27/08/2018

W jaki sposób przechwytywane są konta w serwisie Instagram

Zagrożenia

Instagram to nie tylko druga na świecie pod względem popularności sieć społecznościowa, ale również zarobek dla wielu fotoblogerów, modeli czy innych internetowych celebrytów. Przykuwające oko konta, które śledzi wiele tysięcy osób, leżą w kręgu zainteresowań nie tylko fanów, ale również cyberprzestępców. Kradzież takiego konta może mieć dla jego właściciela przykre konsekwencje. W jaki sposób konta takie można przechwycić i — przede wszystkim — jak je przed tym ochronić?

Metoda przechwycenia nr 1: fałszywa weryfikacja

Z pewnością zauważyliście już, że niektóre konta w serwisie Instagram mają oznaczenie weryfikacji w kolorze niebieskim. Symbole takie mają konta należące do celebrytów, dużych firm i popularnych blogerów. Święta odznaka ma szczególne znaczenie w przypadku kont, które śledzi wiele osób, ponieważ nadaje ona prestiż, jak również pozwala odróżnić je od fałszywych. Uzyskanie takiego oznaczenia nie jest wale łatwe: nie wypełnia się żadnego formularza ani nie kupuje się go w sklepie — to sieć społecznościowa decyduje, komu go przyzna.

Jak zostać zweryfikowanym na Instagramie? Samemu nie można. Dawnie na Twitterze można było uzyskać status zweryfikowanego użytkownika poprzez wypełnienie formularza i dostarczenie danych w celu udowodnienia swojej autentyczności. Jednak na Instagramie tak to się nie odbywa.

Wielu użytkowników nie wie, że właściciele kont nie mają wpływu na przyznanie im niebieskiego oznaczenia. A fakt ten jest wykorzystywany przez oszustów. Cyberprzestępcy tworzą strony, które udają strony centrum pomocy serwisu Instagram, i żądają od użytkowników tego serwisu podania szczegółowych informacji, np. ich nazwy użytkownika, hasła, adresu e-mail, imienia, nazwiska, a także daty urodzenia — a wszystko w celu otrzymania upragnionego oznaczenia.

Po podaniu tych danych niczego niepodejrzewający użytkownik musi poczekać 24 godziny na decyzję, a w tym czasie nie może zmieniać ustawień swojego konta. Informacje te trafiają oczywiście prosto w ręce atakujących, a użytkownik siedzi i czeka, nie wiedząc, że stracił dostęp do swojego konta.

Metoda ta może również zostać wykorzystana do uzyskania należących do ofiary informacji osobistych, które mogą pomóc cyberprzestępcom ominąć proces autoryzacji dwuetapowej. W tym celu wyświetlają oni wiadomość , że z właścicielem konta może się skontaktować serwis pomocy technicznej w celu sprecyzowania podanych informacji. Gdy „pomoc techniczna” kontaktuje się z właścicielem konta, musi on podać kod SMS lub inną informację służącą do zabezpieczenia. Podszywając się pod pomoc techniczną, mogą oni także wysłać fałszywą wiadomość z żądaniem podania informacji potrzebnych do weryfikacji, których mogą następnie użyć podczas kontaktu z prawdziwą pomocą techniczną, zanim legalny właściciel konta się zorientuje (wśród żądanych danych mogą znajdować się np. zdjęcie lub inne dane, o które może prosić prawdziwa pomoc).

Metod przechwycenia nr 2: stary, dobry phishing

Oszuści wykorzystują również popularny phishing w celu zwabienia ofiar na fałszywą stronę logowania lub resetowania hasła. Na przykład mogą wysłać groźnie brzmiącą wiadomość, że konto użytkownika zostało zhakowane lub należy uaktualnić dane logowania, albo zwyczajnie oferują możliwość „oceny zdjęcia”, co wymaga zalogowania się użytkownika do sieci społecznościowej.

Przykład strony phishingowej udającej stronę logowania do Instagrama

Mając ponad miliard użytkowników na całym świecie, Instagram od dawna jest celem różnego rodzaju oszustw. Po przechwyceniu konta atakujący uzyskują dostęp do informacji osobowych i wiadomości użytkownika. Ponadto konto może zostać użyte do rozprzestrzeniania spamu, phishingu i szkodliwych treści. Dosyć często, przejmując własność nad kontem, atakujący zmieniają przypisane do niego zdjęcie profilowe, adres e-mail i numer telefonu. W ten sposób legalny właściciel nie może już przywrócić dostępu do swojego konta.

Jak zabezpieczyć się przed atakami przechwytującymi konta na Instagramie

Tradycyjnie lepiej zapobiegać niż leczyć — zwłaszcza jeśli to drugie może okazać się niemożliwe. Stosując się do kilku prostych zasad, można oszczędzić sobie kłopotów:

  • Nie klikaj podejrzanych łączy.
  • Zawsze sprawdzaj adres strony w pasku przeglądarki. Jeśli na przykład zamiast instagram.com wyświetla się 1stogram.com lub instagram.security-settings.com, nie wchodź na tę stronę, a już na pewno nie podawaj na niej żadnych osobistych informacji.
  • Korzystaj tylko z oficjalnych aplikacji sieci społecznościowych pobranych z oficjalnych sklepów — np. Google Play dla Android a i App Store dla iOS.
  • Nie używaj danych logowania do konta podczas autoryzacji w innych usługach i aplikacjach.
  • Korzystaj z solidnego produktu zabezpieczającego, który rozpoznaje podejrzane wiadomości i blokuje strony phishinowe. Wyręczy Cię w tym Kaspersky Internet Security.

Zachęcamy także do przeczytania naszego specjalnego postu, jak poprawnie skonfigurować konto w serwisie Instagram. Dla użytkowników tego serwisu powinna to być lektura obowiązkowa!