Odborníci varují před podvody na Instagramu. Útočníci se snaží ukrást přihlašovací údaje a telefonní čísla uživatelů a maskují se za zprávu vydávající se za e-mail od oficiální podpory od sociální sítě.
Podvod vypadá velmi věrohodně. Oběť obdrží na Instagramu zprávu, že účet porušuje autorská práva a bude smazán, pokud nebude do 24 hodin vyplněn formulář na přiloženém odkaze. Po kliknutí na odkaz stačí ve formuláři zadat jméno, přihlašovací údaje a telefonní číslo a „potvrdit“ tak podmínky související s autorskými právy. Je to ovšem jen snaha kyberzločinců vylákat cenné údaje. O nebezpečnosti hrozby se přesvědčila i známá česká topmodelka Denisa Dvořáková, která se stala jednou z obětí pečlivě vytvořeného podvodu.
Jednoduchý útok těží z nepozornosti uživatelů
„Podobné phishingové podvody jsou stále běžnější a bohužel také stále sofistikovanější. Útočníci napodobují známé značky a pro běžného uživatele může být velmi obtížné hrozbu odhalit. Uživatelé by měli zpozornět například u neobvyklé domény, která byla v rámci tohoto podvodu použita. Ale jinak útočníci téměř dokonale napodobují vzhled a chování Instagramu. Snaží se zároveň vzbudit emoce, vystrašit uživatele a dostat ho pod tlak a donutit k rychlému jednání, aby nepřemýšlel a útok byl úspěšný,“ říká Tomáš Růžička, SE Team leader v kyberbezpečnostní společnosti Check Point.
Pokud dojde k hacknutí nějakého účtu, rozešle se zpráva na další kontakty, čímž se útočníci snaží o lavinový efekt. Takto napadené účty lze následně zneužívat k dalším podvodům. Pokud útočníci zveřejní jménem oběti na Instagramu třeba odkaz na stažení nějakého škodlivého kódu pod rouškou slevové akce na módní doplňky, popřípadě se budou snažit vylákat ze sledujících další citlivé informace v rámci nějakého průzkumu mezi fanoušky oběti, většina sledujících bude takovým zprávám věřit.
Jak útok probíhá?
Na videu můžete spatřit, jak vypadá podvodná stránka. Všimnout si lze na první pohled především podivné URL adresy. Kdyby šlo o oficiální výzvu Instagramu, byla by uživatelům zobrazena přímo v aplikaci či na webu Instagram.com a nikoliv na externí stránce.
https://www.youtube.com/watch?v=2Qih-aebuhI
Jak se chránit před phishingem?
- Nikdy nesdílejte své přihlašovací údaje. Krádeže přihlašovacích údajů jsou oblíbeným cílem kybernetických útoků. Řada lidí používá stejná uživatelská jména a hesla napříč různými účty, takže krádež přihlašovacích údajů k jednomu účtu pravděpodobně poskytne útočníkům přístup k dalším online službám. Nikdy nesdílejte přihlašovací údaje a nepoužívejte stejná hesla.
- Opatrně s e-maily obsahujícími žádost o resetování hesla. Pokud obdržíte nevyžádaný e-mail s žádostí o resetování hesla, vždy navštivte přímo web (neklikejte na odkazy ve zprávě) a změňte své heslo napřímo. Kliknutím na odkaz se totiž můžete dostat na phishingové stránky, které sice budou připomínat originální web, ale své přihlašovací údaje poskytnete kyberzločincům.
- Nenechte se zmanipulovat tónem e-mailu. Techniky sociálního inženýrství se snaží zneužívat lidskou přirozenost. Lidé častěji udělají chybu, když spěchají nebo se snaží plnit zdánlivě důležité příkazy. Phishingové útoky běžně používají tyto techniky k přesvědčení obětí, aby ignorovaly jakékoli podezření a klikly na odkaz nebo otevřely přílohu.
- Všímejte si detailů. Pokud budete pozorní, můžete odhalit řadu věcí, které signalizují phishing. Jedná se například o špatné formátování, pravopisné a gramatické chyby, včetně názvů domén, a obecné pozdravy jako „vážený uživateli“ nebo „drahý zákazníku“. Ujistěte se také, že odkazy začínají https:// a nikoli http://. A nikdy nedůvěřujte podezřelým zprávám.
- Obecně platí, že nesdílejte více, než je nezbytně nutné, a to bez ohledu na web. Společnosti nepotřebují vaše rodné číslo, abyste u nich mohli nakoupit. Nikdy neposkytujte své přihlašovací údaje třetím stranám.
- Smažte podezřelé zprávy. Pokud máte podezření, že něco není v pořádku, důvěřujte svým instinktům a podezřelou zprávu smažte bez otevírání a klikání na odkazy.
- Neklikejte na přílohy. Neotvírejte přílohy v podezřelých nebo podivných zprávách – zejména přílohy Word, Excel, PowerPoint nebo PDF.
- Ověřte odesílatele. U každé zprávy zkontrolujte, kdo ji posílá. Kdo nebo co je zdrojem zprávy? Dávejte pozor na překlepy nebo rozdíly v e-mailové adrese odesílatele. A neváhejte blokovat podezřelé odesílatele.
- Neodkládejte aktualizace. V mobilním telefonu i počítači používejte vždy nejnovější verze softwaru. Nové verze mají totiž opravené chyby a záplatované zranitelnosti. Použití zastaralého softwaru může hackerům umožnit, aby se dostali k vašim osobním informacím.
- Nikdy nevěřte příliš dobrým nabídkám, jako jsou například „Exkluzivní lék na koronavirus za 150 dolarů“ nebo „80% sleva na nový iPhone“. Ale buďte velmi opatrní i při varovných zprávách, vždy raději napřímo kontaktujte danou společnost, ať už vám přijde nějaká upomínka z banky nebo třeba zpráva o nedoručené zásilce.
- Chraňte se před phishingovými útoky. Důležitým prvním krokem k ochraně je pochopení taktik hackerů a rizik souvisejících s phishingovými útoky. Moderní phishingové kampaně jsou ale sofistikované a je pravděpodobné, že řada lidí podvod nepozná. Důležité je proto používat i bezpečnostní řešení na ochranu koncových bodů a e-mailů a pokročilé anti-phishingové řešení.
Podvodníci neustále zkouší nejrůznější metody, jak se dostat k osobním údajům a soukromému obsahu uživatelů např. proto, aby je mohli následně vydírat. Obzvlášť před Vánoci je nárůst podobných útoků znatelný. Pokud však dodržíte výše zmíněné kroky, měli byste být v bezpečí.