Le akarják tiltani a Facebook-profilját? Ne kattintson rá, csapda!
Újra előkerült az a csalás a Facebookon, ami a felhasználók legérzékenyebb pontjára, a profiljuk elvesztésétől való félelemre apellál. A csalók a Meta nevében küldött, hivatalosnak látszó üzenetben fenyegetnek fiókja felfüggesztésével, ha nem „hitelesíti” magát egy linken keresztül. A valóságban azonban épp ezzel a kattintással adja át a bejárati kulcsot a kiberbűnözőknek. A Rakéta.hu megnézte, hogyan épül fel a támadás technikailag, és mit tehet ellene, hogy ne váljon áldozattá.
A kibertérben a humán faktor a leggyengébb láncszem – és erre a csalásra tökéletesen illik a leírás. A támadók nem a Facebook szervereit törik fel, hanem magát a felhasználót „hackelik meg”, méghozzá pszichológiai eszközökkel. A módszer annyira hatékony, hogy újra és újra előveszik.
A támadás anatómiája: URL-rövidítők, klónozott oldalak és a sürgetés pszichológiája
A támadás egy gondosan felépített, többlépcsős folyamat, amely a felhasználó figyelmetlenségére és a szolgáltatóktól megszokott, automatizált kommunikáció imitálására épül.
A csalétek (phishing üzenet): A támadás egy üzenettel vagy egy bejegyzésben való megjelöléssel indul. A feladó neve gyakran tartalmazza a „Meta”, „Facebook Support”, „Copyright Infringement” vagy hasonló, bizalmat keltő kulcsszavakat. A szöveg lényege a sürgetés: „Fiókját 24 órán belül letiltjuk szerzői jogok megsértése miatt”, vagy „Szokatlan tevékenységet észleltünk, erősítse meg fiókját”. A cél, hogy az áldozat ne gondolkodjon, hanem a pánik hatására azonnal cselekedjen.
Az elterelés (a hamis link): A kulcselem a megadott link. Ezt ma már szinte sosem egyértelműen gyanús, hosszú URL formájában kapjuk. A támadók előszeretettel használnak URL-rövidítő szolgáltatásokat (pl. bit.ly, tinyurl) vagy frissen regisztrált, megtévesztő domainneveket, amelyekben elrejtenek egy-egy, az eredetihez hasonló szót (pl. facebook-security-check.info, meta-business-support.net). A trükk az, hogy a link szövege lehet akár a hivatalos „facebook.com” is, de a mögötte lévő hivatkozás már a csalók szerverére mutat.
A klón (az adathalász oldal): A linkre kattintva nem a valódi Facebookra, hanem annak egy pixelpontos másolatára, egy úgynevezett adathalász (phishing) oldalra jutunk. Ezeket az oldalakat a támadók gyakran automatizált szkriptekkel hozzák létre, letöltve és lemásolva a Facebook bejelentkezési oldalának teljes HTML- és CSS-kódját. Az egyetlen, de lényegi különbség a böngésző címsorában látható URL. Itt érdemes mindig ellenőrizni a domainnevet és a biztonságos kapcsolatot jelző lakat ikont, illetve a tanúsítványt (bár egy Let’s Encrypt tanúsítványt ma már bárki ingyen igényelhet egy hamis oldalhoz is, így ez önmagában nem garancia).
A „harvesting” (adatgyűjtés): Amikor a felhasználó a hamis oldalon begépeli a bejelentkezési adatait (e-mail, jelszó), azok nem a Facebook szerverére, hanem a támadók által kontrollált adatbázisba vagy egy egyszerű szöveges fájlba kerülnek. Az oldal gyakran még azt a látszatot is kelti, hogy a folyamat sikeres volt, például átirányít a valódi Facebook kezdőlapjára, így az áldozatnak fel sem tűnik, hogy az adatai illetéktelen kezekbe kerültek.
Forrás: Rakéta.hu
