslo prejmete preko SMS sporočila. To pomeni, da če napadalci poznajo vaše geslo, se vseeno ne bodo mogli vpisati in ste na tak način zavarovani pred njihovim vdorom v vaš račun.
“Vsekakor uporabnikom priporočamo uporabo dvofaktorske avtentikacije povsod, kjer je to mogoče, saj znatno poveča varnost našega računa,” pojasnjujejo na Nacionalnem odzivnem centru za kibernetsko varnost SI-CERT.
Na SI-CERT opozarjajo tudi na pomembnost močnih gesel, da jih goljufi ne morejo uganiti. Geslo naj bo dovolj dolgo, po možnosti vsaj 10 znakov, raje pa še več. Vsebuje naj male in velike črke, ločila ali posebne znake. Zelo pomembno je tudi, da so gesla unikatna in jih ne uporabljate za več strani. Če se namreč goljufi dokopljejo do enega gesla, ne rabijo biti pogubljeni vsi vaši računi samo zato, ker uporabljate eno geslo za vse.
Računa verjetno ne boste mogli dobiti nazaj
“Ko enkrat pride do vdora, je dostop do računa zelo težko pridobiti nazaj, saj napadalci običajno spremenijo geslo in elektronski naslov, vezan na račun. Uporabniki lahko sicer kontaktirajo Facebookov center za pomoč, vendar je po naših izkušnjah njihova odzivnost slaba,” opozarjajo na SI-CERT.
Če sumite, da so vam vdrli v Facebook račun oz. ste ugotovili, da se ne morate vpisati, sledite korakom na spletni strani Nacionalnega odzivnega centra za kibernetsko varnost – dostopno na tej povezavi.
Nekaj nasvetov o zaščiti Facebook računa pa so vam na SI-CERT pripravili še v sledečem videu.