Päevatoimetaja:
Kaido Einama

«Kas see oled sina selles videos?» Mitu Facebooki kontot on juba kaaperdatud

Facebook
Facebook Foto: Mihkel Maripuu

Riigi infosüsteemi amet (RIA) kogub Facebooki kasutajate infot häkkeritest, kes saadavad tuttavate nime alt inimestele linke küsimusega «Kas see oled sina selles videos?». Samuti jagab amet soovitusi, mida teha olukorras, kus lingile on vajutatud. 

Küberründajad levitavad jätkuvalt Facebooki vestlustes pahaloomuliste veebilehtede linke ühes tekstis «Kas see oled sina selles videos?». Ründajad proovivad RIA teatel nii Facebooki kontosid üle võtta. Parim vastumeede on linkide eiramine ning nende edasi saatmine CERT-EE-le analüüsimiseks.

Senini on RIA-le teatatud ainult Facebooki kontode kaaperdamisest, kuid sama võte toimib ka teistes keskkondades. «See tähendab, et kui ründajad proovivad Instagrami keskkonna kaudu inimestega ühendust võtta ning suunata neid selles keskkonnas kahtlasele lingile, siis võivad nad jääda ilma Instagrami kontost, aga mitte Facebooki omast,» selgitas amet. 

Möödunud nädal teavitati RIA küberintsidentide osakonda CERT-EE-d mitme konto kaaperdamisest. Konto ülevõtmine algab Facebooki vestlusaknas. Facebooki kasutaja saab sõbralt sõnumi, mis kutsub teda üles veebilingile vajutama. Kui inimene vajutab lingile, siis toimub pahaloomuline ümbersuunamine ja see meetod töötab nii arvutis kui ka nutiseadmes.

Mis juhtub, kui lingile vajutada?

CERT-EE analüüsis põhjalikult, mis toimub kasutajaga pärast lingile vajutamist. Link võib suunata kasutaja veebilehele, kus on pahatahtlik koodijupp. Selle abil proovitakse kaaperdada ja oma kontrolli alla saada juba sisse logitud kasutaja või õngitseda inimese andmeid. Igal juhul ei tohi kahtlasele lingile vajutada, manitseb RIA. 

Mida teha, kui lingile on vajutatud? Samme tuleb teha just selles järjekorras.

  1. Kontrolli, kas seadetes on kirjas endiselt õige telefoninumber (kui see oli eelnevalt sinna lisatud);
  2. kontrolli, kas Facebooki kontoga on endiselt seotud sinu e-posti aadress või on seda vahetatud;
  3. vaheta parool;
  4. aktiveeri kaheastmeline sisselogimine (Facebooki juhend, kuidas seda teha);
  5. Vali Facebookis menüüst «Seaded ja privaatsus» -> «Seaded» -> siis vasakult menüüst «Turvalisus ja sisselogimine» -> lehelt «Kuhu sa sisse logitud oled» -> vajutage nupule «Logi kõikidest seanssidest välja»
  6. Logi uuesti Facebooki sisse.

RIA

CERT-EE juhataja Tõnu Tammer rõhutas, et teoorias toimib selline rünne enamikes sotsiaalmeediakeskkondades ning ründemeetod ei ole tehniliselt ülemäära keerukas. «Üldiselt ei taha kurjategijad kontode hõivamiseks palju ressursse kulutada. See meetod on odav ja kiire ning toimib nii arvutis kui ka nutiseadmes. Soovitame inimestel alati kasutada kaheastmelist autentimist, aga praegust pettust analüüsides selgus, et kaheastmeline autentimine selle ründemeetodi eest ei kaitse. See tähendab, et parim kaitse on inimeste tähelepanelikkus ja teadlikkus ning lingile mitte vajutamine,» ütles Tammer.

CERT-EE ootab teavitusi

Pahaloomulise lingi saanud kasutajad peaksid sellest RIA-le teada andma. RIA palub kahtlase veebilingi saanud inimestele sellest teada anda läbi raport.cert.ee keskkonna või edastades vabas vormis kiri aadressile cert@cert.ee

«Meie jaoks on oluline koguda võimalikult palju infot ründe kohta. Kui me saame enda kätte veebilingi, mida pole veel avatud, siis saame uurida, mida täpselt sellel veebilehel kasutajaga tehakse. Samuti saame sellised lingid panna musta nimekirja. Siis on nutiseadmetesse RIA äpi paigaldanud inimesed selliste linkide eest üldiselt kaitstud,» lausus Tammer.

RIA soovitab ka enda loodud Encrypted DNS-rakendust, mis blokeerib pahavara ja õngitsusi ning filtreerib DNSi abil kasutaja eest pahatahtlikke linke.

Amet hoiatab, et konto ülevõtmine käib kiirelt, kuid tagasi seda nii lihtsalt ei saa. Kurjategijad kasutavad üle võetud kontosid uute libasõnumite ja linkide saatmiseks, mistõttu võib Facebook piirata selle kasutaja vestlusi. «Nii võib tekkida olukord, kus inimene saab aru, et tema nimelt saadetakse libakirju välja, aga ta ei saa ise oma kontaktidele kirjutada, sest Facebook on ennetava meetmena vestlemise kas kinni keeranud või seda piiranud. Sellisel juhul saab kasutaja näiteks oma seinale kirjutades teada anda, et tema nimelt võivad levida libakirjad,» soovitas Tammer.

CERT-EE varasem analüüs tõi välja, et kahtlast veebilinki jagav kasutaja vastab inimesele, kes talle kirjutavad. «Teame juhtumeid, kus ülevõetud kontol tegutsev bot vastab inimeste küsimustele lihtsalt «Jah». Pole välistatud, et bot'ti arendades räägib ta midagi enamat. Tõenäoliselt on bot seadistatud vastama, et kahtlase lingi saanud inimene usaldaks vestluspartnerit ja vajutaks sellele aadressile,» sõnas Tammer.

Pärast seda, kui ründajad saavad inimese sotsiaalmeediakonto enda kätte, vahetavad nad konto parooli, telefoninumbri ja e-posti aadressi. See aga muudab konto taastamise palju raskemaks, kui mitte võimatuks.

Eriti tähelepanelikud selliste linkide suhtes peavad olema kasutajad, kelle sotsiaalmeediakonto on seotud pangakaardiga. Kurjategijad saavad selle abil osta reklaami mõnele muule leheküljele või tootele.

CERT-EE tuvastas, et teatud juhtudel suunatakse lingile vajutanud kasutaja kiirelt mõne tuntud veebilehe, näiteks YouTube’i avalehele. Nii ei pruugi inimene märgatagi, et toimus midagi pahatahtlikku. Kogu protsess võtab aega vähem kui sekund.

Tagasi üles