Riigi infosüsteemi amet (RIA) on viimasel nädalal saanud kaks teadet uut tüüpi Facebooki kontode kaaperdamisest, kus kasutaja konto võeti üle vaid ühe vale klõpsuga.
Tavaliselt proovitakse inimeste sotsiaalmeediakontosid üle võtta pärast seda, kui nad on oma kasutajatunnuse ja parooli libalehele sisestanud või nende andmed on lekkinud. Kuid see konkreetne kontokaaperdamine käib teisiti.
RIA-le teatatud juhtudel algas konto ülevõtmine Facebooki vestlusaknas. Facebooki kasutaja saab sõnumi, mis kutsub teda üles veebilingile vajutama. Sõnumisaatja võib olla kasutajale tuttav, aga ka täiesti võõras inimene. Kui inimene vajutab lingile, siis toimub tema ümbersuunamine. See meetod töötab nii arvutis kui ka nutiseadmes.
RIA küberturvalisuse üksus CERT-EE analüüsis, mis toimub kasutajaga pärast lingile vajutamist, täheldas link võib suunata veebilehele, millel on pahatahtlik koodijupp. Kurjategijate kontrolli all oleva veebilehega proovitakse kaaperdada ja oma kontrolli alla saada juba sisse logitud kasutajat või õngitseda inimese andmeid.
CERT-EE juhataja Tõnu Tammeri sõnul saab teoorias sellist rünnet kasutada enamikes sotsiaalmeediakeskkondades ning selline ründemeetod ei ole tehniliselt ülemäära keerukas, kuid töötab teatud juhtudel väga hästi.
„Üldiselt ei taha kurjategijad kontode hõivamiseks palju raha ega aega kulutada. See meetod on odav ja kiire ning toimib nii arvutis kui ka nutiseadmes. Soovitame inimestel alati kasutada kaheastmelist autentimist, aga praegust pettust analüüsides selgus, et kaheastmeline autentimine selle ründemeetodi eest ei kaitse. See tähendab, et parim kaitse on inimeste tähelepanelikkus ja teadlikkus ning lingile mitte vajutamine,” ütles Tammer.
Kui kasutaja sotsiaalmeediakontoga on seotud pangakaart, siis saavad kurjategijad selle abil osta reklaami mõnele muule leheküljele või tootele. Kurjategijad kasutavad enda kontrolli all olevat kontot, uute libasõnumite ja linkide saatmiseks, mistõttu võib Facebook piirata selle kasutaja vestlusi.
„
Nii võib tekkida olukord, kus inimene saab aru, et tema nimelt saadetakse libakirju välja, aga ta ei saa ise oma kontaktidele kirjutada, sest Facebook on ennetava meetmena vestlemise kas kinni keeranud või seda piiranud. Sellisel juhul saab kasutaja näiteks oma seinale kirjutades teada anda, et tema nimelt võivad levida libakirjad,” soovitas Tammer.
CERT-EE analüüsist selgus veel, et kahtlast veebilinki jagav kasutaja vastab inimesele, kes talle kirjutavad. „Praegu teame juhtumeid, kus ülevõetud kontol tegutsev bot vastab inimeste küsimustele lihtsalt „jah”. Pole välistatud, et botti arendades räägib ta midagi enamat. Tõenäoliselt on bot seadistatud selliselt vastama, et kahtlase lingi saanud inimene usaldaks vestluspartnerit ja vajutaks sellele aadressile,” sõnas Tammer.
Pärast seda, kui ründajad saavad inimese sotsiaalmeediakonto enda kätte, vahetavad nad konto parooli, telefoninumbri ja e-posti aadressi. See aga muudab konto taastamise palju raskemaks, kui mitte võimatuks.
CERT-EE uuris välja, et teatud juhtudel suunatakse lingile vajutanud kasutaja kiirelt mõne tuntud veebilehe, näiteksYouTube’i avalehele. Nii ei pruugi inimene märgatagi, et toimus midagi pahatahtlikku. Kogu protsess võtab aega vähem kui sekund.
Mida inimene peaks tegema, kui ta vajutas sellisele lingile? Samme tuleb teha just selles järjekorras!
1. Kontrolli, kas seadetes on kirjas endiselt õige telefoninumber (kui see oli eelnevalt sinna lisatud);
2. kontrolli, kas Facebooki kontoga on endiselt seotud sinu e-posti aadress või on seda vahetatud;
3. vaheta parool;
4. aktiveeri kaheastmeline sisselogimine (Facebooki juhend, kuidas seda teha);
5. Vali Facebookis menüüst “Seaded ja privaatsus” -> “Seaded” -> siis vasakult menüüst “Turvalisus ja sisselogimine” -> lehelt “Kuhu sa sisse logitud oled” -> vajutage nupule “Logi kõikidest seanssidest välja”
6. Logi uuesti Facebooki sisse.
RIA kodulehel on ka juhend, kuidas kompromiteeritud Facebooki kontole uuesti ligi pääseda, kui ülevõtja on ära muutnud meiliaadressi ja telefoninumbri.
