Útočníci jdou ale mnohem dál – s využitím takto napadaného účtu mohou oklamat i příbuzné a přátele vlastníka účtu, případně ukrást celý účet. Útoky zaměřené na získání přístupu k e-mailovým účtům nebo k sociálním sítím jsou dnes častější, než tradiční pokusy o proniknutí do on-line bankovnictví, a jsou navíc čím dál věrohodnější. Podobně tomu je i v případě pokusu zaměřeného na službu Instagram, který nedávno zachytila globální síť pro zkoumání hrozeb Sophos Labs.
Podvody jsou bohužel stále dokonalejší
Podle bezpečnostních expertů SophosLabs si zločinci útočící na službu Instagram svůj záměr dobře promysleli – vyjma několika chyb v interpunkci a chybějící mezery přes slovem „Please“ se jedná o naprosto čistou a zřetelnou zprávu, která nevypadá nijak podezřele. Příjemce zprávy se může domnívat, že jde o kód pro dvoufázové ověření, které má potvrdit, že on nebyl tím, kdo se pokusil o přístup k účtu, a že přitom nebude vyžadováno zadání hesla. Mechanismus dvoufázového ověřování je přitom velmi spolehlivou metodou. V případě útoku na Instagram ale odkaz pro přihlášení vede na podezřelou doménu s koncovkou .CF, která náleží Středoafrické republice.
Samotný doménový název je nepřesným odhláskováním slova login, protože s největší pravděpodobností se útočníkům nepodařilo zdarma získat doménu s uvěřitelnějším jménem. Středoafrická republika je jednou z mnoha se rozvíjejících ekonomik a některé domény rozdává zdarma v domnění, že tak naláká nové uživatele. Zajímavé doménové názvy jsou zde však prodávány i za 500 a více amerických dolarů. Nicméně samotná falešná přihlašovací stránka je velmi věrohodnou kopií originálu, a dokonce využívá i platný SSL certifikát pro HTTPS komunikaci.
„Musíte si uvědomit, že webové certifikáty zajišťují bezpečnost vašeho spojení s konkrétní webovou stránkou a zabraňují proniknutí do probíhající komunikace. Obdobně jsou potvrzením toho, že osoba, která si certifikát pořídila, měla k takto chráněné webové aplikaci či prezentaci přístup a mohla ji upravovat,“ vysvětlil Patrick Müller, zodpovědný za aktivity společnosti Sophos v České republice a na Slovensku. „V žádném případě ale tyto certifikáty nejsou potvrzením pravosti obsahu webových stránek nebo na nich uložených souborů. Jinými slovy, web bez certifikátu by pro vás neměl být důvěryhodný a absence ikony zámku by vás měla varovat stejně jako překlepy nebo gramatické chyby. Stejně tak ale platí, že nelze automaticky důvěřovat webové stránce jen proto, že certifikát existuje a odkaz na ni pochází z jazykově bezchybného e-mailu.” Falešná přihlašovací stránka na Instagram je té pravé velmi podobná a nelze se tak spolehnout, že vizuální chyby upozorní uživatele:
Jak odhalit útok na váš instagramový účet?
Phishingová stránka vypadá v pořádku a nechybí ani ikonka zámku informující o tom, že je použité šifrování pomocí protokolu HTTPS. Jak tedy poznat, že něco nehraje a ochránit se před podobnými podvody? Dobrou zprávou je, že i když si tentokrát útočníci dali skutečně záležet, stále ještě existují nějaké podezřelé znaky, které by vás měly varovat.
- Věnujte zvýšenou pozornost všem e-mailům, které vypadají jako bezpečnostní varování. Jde o běžně používaný trik.
- Přítomnost odkazu pro přihlášení. Není žádný důvod pro to, abyste takový odkaz používali. K Instagramu můžete přistupovat zadáním jednoduché adresy nebo třeba pomocí mobilní aplikace či odkazu ze záložky ve webovém prohlížeči, kterou jste si sami nastavili. Ano, je to trochu práce navíc, ale nejde o nic složitého.
- Podivný název domény. Vždy si zkontrolujte, kam se po klinutí na daný odkaz dostanete – pokud je adresní řádek pro zobrazení celé adresy příliš krátký, jednoduše si adresu zkopírujte a podívejte se na ni například v textovém editoru. Pokud adresa vypadá jakkoli podezřele, předpokládejte, že jde o problém a takový odkaz ignorujte nebo si pravost adresy zkuste ověřit u někoho, komu důvěřujete. Ano, opět je to trochu práce navíc, ale jako u předchozího bodu nejde o nic obtížného.
- Neočekávaná žádost. Pokud se obáváte, že se k Vašemu účtu přihlásil někdo jiný, použijte pro ověření oficiální způsob podporovaný provozovatelem služby. Nevyužívejte webových odkazů – ty mohou ve skutečnosti pocházet od kohokoli. Je sice nepříjemné, že každá sociální síť používá trochu odlišný přístup, ale jakmile si osvojíte základní pravidla, již nikdy vás útočníci pomocí falešného e-mailu neoklamou. A i zde platí, že je to trochu práce navíc, nicméně nejde o složité opatření.
Zdroj: Sophos