ESET, líder v proaktívnej ochrane pred internetovými hrozbami s viac než 20-ročnou históriou, varuje majiteľov firemných Facebook účtov pred útokmi sociálnym inžinierstvom. Útočník sa pri nich snaží od svojej obete vylákať heslo do tejto sociálnej siete.

Na firemné Facebook konto zašle správu, v ktorej tvrdí, že firma použila jeho fotografiu a tým porušila jeho autorské práva. Správa taktiež obsahuje url adresu, ktorá má smerovať na danú fotografiu. V skutočnosti je však administrátor firemného Facebook účtu presmerovaný na falošnú stránku, ktorá vyzerá, ako keby šlo o Facebook.

Ak si to obeť nevšimne a do stránky vloží svoje prihlasovacie meno a heslo, okamžite ich získa útočník a už mu nič nebráni v tom, aby prevzal plnú kontrolu nad Facebook kontom vašej firmy. Na tieto praktiky upozornila spoločnosť ESET facebooková komunita Nebezpečné, ktorá sa zaoberá podvodnými stránkami. V niektorých prípadoch boli weby napodobujúce vstupnú stránku do Facebooku registrované priamo v Českej republike.

phising

FacebookPhishing

„Útočník môže po získaní hesla na vašom Facebooku propagovať svoje výrobky alebo webové stránky, na ktorých je umiestnená inzercia, vďaka ktorej zarobí. Prípadne môže týmto spôsobom šíriť na sociálnej sieti škodlivý kód,“ hovorí Ondrej Kubovič, špecialista na digitálnu bezpečnosť zo spoločnosti ESET. „Jeho cieľom je finančný zisk, vašou stratou však bude narušenie dobrého mena spoločnosti,“ dodáva Kubovič.

Phishingové správy sú v prípadoch, ktoré videl ESET, vždy písané v češtine. Útočník ich odosiela buď priamo zo svojho Facebook konta (ktoré môže byť vedené na falošné meno), alebo tak robí cez kontá, ku ktorým už získal prístup a ich majitelia o tom vôbec netušia. V jednom prípade sa útočník dokonca vydával za zamestnankyňu českého mediálneho domu Mafra Group. V inom sa falošná odosielateľka podpísala ako zamestnankyňa newyorskej marketingovej agentúry Blue Fountain Media, tá však na Slovensku a ani v Českej republike nemá pobočku.

Ako preventívne opatrenie odporúča ESET firmám venovať sa zvyšovaniu bezpečnostného povedomia svojich zamestnancov. Tí by nemali bezhlavo klikať na akékoľvek odkazy, ktoré im prídu či už cez Facebook správu alebo e-mailom. Keďže sa však jedná o phishingové stránky, odchytiť ich dokáže aj bezpečnostný softvér s kvalitným antiphishingovým modulom, napríklad ESET Endpoint Security alebo ESET Smart Security.

O tom, aké následky môže mať podobný útok, sa presvedčili na jar tohto roka aj viaceré slovenské médiá, ktoré stratili kontrolu nad Facebook účtami. Útočníci po ovládnutí ich profilu vyradili ostatných administrátorov a uverejňovali správy, ktoré redakcia nedokázala nijako ovplyvniť.

Za predpokladu, že ste sa už stali obeťou sociálneho inžinierstva a prístup k svojej firemnej Facebook stránke chcete získať späť, musíte vyplniť tento online formulár na stránke Facebooku. Mal by obsahovať napríklad názov vašej stránky, jej url adresu a taktiež dátum, v ktorom ste ju založili.