Hogyan vehetik át az uralmat a közösségi oldalad felett?
Sokszor hallottunk már róla, hogy átveszik az uralmat egy-egy Facebook oldal felett, és az eredeti tulajdonosnak „ötlete” sincs hogyan történhetett ez meg…
Mióta nekünk is van saját oldalunk a Facebook-on – hosszú huza-vona után, dehát ez a leggyorsabb módja, hogy információt osszunk meg -, végre (!!!) elérkezett a pillanat, amikor saját tapasztalatból tudunk megmutatni nektek egy módszert ehhez.
Minket is megpróbáltak „megphishingelni”! 😉
Vagyis, adathalász emailt kaptunk, amin most szeretnénk megmutatni nektek, mi lehet az az egyik módszer, amivel hozzájuthatnak pl. egy Facebook oldal adminisztrátorának adataihoz (felhasználónév, jelszó). Majd ennek segítségével átvehetik az irányítást az oldal felett.
A phishing, vagy adathalász támadás az egyik leggyakoribb támadási forma, mellyel könnyen érzékeny információkhoz juthatnak hozzá rosszindulató támadók. A támadási forma kihasználja az emberi természetet, az esetleges „gyengeségeket”: sürgető, további szankciókkal fenyegető a tartalma, arra számít, hogy az email olvasója nem lesz elég figyelmes, hanem a sürgetésnek engedve, gyorsan kattint, majd azután akár még adatot is megad. Egy-egy ilyen kattintás alkalmával, akár még a használt eszközt is megfertőzheti kártékony kódokkal. Az ilyen formán megadott adatokkal később a támadóknak lehetősége lehet hozzájutni nemcsak egy közösségi média fiókhoz, hanem mivel – sajnos – nagyon sok esetben a felhasználók ugyanazt a jelszavukat használják több rendszerben is, ezért a felhasználó egyéb, akár munkáltatóját érintő rendszerekhez is „kulcsot” kapnak.
Na, de most térjünk vissza az eredeti témához:
Hogyan ismerhetünk fel egy adathalász emailt?
A mai napon érkezett a következő email, amin szeretném bemutatni a legfontosabb árulkodó jeleket:
Ami már az első pillanatra feltűnt, hogy nem a Facebook adminisztrációs oldalán hivatalosan nyilvántartott kapcsolati emailcímre érkezett, hanem arra, ami az oldalon van megadva, nyilvánosan, kapcsolati email címnek.
De nézzük tovább milyen árulkodó jelekre kell még figyeljünk:
- Az email tárgya: fontosnak tűnik, azonnali figyelmet kér, ráadásul csoportszabályzatra hivatkozik, így akár még igaz is lehetne. Elsőre ránézésre megijedhet a címzett, hogy valami probléma van az oldalával.
- A feladó email címe: gmail-es címről érkezett az email. Gondoljunk csak bele? Ha már kaptunk korábban emailt a Facebooktól/Meta-tól, akkor láthattuk már, hogy a hivatalos email címük, az „valami”…@… facebook.com, tehát a facebook.com domainről érkezik. Gmail-es címet nem használnak hivatalosan. (Saját megjegyzés: egy magára „valamit is adó” vállalkozás sem használ gmail-es – ingyenes – fiókot hivatalos levelezéshez ….) Ha a levelezésünkben nem látható azonnal a feladó email címe, akkor nézzük meg a levél részleteit.
- A megszólítás: bár a megszólítás nagyon kedves, (hmmm), viszont, ez az oldal címe, ami nyilvánosan elérhető, ugyanúgy, mint az emailcím, viszont eltér a Meta/Facebook korábbi levelezésben szereplő megszólítástól. Ráadásul az email nyelve angol, ami szintén eltér a korábban megszokott – magyar – tartalmaktól. Pl. egy korábbi, hivatalos levelezésből:
De nézzük tovább a levelet:
4. Határidő megadás: „érdekes” módon mindig nagyon rövid időt adnak a cselekvésre, általában már aznap kell cselekedni, és közben tájékoztatnak, hogy ha nem cselekszünk időben a fiókunk „láthatja” kárát, akár el is veszíthetjük. Itt tapasztalhatunk sürgetést, és „fenyegetést” is.
5. Link az emailben: egy-egy email ellenőrzésénél „alapszabály”, hogy mielőtt bármire rákattintanánk, ellenőrizzük, hogy hova fog vinni bennünket. Az egér föléhúzásával ezt mindig megnézhetjük kattintás nélkül, így ebben az esetben is, ahol látszik, hogy a Facebookhoz/Meta-hoz semmi köze nincs annak a címnek, ahova jutnánk. Egy „hivatalos” email esetében ez legyen GYANÚS!
6. Végül nézzük meg az email láblécét, ahol általában lennie kell egyéb, általános információnak a feladóról, elérhetőségről, illetve akár leiratkozási linket is találhatunk.
Ebben az esetben itt, bár ránézésre úgy tűnik ez rendben van, viszont ha ellenőrizzük a „linkeket” (egér ráhúzással) láthatjuk, hogy ezek nem valódi linkek, nem visznek sehova.
Ha néhány percet rászánunk, és ellenőrizzük az email tartalmát mielőtt bármire kattintanánk, akkor már a fentieknek ÁRULKODÓ JELEKnek kell lennie, ezért ezek alapján, hagyjuk figyelmen kívül ezt az emailt, és ha tudjuk jelentsük „spam”-ként a postafiók szolgáltatónknál! Amennyiben mobilon olvasnánk először az ilyen típusú emaileket, és nem tudunk egeret használni, akkor az a biztos, ha nem teszünk semmit addig, amíg laptop/asztali gép/bármi közelébe jutunk, ahol ezt biztonságosan ellenőrizhetjük.
Azért mi egy kicsit továbbmentünk, … és ellenőriztük az emailben található linket az ANY.RUN, és a Virustotal oldalakon is:
A fenti megerősítések után, már nyugodtan nem tettünk semmit … vagyis, de …. jelentettük levélszemétként.
Bár szerettük volna megmutatni azt az űrlapot is, ahova a link vezetett, de az első vizsgálatnál nem készítettünk képernyőképet, azóta pedig az oldal már blokkolva van. (Ilyen gyors reakciót sem láttunk még a szolgálatók részéről! 🙂 )
ÖSSZEFOGLALVA:
mielőtt bármire kattintanánk, egy hivatalosnak tűnő emailben, ellenőrizzük találunk-e árulkodó jelet, legyünk bizalmatlanok és csak akkor kattintsunk, majd adjunk meg bármilyen adatot (emailcím, jelszó, bankkártya adat, stb.) ha TELJESEN biztosak vagyunk abban, hogy „jó helyre” megy. Illetve egy ideje már a Facebook fiókok esetében is lehetőség van kétfaktoros (MFA) azonosításra, használjátok! 😉
Ha szeretnétek további segítséget vállalkozásotok biztonságos online jelenlétéhez, vagy szeretnétek a kollégáknak segíteni abban, hogy „edzettebbek” legyenek az adathalász támadásokkal szemben, szolgáltatás-csomagjaink segíthetnek ebben is: