Wyciek danych z Facebooka zaalarmował polskich bankowców. W „ciemnej stronie” sieci znalazły się – dostępne dla każdego – bazy danych setek milionów użytkowników, w tym z Polski. Wśród nich e-maile i numery telefonu przypisane do kont facebookowych. Te dane mogą kusić złodziei naszych pieniędzy. „Zauważyliśmy wzrost aktywności phishingu, nie wykluczamy, że próbują atakować naszych klientów z użyciem tych danych” – mówi przedstawiciel jednego z banków. Nie ma powodów do paniki, ale warto zwiększyć ostrożność
Wyciek danych 533 mln użytkowników Facebooka – w tym 2,5 mln z Polski – może mieć konsekwencje dla części z nas. Co prawda wśród wykradzionych danych nie ma zbyt wielu takich, które można byłoby uznać za strategicznie istotne, ale wśród nich są adresy e-mail i numery telefonów. A to już sporo, biorąc pod uwagę, że żyjemy w cyfrowym świecie, w którym nawet takie dane mogą mieć wartość.
- Pięć lat PPK. Ile zarobili ci, którzy na początku zaryzykowali? Gdzie (dzięki PPK i nie tylko) jesteśmy na drodze do dodatkowej emerytury? Słodko-gorzko [WYCISKANIE EMERYTURY BY UNIQA TFI]
- Ile złota w portfelu w obecnych czasach? Jaki udział powinien mieć żółty kruszec w naszych inwestycjach? Są nowe wyliczenia analityków [STAĆ CIĘ NA ZŁOTO BY GOLDSAVER]
- Zdjęcia w smartfonie: coraz częściej pierwszy krok do… zakupów. Czy pożyczki „na fotkę” będą hitem sezonu zakupowego? Bać się czy cieszyć? [BANKOWOŚĆ PRZYSZŁOŚCI BY VELOBANK]
Co dokładnie wykradziono Facebookowi? Zapraszam do przejrzenia krótkiego podsumowania tego megawycieku. Od razu uspokajam: nie zdekonspirowano żadnych haseł, więc przynajmniej nie trzeba wykonywać żadnych nerwowych ruchów. Co nie znaczy, że nie należy wzmocnić ostrożności. Wyciek danych może mieć pewne niemiłe konsekwencje, o ile zrobimy coś głupiego.
Na Homodigital.pl, czyli subiektywnie o technologii jest artykuł „Jak dopadł nas wyciek z Facebooka”, który opisuje historię zaprzyjaźnionego z naszym serwisem Pana X. Stracił on dostęp do swojego konta na Facebooku i nie tylko (nie mamy pewności, że miało to związek z wyciekiem, ale mogło mieć ze względu na koincydencję czasową). W artykule znajdziecie też informacje o tym, jak sprawdzić, czy też padliście ofiarą wycieku danych z Facebooka.
Z jednego z banków dowiedziałem się dzisiaj, że na poważnie badają pewną hipotezę dotyczącą powiązania wycieku danych z Facebooka (a właściwie ich udostępnieniem, bo prawdopodobnie dane zostały ukradzione już kilka miesięcy temu, teraz dopiero „wyciekła” informacja na ten temat oraz zostały udostępnione w darknecie same dane – tutaj więcej o darknecie) z wzrostem intensywności ataków phishingowych na jego klientów.
Czytaj koniecznie: Prywatność w sieci. Jak chronić ją przed hakerami, szpiegami, złodziejami i… rządem? Krótka lista rzeczy, które warto zrobić, żeby surfować bezpiecznie
Wyciek danych z Facebooka a twoje pieniądze w banku. Lepiej uważać
Przestępcy, którzy korzystają z udostępnionych za darmo w sieci naszych danych jako użytkowników Facebooka, mogą wysyłać nam fałszywe e-maile, podszywając się pod bank. Najczęściej jest to informacja o tym, że musimy zresetować nasze hasło ze względów bezpieczeństwa, albo z jakiegoś innego powodu zalogować się do banku. Nazywa się to phishingiem i może przybrać bardzo perfidną formułę. E-mail może być wysłany z adresu wyglądającego identycznie jak ten, z jakiego wysyła nam komunikaty nasz bank (o ile złodziej dowie się, w którym banku mamy konto – a może spróbować to zrobić, jeśli mamy proste hasło do e-maila i zostanie ono odgadnięte)
Klikając w „podstawiony” w e-mailu link „do banku” i wpisując na stronie internetowej kontrolowanej przez przestępców login i hasło do bankowości elektronicznej oddajemy im dostęp do naszego konta bankowego. To oczywiście jeszcze za mało, żeby ukraść nam pieniądze, ale po krótkim „spacerze” po ROR-ach, kontach oszczędnościowych i depozytowych danego klienta przestępcy są w stanie wytypować ofiarę, nad którą warto „popracować”. Wybierają zwykle takich konsumentów, którym można ukraść co najmniej kilkadziesiąt tysięcy złotych.
Mając nasz numer telefonu – a on też niestety jest na liście danych, które wyciekły z Facebooka – mogą np. sfingować SMS-a z informacją, która ma nas znieczulić na ich kolejny krok (np. „za kilka minut otrzymasz instrukcję zabezpieczenia pieniędzy w związku z wykrytym przez nas błędem systemowym, zatwierdź ją w swoim telefonie komórkowym”).
Chodzi oczywiście o nakłonienie nas do bezrefleksyjnego zatwierdzenia transakcji przelewu lub zlecenia zmian na koncie, przygotowanego przez przestępców w kolejnym kroku. Przelew – o ile nie przeczytamy dokładnie jaką transakcję zatwierdzamy – poleci oczywiście na rachunek należący do złodziei. A zlecenie będzie dotyczyło zmiany numeru telefonu służącego do zatwierdzania transakcji bankowych.
Po „odpięciu” naszego telefonu od bankowości elektronicznej przestępcy mogą próbować „przypiąć” do niej swój telefon i już bez problemu transferować pieniądze z naszego rachunku. A my nawet się o tym nie dowiemy, bo potwierdzenia wykonanych transakcji nie będą już do nas przychodziły.
Jakkolwiek bankowcy, którzy badają niepokojący wzrost przypadków phishingu nie mają bezpośrednich dowodów na to, że ma on związek z ujawnieniem danych użytkowników Facebooka, to zauważyli niepokojące trendy, które mogą to potwierdzać (o szczegółach, ze względów bezpieczeństwa, nie chcą mówić).
Czytaj też: Zarządzanie hasłami dla opornych. Jak je zabezpieczyć przed złodziejami haseł?
Uwaga na fałszywe aktualizacje aplikacji wysyłane SMS-ami
Jeśli nasze e-mail i numer telefonu wpadną w ręce ludzi mających większe umiejętności złodziejskie, to możliwy jest jeszcze jeden atak, z wykorzystaniem smartfona. Na numer, w którego posiadaniu są przestępcy, może zostać wysłane powiadomienie o konieczności instalacji jakiegoś oprogramowania, aktualizacji jakiejś aplikacji itp.
Oczywiście chodzi tylko o to, byśmy kliknęli link w SMS-ie (takie powiadomienia zwykle przychodzą SMS-ami), zaś w tym linku znajduje się wirus, za pomocą którego przestępcy mogą przejmować kontrolę nad naszym smartfonem albo np. czytać SMS-y autoryzacyjne, które bank nam wysyła.
Mając login do naszego konta w banku, hasło do tego konta oraz możliwość czytania SMS-ów autoryzacyjnych przychodzących na nasz telefon można już dość łatwo wyprowadzić pieniądze z naszego konta. Ratunkiem może być właściwie tylko nasz refleks (bo przychodzące powiadomienia o przelewach mogą nas zaalarmować, o ile w porę je odbierzemy i o ile przestępcy nie będą ich zdalnie kasowali).
Pewnym zabezpieczeniem przed tymi wszystkimi nieprzyjemnościami jest dwuskładnikowe uwierzytelnianie przy logowaniu, które mają obowiązek stosować banki. Teoretycznie powinno być tak, że każde logowanie z nowego urządzenia powinno być potwierdzane przez klienta nie tylko loginem i hasłem, ale też kodem jednorazowym albo poprzez autoryzację mobilną. Jeśli system działa prawidłowo, powinniśmy dostać na nasze telefon SMS-a albo powiadomienie push o tym, że logujemy się do banku i z prośbą o potwierdzenie tego ruchu.
Chyba, że wcześniej złodzieje wyślą nam SMS-a o treści np. „potwierdź logowanie do swojego banku, żeby potwierdzić swoje dane i uniknąć zablokowania konta”, a my to łykniemy, niczym młode pelikany i rzeczywiście potwierdzimy zleconą przez przestępców czynność.
Vishing, czyli „telefon z banku”
Nie można też wykluczyć, że uzyskane przez przestępców numery telefonu zostaną wykorzystane do prób wyłudzenia naszych danych dostępowych do kont bankowych – albo innych wrażliwych danych, np. nazwiska panieńskiego mamy – przez telefon. Niestety, o ile coraz większa część z nas stara się uważać na e-maile przychodzące z dziwnych adresów, to rzadko bierzemy na poważnie scenariusz, że ktoś mógłby być na tyle bezczelny, aby podszywać się pod pracownika banku.
A tymczasem jest to nie tylko możliwe, lecz coraz częściej się dzieje. Oczywiście nikt nie zapyta nas o login i hasło do bankowości elektronicznej – to by było zbyt podejrzane – ale wspomniane wyżej nazwisko panieńskie matki oraz informacje o tym jakie produkty bankowe posiadamy może być przydatna.
Nie wiem czy są banki, które nadal mają tę dziurę, ale kiedyś zdarzało się, że przez telefon, podając telekod i nazwisko panieńskie matki, można było np. dopisać nowy rachunek do przelewów zaufanych (takich, które można wypuścić bez autoryzacji SMS-em lub aplikacją mobilną). Wydaje mi się, że dziś jest to już niemożliwe, ale nie wiem czy we wszystkich bankach. Mając taki „skarb” w ręku złodzieje już na pewno spróbują w jakiś sposób dobrać się do naszego loginu i hasła do banku, bo to ostatni krok, który dzieli ich od naszych pieniędzy.
Wyciek danych to „normalka”. Nie ma co panikować. Wystarczy zwykła podejrzliwość, żeby się obronić
Oczywiście: można zmienić numer telefonu i e-mail, żeby uniknąć przykrych konsekwencji wycieku danych z Facebooka. Ale to tylko krótkoterminowe remedium. Generalnie trzeba żyć tak, jakby nasz login i hasło do banku były w każdej chwili w posiadaniu złodziei. Czyli tak, jakby wyciek danych był wydarzeniem permanentnym.
Mając z tyłu głowy takie prawdopodobieństwo nie klikamy żadnych linków w e-mailach „z banku”, nie klikamy żadnych linków w SMS-ach od nieznanych nadawców oraz bardzo uważnie czytamy zarówno SMS-y autoryzacyjne, jak i powiadomienia push o transakcjach. Zanim cokolwiek autoryzujemy, zawsze upewniamy się, czy to jest coś, co chcemy zatwierdzić.
No i – dotyczy to zwłaszcza tych, którzy kupują lub sprzedają na OLX i innych tego typu tablicach ogłoszeń – nigdy nie poddajemy się prośbom o to, żeby zapłacić za coś (albo przyjąć płatność) poprzez kliknięcie podesłanego linka. To zawsze my inicjujemy transakcję płatniczą. Jeśli damy się nabrać na kliknięcie czegokolwiek, mogą nas spotkać takie konsekwencje, jakie niedawno opisałem na „Subiektywnie o finansach”.
Stosowanie tych kilku prostych zasad w zupełności wystarczy, żeby nie dać się okraść. Nie ma co wpadać w panikę. Nawet jeśli nikt nie ukradł naszych danych z Facebooka, to mógł je ukraść w inny sposób (przecież e-maile i numery telefonu zostawiamy w dziesiątkach różnych miejsc w sieci). Wyciek danych to dziś, niestety, „normalka”. Uratuje nas wrodzona podejrzliwość i ostrożność.
Czytaj więcej na ten temat: Akceptujesz „ciasteczka”? Oddajesz nieświadomie więcej wiedzy na swój temat, niż myślisz
Czytaj też: Czy cyfryzacja twojej firmy może uszczęśliwić klientów? Które jej aspekty mają największe znaczenie?
———–
Posłuchaj podcastu „Finansowe sensacje tygodnia”, odc. 49
W tym odcinku podcastu „Finansowe sensacje tygodnia” rozmawiamy o tym, ile kosztuje – i o ile podrożeje w najbliższym czasie – woda, o tym czy moglibyśmy naśladować Brytyjczyków i też otworzyć restauracje oraz puby na świeżym powietrzu, o tym jak banki pomagają nam uniknąć… opłat bankowych oraz o rowerowej bańce spekulacyjnej. W ciągu roku wzrost cen gotowych rowerów sięgnął 25%, a części rowerowych – o połowę. O co tu chodzi? Zapraszam do posłuchania!
Skorzystaj z najlepszych bankowych okazji od Maćka Samcika
Sprawdź „Okazjomat Samcikowy” – aktualizowane na bieżąco rankingi lokat, kont oszczędnościowych, a także zestawienie dostępnych dziś okazji bankowych (czyli 200 zł za konto, 300 zł za kartę…). I zacznij zarabiać. Masz zero na lokacie i koncie oszczędnościowym? Zarabiaj przynajmniej tak:
>>> Ranking najwyżej oprocentowanych depozytów
>>> Ranking kont oszczędnościowych. Gdzie zanieść pieniądze?
>>> Przegląd aktualnych promocji w bankach. Kto zapłaci ci kilka stówek?
obrazek tytułowy: Austin Distel/Unsplash
