Przykład ukierunkowanego ataku socjotechnicznego na Instagramie

avlab.pl 5 dni temu
Zdjęcie: Przykład ukierunkowanego ataku socjotechnicznego na Instagramie


Bycie popularną osobą w Internecie to teraz marzenie wielu młodych osób – zarabianie na promowaniu produktów, chęć wyrażania siebie, promowanie zdrowego stylu życia. W teorii jest to piękny sposób na zarabianie. Zyskiwanie na popularności konta idzie w parze z próbami ataków „na wykorzystanie wizerunku” przez oszustów, którzy najróżniejszymi sposobami próbują wyłudzić od ofiary pieniądze. Jednym z takich ataków jest użycie zdjęcia z Instagrama jako inspiracji do namalowania obrazu w zamian za prawa autorskie do swojego wizerunku. Bez umowy i z podejrzaną metodą płatności, ale o tym przeczytacie poniżej.

Ktoś kontaktuje się z tobą w nietypowej sprawie – chce użyć twojego zdjęcia jako inspiracji artystycznej:

Masz konto na Instagramie? Publikujesz interesujące zdjęcia z podróży? Może to wykorzystać oszust, który pisze do ciebie z drugiego końca świata – w wiadomości otrzymujesz ofertę wykupienia zgody do twojego zdjęcia za 1000 dolarów, które będzie wykorzystane do namalowania obrazu, muralu. Możesz się targować. Na razie wszystko jest OK, nic nie wzbudza podejrzeń. Na potwierdzenie intencji drugiej strony transakcji otrzymujesz przykładową galerię ze zdjęciami. Akceptujesz warunki.

Przeglądasz profil użytkownika i teoretycznie wszystko jest w porządku (poniżej wyjaśniamy, co nie jest w porządku).

Następnie podajesz numer konta, ale to jeszcze nie wzbudza dużych podejrzeń. Za chwilę w kolejnej wiadomości dowiadujesz się, iż jeszcze tylko adres e-mail, aby bank mógł wysłać potwierdzenie wykonania przelewu…

Wygląda na to, iż jest to pierwsze poważne ostrzeżenie. Banki nie wysyłają potwierdzeń wykonania przelewu, nie proszą o informacje poufne, nie kontaktują się z klientem z drugiego końca świata w celu potwierdzenia transakcji.

Na maila otrzymujesz coś w rodzaju podsumowania transakcji i aby otrzymać 1500 dolarów, musisz „tylko” założyć konto z serwisie eneba.com – jest legalna i prawdziwa platforma internetowa specjalizująca się w sprzedaży cyfrowych produktów dla graczy.

Link w stopce maila podpowiada, iż to coś w rodzaju prezentu – oszust otrzyma na swoje konto równowartość przelanej kwoty. Tutaj jest to ostateczne potwierdzenie, iż masz do czynienia z fejkiem. Przestępca zapewnia, iż to jak najbardziej legalne, iż to normalna procedura, i aby otrzymać 1500 dolarów, musisz tylko założyć portfel, wpłacić 100 lub 200 dolarów (w przypadku, kiedy chcesz, aby „płatność” była wykonana natychmiast). Dostajesz jeszcze informację, iż twoje 100, 200 dolarów będzie zwrócone. Uwierzysz w to?

Na tym etapie atak socjotechniczny urywa się. Dokonuje się jeszcze odpowiednia wymiana zdań. Użytkownik „kate_workofart” zostaje zablokowany.

Na czym polegał atak? Jakie są pierwsze symptomy?

  1. Nieznana osoba „kate_workofart” pisze do ciebie w sprawie wykorzystania twojego zdjęcia. Zgadzasz się, bo warunki są całkiem realne.
  1. Pierwsze ostrzeżenie pojawia się, kiedy uwagę zwraca fakt, iż chociaż za użytkownikiem stoi firma z Nowego Jorku, to nie otrzymujesz żadnej umowy do podpisania.
  1. Na początku podajesz tylko numer konta, dlatego nie wzbudza to większego podejrzenia – na tym etapie nikt nie wyciąga od ciebie żadnych dodatkowych informacji poufnych. Czyli legitne, prawda?
  1. „Do wykonaniu przelewu” potrzebny jest adres mail. Dla wielu z was już ten punkt jest krytyczny i mamy nadzieję, iż rozpoznajecie oszustwo bez przekazania maila.
  1. Przelew nie może zostać wykonany (jakżeby inaczej :), ponieważ M U S I S Z na stronie XYZ założyć jakieś konto, jakiś portfel, czy coś, musisz wpłacić 100 dolarów – minimum.
  1. Oglądasz dokładnie profil użytkownika „kate_workofart”, który istnieje od roku 2016. Po pierwsze zawiera tylko posty z maja 2024 br. oraz użytkownik jest z Nigerii… Najprawdopodobniej konto to zostało przejęte, ukradzione, ponieważ nie miało podstawowych zabezpieczeń logowania.

Podsumowując czasami na początku atak socjotechniczny może nie wzbudzać podejrzeń, ale prędzej czy później oszust zdradzi swoje zamiary. Weź pod uwagę, iż przed tego rodzaju oszustwami możesz się chronić przed szkodą.

Przestrzegaj kilku podstawowych zasad bezpieczeństwa (w kolejności losowej):

  • Nie klikaj w podejrzane linki od nieznanych osób i zawsze sprawdzaj adres URL przed zalogowaniem się, założeniem konta.
  • Używaj silnych haseł i uwierzytelniania dwuskładnikowego (2FA) na portalach społecznościowych i nie tylko. jeżeli twoje konto nie jest dobrze zabezpieczone, nie czekaj i zrób to teraz z pomocą
    .
  • Zachowaj ostrożność wobec łatwych i szybkich pieniędzy – zawsze weryfikuj tożsamość osób i firm proszących o dane osobowe lub pieniądze.
  • Nie udostępniaj zbyt wielu informacji o sobie, które mogą być wykorzystane do twojej identyfikacji, przejęcia konta.
  • Posprawdzaj ustawienia prywatności konta, aby ograniczyć dostęp do swoich informacji od niezaufanych osób.
Idź do oryginalnego materiału