Przejęte konto na Facebooku i oszukani znajomi. Historia ku przestrodze

Informacje pochodzą od osoby poszkodowanej, która prosi o zachowanie anonimowości. Imiona zostały zmienione. Podobieństwo do osób jest przypadkowe.

„Właśnie szłam na zajęcia na uczelni, kiedy mój chłopak zadzwonił do mnie z pytaniem, czy właśnie do niego piszę. To on poinformował mnie, że ktoś włamał mi się na konto na Messengerze” – podzieliła się z nami Amelia, studentka w jednym z dużych polskich miast.

Młoda kobieta instynktownie weszła na aplikację. „Ciągle mnie wylogowywało. Nie widziałam wiadomości wysłanych przez oszusta, jedynie od ogromnej liczby znajomych” – przekazała w rozmowie z naszym portalem.

Dodatkowo, nie mogła zmienić hasła przez maila – pojawiał się komunikat „spróbuj ponownie później”. Finalnie, odcięła oszusta od dostępu do konta poprzez wylogowanie wszystkich urządzeń. „Długo zajęło mi przekopywanie się przez ustawienia, patrząc na to, że nie wiedziałam nawet czego szukać” – skwitowała nasza rozmówczyni.

Kradzież pieniędzy

Cyberprzestępcy są różni. Tym razem oszust zadał sobie trochę trudu, próbując podszyć się pod sposób pisania Amelii, aby uwiarygodnić swoje żądania, choć niektórzy pozostali czujni. Oszust nie wysyłał takiej samej „formułki” do każdej z osób.

„Wydawało się, że na serio to ja piszę. Nawet mój styl pisania emotek i pisania starał się naśladować XD” – stwierdziła Amelia.

Tak jak w przypadku większości tego ataków tego typu, cyberprzestępca dążył do natychmiastowego zysku, prosząc znajomych poszkodowanej o kod BLIK w celu wypłacenia środków w bankomacie.

Oskar Klimczuk, CyberDefence24: W jaki sposób cyberprzestępca próbował uwiarygodnić swoje żądania?

Amelia: Głównie charakterystyczne emotki, parę charakterystycznych zwrotów, ale jak się przyjrzeć dokładnie tym wiadomościom, od razu widać, że to nie ja. Patrycja (przyjaciółka – przyp. red.) sama mówiła, że styl wydawał się gramatycznie mało poprawny, taki… „niepolski”.

Do kogo pisał? Jak szybko to się stało?

Adam (chłopak – przyp. red.) dostał wiadomość dwie minuty po zalogowaniu się na konto przez oszusta. Zapewne na pierwszy ogień poszły kontakty, z którymi ostatnio rozmawiałam na Messengerze.

Wyciek czy phishing?

Mateusz, znajomy Amelii, pomógł zweryfikować ewentualny wyciek danych logowania (e-maila i hasła) do Facebooka. Jest to słuszne podejście, ponieważ pozwala na wskazanie potencjalnego sposobu, który pozwolił oszustowi zalogować się do konta studentki. W takiej sytuacji zalecane jest skorzystanie z portali HaveIBeenPwned oraz rządowych Bezpiecznych Danych.

Mateusz nie znalazł żadnych informacji o tym, aby doszło do wycieku powiązanego z adresem e-mail, który Amelia wykorzystywała do logowania się do Facebooka. Wiemy jednak od poszkodowanej, że poprzedniego dnia logowała się Facebookowym kontem na zewnętrznym portalu (po raz pierwszy), co może wskazywać na phishing – wyłudzenie danych logowania poprzez spreparowaną stronę.

Jak chronić konto

Zapytaliśmy Amelii, jakiej rady udzieliłaby osobom, które korzystają z Facebooka.

„Żeby każdy miał dwuskładnikową weryfikację na Messengerze!!!” – podkreśliła stanowczo.

Jeśli w tym przypadku doszło do uprzedniej kradzieży danych logowania – maila i hasła – bardzo prawdopodobne, że dwuetapowe uwierzytelnianie pozwoliłoby uniknąć przejęcia kontroli nad kontem.

„Nie wiedziałam, że te dwuetapowe logowanie może być takie ważne. (…) Gdybym miała ją włączoną, zapewne nie byłoby całej tej sytuacji :(” – kwituje poszkodowana.

Amelia powiedziała nam również, że przed incydentem korzystała jedynie z trzech haseł na różnych portalach, które - siłą rzeczy – musiały się powtarzać. „Pozmieniałam je na masie kont” – przekazała w rozmowie z naszym portalem, co podkreśla rolę unikalnych i odpowiednio złożonych haseł, dobrze opisaną w poradniku CERT Polska.

Nie dajmy się nabrać

„Oszukane osoby były akurat w pośpiechu – wychodziły do pracy lub szkoły, nie patrzyły nawet na adres transakcji. Po fakcie łatwo zauważyły, że pieniądze wypłacono w mieście oddalonym o około 300 kilometrów” – przekazała nam Amelia.

To doskonale pokazuje, że podczas jakiejkolwiek transakcji finansowej, powinniśmy na chwilę „zatrzymać się” z wszechobecnego pędu.

Zawsze trzeba weryfikować jakiekolwiek płatności, nawet na prośbę najbliższych osób – zadzwonić czy wysłać SMS-a, po prostu być uważnym. Podchodźmy sceptycznie do jakichkolwiek próśb o wypłaty z bankomatów za pomocą kodu BLIK. (…) Nigdy nie powinno się z założenia ufać takim wiadomościom, wysłanym nawet z kont najbliższych znajomych.
Amelia

Prośba o kod BLIK powinna uruchomić w nas „czerwoną lampkę” – warto w takiej sytuacji skontaktować się z daną osobą za pomocą innego kanału komunikacji, np. telefonicznie.

„Nie myślałam, że to takie proste” – przekazała nam Amelia.

Ciąg dalszy nastąpi?

Poszkodowane osoby niezwłocznie zgłosiły się na policję. Wiemy, że suma wyłudzonych środków była nie mniejsza niż 600 złotych. Szczegóły zostały pominięte z racji na prywatność osób, których dotyczy incydent.

„Banki nie mogą zwrócić tych pieniędzy, bo były to wypłaty przez bankomat – nie mogą ich zwrócić »z jednego konta na drugie«. (…) Jedna z policjantek przekazała poszkodowanej osobie, że czasem się udaje złapać tych ludzi” – powiedziała nam Amelia.

Poleciliśmy młodej kobiecie przegląd historii logowania do Facebooka. Znalazł się w niej adres IP operatora mobilnego, innego niż Amelii, zgodny co do minuty z przebiegiem incydentu. Informacja została przekazana osobom, które złożyły zawiadomienie na policję. Niewykluczone, że pomoże to w wskazaniu sprawców oszustwa – nie wiemy, czy cyberprzestępca wykorzystał jakieś dodatkowe środki do pozostania anonimowym.

Skala i skutki

Niedawne zatrzymanie osób podejrzanych o wywoływanie fałszywych alarmów pokazuje, że cyberprzestępcy ponoszą konsekwencje swoich działań, pomimo wielu starań uniknięcia odpowiedzialności. Zgodnie z artykułem Niebezpiecznika, Mikołaj R. – znany pod pseudonimem „marcinnowak2080” – został zatrzymany z uruchomionym komputerem, co pozwoli służbom na zebranie odpowiedniego materiału dowodowego.

We wrześniu CBZC poinformowało o zatrzymaniu łącznie 16 osób, odpowiedzialnych za kradzież 3 mln złotych z wykorzystaniem fałszywych ogłoszeń w sieci, dzięki którym pozyskiwano kody BLIK. Wskutek ich działań poszkodowanych zostało 1,5 tys. osób.

Radzimy wzięcie sobie do serca rad poszkodowanej – mowa o nieufności co do próśb o kody BLIK oraz konieczności stosowania dwuetapowego uwierzytelniania. Zapraszamy do opracowania CERT Polska ”Włącz weryfikację dwuetapową, bo każdy może paść ofiarą wałka w internecie”, gdzie opisano jak szybko aktywować ten sposób logowania.

Osoby, które chcą się z nami anonimowo skontaktować, zapraszamy do  formularza w zakładce „Kontakt” (u dołu strony). Przypominamy, że na bazie art. 5 oraz art. 15 Prawa Prasowego, każdy może udzielać informacji bez podawania swojej tożsamości.