Na świecie żyje obecnie około 7,89 miliarda ludzi, a 4,74 miliarda, więc ponad połowa z nich, korzysta z social mediów. Udostępniają oni zawrotną ilość informacji i danych o sobie, a w takiej grupie, jak możemy przypuszczać, są ludzie, którzy mogą wykorzystać tak pozyskaną wiedzę do złowrogich celów. W opinii kancelarii Instagram jest jedną z sieci społecznościowych, na których najtrudniej jest się obronić przed cyberprzestępczością. Jedną z najpowszechniej stosowanych przez przestępców metod na uzyskiwanie informacji (takich jak np. hasła, adresy mailowe czy inne dane) jest phishing, i to on właśnie stanowi główny temat tego wpisu.
Na czym polega phishing?
Phishing to rodzaj oszustwa. Głównym celem osoby phishingującej jest wyłudzenie wrażliwych i cennych danych użytkowników. Hasła, numery kart kredytowych i numer PESEL to tylko wierzchołek góry lodowej.
Najczęściej taki atak przebiega w następujący sposób:
- przestępca tworzy fałszywą stronę internetową, podszywającą się najczęściej pod stronę jakieś dużej i znanej firmy;
- jest na niej zazwyczaj jakiś formularz, gdzie ofiara ma wpisać dane, na których pozyskaniu oszustowi zależy,
link do tej strony jest dostarczany w jakiś sposób atakowanej osobie, np. w wiadomości e-mail; - sam link też najczęściej jest okraszony jakąś wiadomością, która np. zachęca do zapisywania się na „wydarzenie”, kliknięcia linków z wirusem czy żądająca dodatkowego działania w związku z jakąś płatnością,
- ofiara klika w taki odnośnik, wchodzi na stronę pozornie należącą do wyżej wymienionej firmy (która nie ma z nią niczego wspólnego), wypełnia formularz (np. podając dane logowania czy karty płatniczej) i wysyła dane do atakującego.
Gdy dojdzie do przekazania ich, można chociażby stracić dostęp do swojego konta czy zostać okradzionym – sporo zależy od tego, jakie dane zostały wyłudzone i co oszust zamierza zrobić.
Jak wygląda phishing na Instagramie?
Instagramowi oszuści zwykle wykorzystują niewiedzę danego użytkownika i jego łatwowierność. Na tym portalu społecznościowym, aby wzbudzić zaufanie atakowanego użytkownika, cyberprzestępcy podszywają się pod znane marki, zakładają fikcyjne konta, proponują „swoje produkty” i poprzez płatne reklamy docierają do swoich potencjalnych ofiar. Ich głównym celem jest to, aby oszukiwani użytkownicy kliknęli link, co — zwykle z wykorzystaniem jakiegoś wirusa — doprowadzi do przejęcia hasła i loginu. W ten sposób cyberprzestępcy uzyskują dostęp do naszego konta i znajdujących się na nim danych. Nierzadko osoby posiadające profil na Instagramie posiadają takie same dane logowania do innych portali, w tym bankowych, czy też informacje dotyczące swoich kart płatniczych. Poprzez jedno nierozważne kliknięcie oszust będzie miał dostęp do zaatakowanego profilu, a to dopiero początek możliwych problemów.
Jak bronić się przed phishingiem na Instagramie?
Aby uchronić swoje wrażliwe dane przed oszustami internetowymi na Instagramie, należy zadbać o odpowiedni poziom bezpieczeństwa. Do najważniejszych czynności, które należy wykonać, należą:
- weryfikacja podmiotu, który chce z nami nawiązać kontakt na Instagramie; często dosyć łatwo można zidentyfikować fałszywe konto, bo najczęściej nie ma ono wielu obserwujących i bardzo rzadko jest sumiennie prowadzone; poza tym banki i urzędy nigdy nie używają mediów społecznościowych do kontaktu ze swoimi klientami (warto o tym pamiętać),
- nieklikanie w żadne linki lub wzbudzające nasze podejrzenie — przed weryfikacją nadawcy,
- nieprzekazywanie wrażliwych danych podmiotom, których nie znamy lub których wiarygodności nie jesteśmy w stanie zweryfikować,
- zwrócenie uwagi na stosowaną przez nadawcę gramatykę – znakomita część wiadomości phishingowych cechuje niepoprawna pisownia,
- stosowanie dwustopniowej weryfikacji przy logowaniu – to mocne, chociaż proste w swojej naturze zabezpieczenie, do korzystania z którego gorąco zachęcamy.
Co zrobić, gdy znajdziemy podejrzane treści lub padniemy ofiarą phishingu na Instagramie?
W przypadku dostrzeżenia na Instagramie podejrzanych wiadomości nie należy w żadnym przypadku klikać w ich treść. Phishing można zgłosić wchodząc na stronę internetową zespołu reagowania na incydenty komputerowe CERT Polska, odpowiednim zachowaniem też byłoby zgłoszenie takich treści samemu Instagramowi.
Gdy przypuszczamy, że zostaliśmy ofiarą phishingu, zalecamy niezwłocznie zawiadomić o tym swój bank i zablokować karty płatnicze, a także zawiadomić o możliwości popełnienia przestępstwa odpowiednią jednostkę policji. Jeśli nie wiesz, jak sformułować treść zawiadomienia albo jakie kolejne kroki podjąć, to skontaktuj się z nami — mamy doświadczenie w tego typu sprawach i zrobimy wszystko, by Ci pomóc.
Autor: Barbara Urwentowicz – radca prawny
