Objavljeno: 26 oktobra, 2022

Vdor v Facebook račun je eden izmed najpogostejših neželenih učinkov kraje prijavnih podatkov. Ali ste kdaj naleteli na kakšno sumljivo objavo vaših prijateljev na Facebooku? Ali pa na sumljivo zasebno sporočilo, ki je vsebovalo neznano povezavo? Temu velikokrat sledi opravičilo, da »jim je nekdo vdrl v Facebook račun«. Ta »nekdo« pa se skriva v ozadju zlonamerne aplikacije, s katero je mogoče pridobiti prijavne in osebne podatke uporabnika.

OPOZORILO: Na Agenciji Revolver se ne ukvarjamo z reševanjem Facebook računov. Vkolikor imate težavo z dostopom do poslovnega Facebook računa ali sumite, da so vam vanj vdrli, se obrnite neposredno na Facebook/Meta podporo ali na komunikacijsko družbo HTTPOOL, ki je uradni partner večine največjih medijskih platform (Twitter, Facebook, Spotify, LinkedIn, Snapchat, Warner Music, Outbrain and Brainly) za evropski trg.

Kako prepoznati zlonamerno aplikacijo?

O spletnih prevarah smo pisali že večkrat. Poleg prevare, ki posnema Pošto Slovenije, smo že pisali o bančni prevari, ki posnema NLB in od vas želi bančne podatke ter na splošno o email phishingu, ki je sinonim za nezakonito prevarantsko  pridobivanje osebnih podatkov uporabnika na spletu.

Prepoznavanje bančne prevare v e-mailih - Revolver blog
Prepoznavanje bančne prevare v e-mailih – Revolver blog
Email phishing: nova prevara na spletu - Revolver blog
Email phishing: nova prevara na spletu – Revolver blog

Poleg email prevar pa se je zdaj pojavila še ena veliko bolj dovršena, ki ji podleže še več ljudi. Ta prevara pa se dogaja v mobilnih aplikacijah.

Uporabniki vedno iščemo aplikacije, ki nam bodo olajšale določena opravila ali nas zabavale, ko nam je dolgčas. Te aplikacije pogosto obljubljajo veliko, kaj kmalu pa ugotovimo, da v resnici ne ponujajo tega, kar oglašujejo. Pomislite na zadnji oglas, ki ste ga videli za mobilno igro – to igro ste prenesli na telefon in ne zgleda niti približno tako kot je bilo oglaševano. Pri bolj namenskih aplikacijah pa se pogosto zgodi, da za uporabo potrebujete uporabniški račun – in tu je potencial za prevaro.

Zlonamerne aplikacije zahtevajo vaše podatke

Prvi rdeči alarm je, ko aplikacija ponuja nadgradnjo funkcionalnosti, ki je v uradnih aplikacijah ni. Če vzamemo za primer Facebook/Meta aplikacijo za urejanje poslovne strani. Uradna aplikacija omogoča osnovne funkcionalnosti za upravljanje s poslovnih Facebook profilom. Za kaj več pa je najbolje uporabiti spletno različico (tj. na računalniku). Zlonamerne aplikacije pa obljubljajo funkcionalnosti, ki jih v uradni aplikaciji ni.

Če namestite takšno aplikacijo, ste lahko nemudoma soočeni z drugim rdečim alarmom. Če je aplikacija brezplačna in od vas za njeno osnovno uporabo zahteva prijavo prek družbenega omrežja (social login), je to dober pokazatelj, da ni vse tako kot se zdi. Vsaka aplikacija mora omogočati uporabo brez računa. Če je narava aplikacije taka, da od vas zahteva uporabniški račun, mora ponuditi možnost registracije novega računa – pri katerem za geslo nikoli ne uporabite gesla, ki ga uporabljate kje drugje.

Aplikacije, ki zahtevajo uporabniški račun, v katerega se lahko prijavite izključno z drugim računom (npr. Facebook ali Google računom) in niso v lasti uradnega založnika (op. v tem primeru Facebooka ali Googla), so v veliki meri zlonamerne. Če imate srečo, bo ta aplikacija zgolj zbirala podatke o tem, kaj uporabljate in kaj vas zanima, v najslabšem primeru pa bo shranila vaše prijavne podatke in jih poskušala uporabiti za prijavo v bolj občutljive spletne servise (npr. v spletno banko ali PayPal račun).

Vdor v Facebook račun je mogoč prek zlonamernih aplikacij.
Vdor v Facebook račun je mogoč prek zlonamernih aplikacij.

Zlonamerne aplikacije, ki jih morate izbrisati

Med aplikacijami, ki lahko sodijo v zlonamerne aplikacije, s katerimi je mogoče vdreti v vaš Facebook račun, sodijo:

  • urejevalniki fotografij (tudi tisti), ki trdijo, da vam omogočajo, da se »spremenite v risanko«
  • VPN-ji, ki trdijo, da povečajo hitrost brskanja ali omogočijo dostop do blokirane vsebine ali spletnih mest,
  • pripomočki za telefon, kot so aplikacije za svetilke, ki trdijo, da povečajo svetilno moč vaše svetilke na telefonu (pozor: večina mobilnih telefonov s kamero ima tudi »fleš« za osvetlitev kadra – takšna funkcionalnost je primarno vgrajena in je ni mogoče povečati z dodatno aplikacijo),
  • mobilne igre, ki lažno obljubljajo visoko kakovostno 3D grafiko (v resnici pa je igralna izkušnja nekaj povsem drugega),
  • aplikacije za zdravje in življenjski slog, kot so horoskopi in sledilniki telesne pripravljenosti,
  • poslovne aplikacije ali aplikacije za upravljanje oglasov, ki trdijo, da zagotavljajo več funkcij kot njihove uradne različice.

Te aplikacije delujejo tako, da ob namestitvi zlonamerne aplikacije, ta aplikacija uporabniku obljublja določene nove funkcionalnosti, če se le-ta prijavi s Facebook/Google računom. Uporabnika pričaka jasen gumb »Prijavi s Facebookom«. Po prijavi aplikacija obljublja, da bo uporabnik lahko uporabljal vse oglaševane funkcionalnosti. A pozor. Če gre za brezplačno aplikacijo, bi večino funkcionalnosti že lahko uporabljali brez prijave. Vkolikor aplikacija zahteva prijavo, ta prijava ni v brezplačni račun, temveč v PRO račun, za katerega je uporabnik plačal naročnino ali kupil aplikacijo.

Če uporabnik klikne gumb »Prijavi se s Facebook«) (op. ponavadi je Facebook napisan z malo začetnico, ni uporabljena pravilna pisava ali pa gumb izgleda »čudno«), potem aplikaciji pošlje svoje prijavne podatke (uporabniško ime/e-mail in geslo), ki jih zlonamerna aplikacija ukrade. Na tak način pridete do situacije, ko vam nekdo »vdre v Facebook račun«.

Za seznam vseh prizadetih aplikacij preberite uradni Facebook članek.

Dodaten namig: zamenjajte geslo!

O pomembnosti rednega menjavanja gesla in/ali nastavljanja kompleksnega gesla smo pisali v blogu z naslovom »Vaše geslo je prešibko – zamenjajte ga zdaj!« Tema spletne varnosti je vedno je in bo vedno ostala aktualna. Uporaba močnega gesla je priporočljiva pri uporabi vseh spletnih storitev – tako na spletnih straneh, spletnih portalih in spletnih trgovinah. Čeprav spletne storitve in mobilne aplikacije ponujajo enostaven način prijave oz. registracije s pomočjo t.i. social logina (op. prijave s Facebook ali Google računom), se temu izognite, v kolikor niste prepričani v kredibilnost same storitve ali aplikacije.

Šibko geslo ali kodo zamenjajte čimprej - Revolver blog

Ne pozabite, da veliko uporabnikov uporablja enaka gesla za vse svoje račune. V resnici smo vsi »krivi« tega vsaj do določene stopnje, saj si je težko zapomniti vsa različna gesla. Če ste med njimi, bodite pozorni, katerim aplikacijam in spletnim storitvam dovolite dostop do vaših prijavnih in osebnih podatkov, vsekakor pa priporočamo, da nemudoma zamenjate svoje Facebook/Google geslo in nato premišljeno uporabite funkcijo prijave z enim izmed teh računov (op. social login).