Lopott Facebook azonosítót tessék!

A VeriSign iDefense részlegének kutatói arra hívták fel a figyelmet, hogy a digitális alvilág immár hamis és lopott Facebook accountokkal is kereskedik. Ráadásul mindezt „ipari mértékben” teszi, azaz „csomagban” lehet megvenni az azonosító/jelszó párosokat. Februárban több hét alatt figyelték az olyan értékesítőhelyeket, mint a Carder.su, és úgy találták, hogy nagyjából másfél millió(!) Facebook adatot kínáltak fel ezen időszak alatt a bűnözők. Ez több, mint ahány regisztrált magyar tagja van a közösségi hálózatnak.

Ezres „adagokban” árulta például a magát kirllos-nak hívó hacker a Facebook accountokat. A 10 vagy annál kevesebb ismerőssel bíró azonosítókért összesen 25 dollárt kért, az ennél nagyobb ismeretséggel rendelkezőkért 45 dollárt. A közösségi hálózatokkal kapcsolatos lopás és az így szerzett adatokkal való visszaélés elsősorban az Egyesült Államokat érinti, közölte Rick Howard, az iDefense cyberfelderítési részlegének igazgatója, aki elismerte, hogy napjainkban zajlik a jelenség exponenciális felfutása.

Jellemzően phishing, azaz jelszóhalász technikákkal jutnak hozzá a bűnözők a Facebook azonosító/jelszó párosokhoz. A gyanútlan internetezőt becsapva kicsalják belőle a kívánt adatokat – akár azok ellopásával, akár billentyűzet-leütést figyelő (úgynevezett keylogger) programokat telepítve jutnak hozzá. Ezeknek az információknak a birtokában aztán széleskörű illegális tevékenység folytatható: spamküldés, ártalmas programok terjesztése, személyazonossággal való visszaélés és egyéb csalások.

Fokozódó érdeklődés
A közösségi hálózatok, különösen az amerikai Facebook kezd egyfajta „Internet az Internetben” jelleget ölteni. Már számos szolgáltatás várja a felhasználót, mindezt úgy veheti igénybe, hogy – szemben a „hagyományos” Világhálóval – nevesítve kattintgat. Emiatt nagyobb a bizalom a cybertér ezen szegletében, hiszen elsősorban a való életben megismert emberekkel vesszük körül magunkat. Könnyebben kattintunk rá tehát egy-egy linkre, mint a Web egyéb részein – ez a könnyelműség pedig a cyberbűnözők figyelmét is megragadta.

Ráadásul a közösségi hálózatokon egyszerűbb személyes adatokhoz is hozzáférni. Míg az e-mail azonosítók ellopásával általában csak a felhasználó nevét sikerült megszerezni (vagy még azt sem), addig egy sikeres Facebook account lopással temérdek személyes információhoz lehet jutni. Név, cím, születési idő és hely, szülők nevei, telefonszámok, egyéni preferenciák – ezek birtokában pedig sokkal könnyebb valaki más bőrébe bújva csalásokat elkövetni.

Egy példa: tavaly nyáron megszerezték Eileen Sheldon Facebook hozzáférésének adatait, amivel aztán visszaéltek a bűnözők. Közel húsz barátjának üzenetet küldtek azzal a szöveggel, hogy az egyébként Kaliforniában élő Eileen Londonban ragadt, pénz és útlevél nélkül. Az üzenet egy esetben sikerrel járt: a hölgy egyik barátja elhitte a leírtakat és körülbelül 100 dollárnyi összeget utalt át a megadott számlára – a tolvajoknak.

Király vagyok, mert sok az ismerősöm
Az ember alapvetően társas lény, sokan pedig egyfajta sikertényezőként tekintenek online ismerőseik számára. Minél nagyobb az ismeretségi kör, annál magabiztosabbnak érzi magát az emberek jelentős része. Ez oda vezet, hogy sokan boldog-boldogtalant bejelölnek, visszaigazolnak a közösségi hálózatokon – olyanokat is, akiket valójában nem hogy alig, hanem egyáltalán nem ismernek. Teszik mindezt a Facebook kifejezett ellenjavallata ellenére.

Így aztán olyan „ismerősök” kerülhetnek a baráti körbe, akikről semmit sem tud az érintett; a „barát” viszont anélkül juthat hozzá fontos adatokhoz, hogy ahhoz bármilyen illegális tevékenységet kellene tennie. A hamis accountok tehát komoly problémát okoznak, és ezt felismerte a Facebook is. Az üzemeltető komoly rendszert fejlesztett az ál-felhasználók és az accountok ellopásának felismerésére. Ennek egyik elemét a sorok írója is megtapasztalta nemrég, amikor mobiltelefonja Opera böngészőjéről akarván belépni, a szolgáltatás megtagadta a hozzáférést. A Facebook ugyanis gyanúsnak találta a megszokott (magyar) helytől igen távoli (norvég) bejelentkezési helyet, és erről a legközelebbi desktop azonosításkor figyelmeztetést is küldött.

Minden algoritmizált védelem ellenére a rendszer csak annyira erős, amennyire az emberi tényező – ha gyanúsnak találunk valamit, ne kattintgassunk ész nélkül, hanem kérjünk segítséget!