Tehnologija
Poskrbite za varnost spletnih računov
MAREC 2022 | čas branja:
Zadnja sprememba: 24. 03. 2022 ob 14:37:17
Instagram, TikTok ali Youtube so postale zelo pomembne platforme za profesionalne ustvarjalce vsebin. Lahko so neposreden vir zaslužka, lahko pa nekakšna izložba za pridobivanje drugih poslov. Zato so ti računi oz. kanali neprestane tarče napadalcev, njihovi lastniki pa morajo biti skrajno previdni, da jih ne izgubijo. Kako potekajo spletni napadi, ki se lahko končajo s »sovražnim prevzemom« računa? Kaj se da storiti za preprečitev takega scenarija? Kakšna je škoda, če se vseeno zgodi, in kako se da potem ukrepati in morda dobiti račun nazaj?
Ustvarjalci in vplivneži na Instagramu ne služijo neposredno, temveč predvsem s tem, da njihove objave vidi čim več ljudi. Lahko so plačani za te objave in so slednje nekakšen (pogosto neoznačen) oglas, ki naj bi deloval bolj pristno, lahko pa z njimi ciljajo na dogovore s podjetji, ki potrebujejo podobne vsebine za svoje namene (denimo za promocijske materiale, korporacijska glasila ali kaj drugega).
Podobno velja za TikTok, le vrsta vsebin se med platformama precej razlikuje, in instagramerji so še vedno bolj osredotočeni na fotografije, tiktokerji pa na video. Po drugi strani je, vsaj v tujini, mogoče neposredno živeti od objavljanja na You Tubu, do neke mere tudi na Vimeu. Kanali na You Tubu, ki imajo dovolj naročnikov in ur ogledov v zadnjem letu, so namreč upravičeni do deleža prihodkov od oglasov, ki jih platforma servira gledalcem, enako kot spletne strani dobivajo denar za oglase, prikazane na njih.
Izguba računa na Instagramu ali TikToku boli, a izguba kanala na You Tubu potencialno še bolj, saj lahko takoj zareže v prihodke.
V vsakem primeru pa bo vzpostavljanje nove baze sledilcev ali naročnikov, če ukradenega profila ni mogoče dobiti nazaj, mukotrpno in zelo verjetno tudi drago, kajti organske rasti je danes na katerikoli spletni platformi zelo malo, za vsakršen večji doseg je treba intenzivno oglaševati.
Poglejmo dva konkretna primera izgube uporabniških računov.
Previdno pri klikanju na povezave
Slovenska kulinarična instagramerka, ime bomo izpustili, je bila lani septembra ob svoj račun, ki je nagovarjal globalno občinstvo in je takrat imel več kot 45 tisoč sledilcev. Kliknila je povezavo v e-poštnem sporočilu, naj potrdi, da je ena od objavljenih fotografij res njena, češ da jo je nekdo prijavil.
E-pošta je seveda dajala vtis, kot da so jo poslali z Instagrama, a v resnici je prišla s povsem druge domene, ki pa je omenjena vplivnica ni preverila, in se je tako žal ujela v past. Kot nam je povedala, ni dobila nikakršnega dodatnega sporočila, nič ni bi bilo »treba« še enkrat potrditi, napadalec je bil takoj v njenem računu, ga preimenoval in seveda zaščitil po svoje. Do tega, kako je prvotna lastnica poskušala dobiti račun nazaj, še pridemo, a po približno dveh mesecih je ugotovila, da lahko zgolj začne na novo.
Njen »nadomestni« račun, zdaj zaščiten z dvonivojskim potrjevanjem prijave – vpisom PIN-a iz povezane avtentikacijske aplikacije na telefonu –, ima ta čas nekaj čez 14 tisoč sledilcev.
Ne klikajte na nobene povezave v sporočilih, ki jih dobite nepričakovano. In pri vsakem preverite, od kod je dejansko prišlo, saj obstaja zelo velika verjetnost, da pošiljatelj ni tisto, za kar se izdaja.
Pazite se e-prevar
Drugi primer je iz tujine. Napadalci so proti koncu leta 2020 prevzeli kanal na You Tubu, ki je bil z več kot deset tisoč naročniki eden pomembnejših virov za novice in teste s področja tehnologije v svojem jeziku. Soupravljavec kanala je prav tako nasedel na e-poštno prevaro. Vendar v tem primeru na ponudbo za »preizkus« nekakšne nove spletne platforme. Goljufija je temeljila na tem, da je na svoj računalnik prenesel program in ga zagnal.
Pred namestitvijo ga je sicer preveril s protivirusnim programom, a ta ni našel ničesar nenavadnega. Kot tudi ne ob pregledu celotnega računalnika, ko program ob zagonu ni naredil ničesar, in je naša druga žrtev postala sumničava, kaj se dogaja.
Kmalu je tehnološki youtuber ugotovil, da so mu ugrabili kanal, ga povezali s svojim računom za oglasne prihodke (Ad Sense) in začeli objavljali epizode ameriškega resničnostnega šova Judge Judy. Izkazalo se je, da tu ne bi pomagalo niti dvonivojsko potrjevanje (2FA). Program, ki ga je youtuber naložil na svoj računalnik, je namreč prestregel celotne seje in piškotke v brskalnikih ter jih posredoval napadalcu, tako da je ta imel vstop v You Tube Studio (okolje za urejanje kanala) na pladnju, in je lahko po hitrem postopku spremenil povezane e-poštne predale, telefonske številke, račun Ad Sense in seveda geslo.
Tudi tu je borba za vnovično lastništvo kanala trajala kakše tri mesece, a za razliko od prvega primera je bila uspešna. Je pa kanal v tem času izgubil približno tisoč naročnikov in, kot nekoliko resignirano ugotavlja njegov lastnik, objavljeni videi nikoli več niso imeli enakega dosega kot prej, na kar pa je sicer lahko vplivalo še kaj drugega.
Nikoli ne zaupajte nekomu, ki se vam je oglasil prvič, in vsakogar najprej dobro preverite na spletu in pri svojih virih.
Kakšna je škoda e-prevar in kaj potem?
Oškodovanka iz prvega primera zaradi izgube računa ni imela večje poslovne škode. Njene pogodbe z različnimi naročniki, v Sloveniji in v tujini, so bile resda tudi rezultat uspešne pojavnosti na Instagramu, a niso bile odvisne od števila sledilcev ali ogledov na tej platformi. Kljub temu ji je seveda žal za profilom z odličnimi številkami, do kakršnih bo z novim potrebovala še veliko časa.
Po izgubi profila se je poskušala na različne načine obrniti na Instagram, tudi prek svojih naročnikov in podjetja, ki v Sloveniji zastopa to družabno omrežje (sicer del korporacije Meta, prej znane kot Facebook), vendar ni bilo nikakršnih odgovorov.
Čez približno mesec dni pa je prišla v stik s hekerjem, ki ji je ukradel račun. Komuniciral je lepo in ji ponudil, da vrne račun za 300 dolarjev (v kripto valuti). Čeprav mu ni zaupala, se ji znesek ni zdel pretiran, in po njegovem zagotovilu, da bo ravnal »profesionalno«, je nakazala zahtevano vsoto. Nakar je profil izginil z Instagrama, goljuf pa poniknil. Pri pošiljanju denarja v tujino bodite še posebno pozorni.
Plačilo za »vrnitev« ukradenega profila se bo morda izkazalo za donacijo kriminalcu, zato to poskušajte zgolj, če se zdi, da je to res zadnja in edina možnost za razrešitev situacije.
Podobno kot Instagram tudi You Tube na začetku ni bil odziven, a so neprestanem bombardiranju njegovega računa na Twitterju, je vendarle začel odgovarjati, in naposled odstranil hekerja, vključno z njegovim oglaševalskim profilom iz upravljanja računa, ter ga vrnil prvotnemu lastniku. Slednji je priznal, da je šel skozi težke in stresne tri mesece. Poskusil je zagnati tudi nov kanal, a se je nazadnje vrnil k prvotnemu, ko ga je dobil nazaj. Njemu »odkupnine« niso ponujali.
Velike platforme se soočajo z mnogimi primeri zaseženih računov in bodo odzivne zgolj pri najbolj odmevnih primerih (pri profilih z milijonskim občinstvom). Vseeno ni odveč poskušati pošiljati sporočila toliko časa, da se morda zganejo.
Kako poskrbeti za varnost spletnih računov?
Močna gesla
Prvi nasvet za vsakršen spletni uporabniški račun je seveda močno geslo. Vendar to, kot kažeta opisana primera, še zdaleč ni dovolj. Napadalci znajo uporabiti trike, da pridejo v račune tudi brez poznavanja gesla in tega celo spremenijo. Vsekakor ni nič narobe, če za najbolj pomembne račune v brskalniku ne potrdite shranjevanja gesla.
Preverjajte tudi aplikacije, ki so povezane s posameznim profilom oz. imajo dostop do njega, kajti tudi te so lahko varnostna šibka točka. Morda na vsake toliko časa razveljavite vsa tovrstna potrdila za dostop.
Dvonivojsko potrjevanje prijave
Nujno je vklopiti tudi dvonivojsko potrjevanje prijave (angl. 2-factor authentication, 2FA), čeprav tudi to, kot smo videli, ne pomaga vedno. A vsaj v primeru kraje profila na Instagramu bi zelo verjetno preprečilo katastrofo.
Vklop namreč pomeni, da uporabnik na svoj telefon namesti eno od ustreznih aplikacij (Duo Mobile, Google Authenticator, Microsoft Authenticator, …) in z njo prebere kodo QR v storitvi (oz. vtipka besedno-številčno kodo za povezavo), nato pa vedno, kadar storitev to zahteva, vpiše šestmestno kodo, ki jo (za 30 s, nakar se pojavi nova) prikaže aplikacija.
Tudi pri zamenjavi gesla bi to moralo pomagati, toda prevaranti so izjemno iznajdljivi in se z dovolj zbranimi podatki o uporabniku ter triki, če slednji klikne na lažno povezavo, lahko izognejo marsikateremu varnostnemu ukrepu uporabnikov pri svojih metodah za krajo računa.
Ne klikajte na povezave
Najboljši nasvet za varnost je tisti, ki smo ga že izpostavili. Ne klikajte na nobeno povezavo, za katero niste 100-odstotno prepričani, da je legitimna. Vedno dobro poglejte, od kod je zares prišla e-pošta. Preverite (»googlajte«) to, kar vam ponujajo ali v kar vas poskušajo prepričati.
Eno od osnovnih pravil je tudi, da Facebook, Instagram, You Tube in ostala tovrstna podjetja, kot tudi banke in ponudniki nasploh, nikoli ne pošiljajo obvestil s kakšnimi potrditvenimi povezavami. Če je v sporočilu kaj takega, morate takoj posumiti na poskus prevare.
Nikakor ne stavite vsega na eno samo platformo, ampak imejte profil še kje drugje, morda tudi lastno spletno stran. To predstavlja še več dela in dodatno nabiranje publike, a je lahko rešilna bilka, če se s primarnim kanalom komuniciranja kaj zalomi.
Kako nazaj do profila?
Na spletu je mogoče najti nasvete, po kakšnih korakih lahko posameznik, ki so mu ugrabili račun na Instagramu, tega poskuša dobiti nazaj. Najprej s pozivom za ponastavitev gesla, nato pa še s prijavo in dokazovanjem, da je račun, s katerim zdaj upravlja nekdo drug, pravzaprav njegov.
Toda naša sogovornica s tem ni bila uspešna, čeprav je po lastnih zatrjevanjih »šla skozi milijon člankov« in poskušala vse, kar so ti svetovali. Vedno se je zataknilo že pri tem, da ni dobila poziva za spremembo gesla v svoj e-poštni nabiralnik.
Zelo verjetno je sofisticirana metoda, s katero so ji ugrabili račun, že v istem trenutku spremenila povezani e-poštni naslov, ali pa je napadalec to storil ročno, takoj ko je vstopil v njen račun in tudi spremenil geslo. Ter po možnosti še vklopil dvonivojsko zaščito s svojim telefonom. Tako je izključil kakršnokoli možnost za povrnitev v izvirno stanje.
Triki, goljufije, prevare se ves čas razvijajo, zato morate biti skrajno previdni. Ni potrebna nikakršna paranoja, kajti z dobro zaščitenim računom in doslednim ignoriranjem neželene e-pošte ali sporočil v aplikacijah za takojšnje sporočanje ter v zasebnih sporočilih na družbenih omrežjih, bi morali biti varni.
Članek izraža stališča avtorja in ne nujno tudi stališč Zavarovalnice Triglav, d.d.
Pomaga lahko zavarovanje kibernetske zaščite!
Ravnajte odgovorno in sklenite zavarovanje kibernetske zaščite, tako vam bo zavarovalnica v primeru računalniškega virusa ali vdora krila stroške:
- ponovne vzpostavitve delovanja računalnika,
- povrnitve podatkov in
- zaradi izsiljevanja (t.i. extortion), ki ga lahko zahteva tretja oseba.