Znajomi, tagi i Facebook: nowa bitwa przeciwko scamowi cz.I

Zagrożenia atakujące portale społecznościowe już dawno przeszły z kategorii „mało zagrażające” do kategorii „najwyższe niebezpieczeństwo”. Stały się jednym z największych zagrożeń stworzonych z myślą o kradzieży danych osobowych.

Biorąc pod uwagę to, że ponad 1,4 mld ludzi na całym świecie aktywnie korzysta z największej sieci społecznościowej, Facebook stał się miejscem, gdzie jest zgromadzonych wiele informacji prywatnych użytkowników (w tym np. numery kart kredytowych), przez co stał się celem ataków i wyłudzeń cyberprzestępców. Twórcy Facebooka stworzyli wiele zmian, które zapewniły nowy poziom prywatności użytkownikom, jednak cyberprzestępcy nadal mają nowe sposoby na wyłudzenie danych.

Wszystkie strony internetowe (także społecznościowe) mogą posiadać wady i błędy, które mogą wykorzystywać cyberprzestępcy by wstrzyknąć złośliwy kod. Np. specjalnie spreparowanego trojana, którego atakujący może ukryć, jako widżet lub banner reklamowy na stronie i wykraść dane niedostatecznie chronione przez system. Gdy użytkownik wchodzi na stronę internetową z zainfekowanego komputera trojan odczytuje nazwy użytkownika i hasła, numery kart kredytowych lub inne wrażliwe dane i przesyła je do atakującego.

Sieci społecznościowe są jednymi z niewielu aplikacji niezależnych od systemów operacyjnych istniejących w tej chwili, co oznacza, że można je uruchomić na dowolnym komputerze z zainstalowaną przeglądarką, jak również na platformach mobilnych: iOS, Android, Symbian i Windows Mobile. Ponadto, podczas, gdy portale takie jak Facebook mają własną zaufaną chmurę by przechowywać dane osobowe użytkowników, wiele niezidentyfikowanych zewnętrznych aplikacji korzystających z dostępu do konta użytkownika (np. podczas logowania się za pomocą Facebooka do innej aplikacji) przechowuje pobrane dane we własnej chmurze, co uniemożliwia kontrolę nad tym, co się z nimi dalej dzieje.

Sieci społecznościowe są wybierane przez cyberprzestępców ze względu na miliony kontaktów, adresów e-mail, zdjęć i innych wrażliwych danych, które zawierają. Są tak skonstruowane, by zachęcać użytkowników do publikowania danych o sobie w największej, jak to możliwe liczbie, zarazem domyślnie ustawiając ich widoczność, jako „publiczny” tzn., że każdy może je zobaczyć – zarówno znajomy, jak i niezalogowana, obca osoba. Fakt, że prywatne dane użytkowników łatwo mogą być kopiowane z chmury Facebooka do chmury innych aplikacji zdecydowanie ułatwia kradzież. Wystarczy, że aplikacja zachęci do jej wykorzystania, pytając o wiele uprawnień, których większość użytkowników nie czyta, ale od razu zatwierdza. Taka „uprawniona” aplikacja może np. otagować wszystkich znajomych ofiary we wpisie z linkami umieszczonym na jej tablicy, zachęcając ich do kliknięcia w link. W ten sposób ponownie pobiera odpowiednie uprawnienia, a krąg oszukanych się powiększa.

W taki sposób działa np. aplikacja „Zobacz, kto obserwował Twój profil”, która obiecuje, że pokaże użytkownikowi, kto ostatnio oglądał jego profil. Według danych dostarczonych przez Bitdefender Safego to oszustwo w czasie swojej największej popularności posiadało 14 unikalnych aplikacji Facebook i zebrało 1411743 kliknięcia.