Michał Rosiak 
"Co się może stać, gdy ktoś wykradnie Wasz login i hasło do Facebooka? Może choćby oszukać Waszych przyjaciół "na BLIK-a" - wielokrotnie pisałem już o tym schemacie. Jeśli kiedykolwiek uważaliście, że przesadzam - przeczytajcie o tym, co zdarzyło się mojej koleżance z Orange.
Niemal zawsze, gdy opisuję jakiś schemat ataku, czy ogólnie złośliwej aktywności w sieci, widzę sceptyczne spojrzenia, z których można bez problemu odczytać: "Facet, serio? To kit jakiś, opowiadasz o czymś totalnie nierealnym!". Dlatego zacieram ręce za każdym razem, gdy mogę opowiedzieć historię, która zdarzyła się naprawdę. Dla ułatwienia dajmy bohaterce na imię "Ania" (jak się domyślacie, nie jest prawdziwe).
Po co Ci przelew na BLIK-a ode mnie
Od tych słów zaczęła się cała historia. Kiedyś, w trakcie dnia, Ania odebrała telefon od koleżanki, która zaniepokoiła się, że coś się z nią stało:
Pyta się z głupia frant, czy wszystko w porządku? No jasne, że w porządku, miło, że dzwonisz, stało się coś? A ona mi mówi, że właśnie poprosiłam ją na Messengerze, żeby przelała mi pieniądze na BLIK-a!
Na szczęście nasza bohaterka szybko się zorientowała, co się dzieje i natychmiast zalogowała się na Facebooka. Czy raczej... chciała się zalogować, bo okazało się, że hasło jest nieprawidłowe.
No to kolejny krok - próba kontaktu z FB, która ostatecznie doprowadziła Anię do ekranu odzyskiwania ukradzionego konta. W momencie, gdy dotarła do momentu, gdy trzeba odebrać maila, przeszła do ekranu logowania jednego z krajowych dostawców darmowej poczty, po to tylko, by dowiedzieć się, że... nie ma takiego konta.
Nie, że hasło złe, że login nie taki. Konto nie istnieje!
Włamanie nie tylko na FB
Okazuje się, że złodziej dobrze wiedział co robi. Na koncie naszej bohaterki zmienił także adres e-mail, dodając zaledwie jedną literę, zamieniając imię na zdrobnienie. Dlaczego? O tym za chwilę. W sytuacji, gdy zmieniamy adres na FB, musimy potwierdzić zmianę na poprzednim mailu. I stąd problem z dostaniem się przez Anię na swoje konto. Oszust przejął również je, by móc potwierdzić zmianę. Co więcej, zrobiwszy to, zlecił usunięcie konta.
Na szczęście nasza bohaterka trafiła na empatyczną osobę w obsłudze klienta dostawcy. Konto udało się odblokować, a tam był mail z Facebooka, potwierdzający zmianę. I okazało się, że kliknięcie przekierowało ją do przejętego konta Facebooka.
Od razu zmieniłam hasło, dodałam uwierzytelnianie dwuskładnikowe i usunęłam (na szczęście do tego potwierdzenie nie było potrzebne) konto złodzieja.
Niestety - nie wszystkim stratom udało się zapobiec.
Okazało się, że złodziej wysłał do przyjaciół Ani, w jej imieniu, serię próśb o wsparcie finansowe. Dwie osoby miały empatię przewyższającą zdrowy rozsądek i przelały pieniądze. Jedna właśnie na BLIK-a, a druga na numer konta.
Oszust był bardzo dobrze przygotowany. Wygląda na to, że zajrzał w historię mojego Messengera, bo pisał do moich przyjaciół bardzo dobrze podszywając się pode mnie. W moim stylu i nawet używając w stosunku do konkretnych osób konkretnych ksywek.
Jak oszust dostał się na konta Ani
Ona sama niestety tego nie wie. Zaręcza, że nie klika w żadne podstawione linki, więc nie mogło to być oszustwo "na fake newsa". Jednym z tropów może być serwis Have I Been Pwned, gdzie adres mailowy bohaterki tego tekstu, znajduje się w 10 wyciekach. Niestety nie pamięta, czy gdziekolwiek używała takich samych haseł, twierdzi też, że hasło, które używała do Facebooka można określić jako mocne.
Niepokojące jest to, że atakujący dostał się zarówno na konto społecznościowe jak i mailowe Ani. To mogłoby sugerować również infekcję urządzenia docelowego. Jednak bohaterka tekstu zaręcza, że nie instaluje aplikacji spoza oficjalnego sklepu, nie klika w podejrzane linki, a CyberTarcza nie wykazała zagrożeń na sprzętach, z których korzysta. Sposób w jaki przestępca dostał się na jej konta pozostanie więc tajemnicą. Na szczęście pozostaną nią również.
Co robić, by uniknąć ataku "na BLIK-a"
...konta Ani.
Co zrobiłam? Od razu uruchomiłam uwierzytelnianie dwuskładnikowe na Facebooku! Prawdopodobnie zmienię też dostawcę maila na takiego, który również dysponuje takim rozwiązaniem. No i przeprosiłam znajomych, którzy zostali oszukani. Choć nie ukrywam, że fakt, iż bez namysłu przesłali pieniądze, żeby "mi" pomóc był rozczulający.
A Wy, co możecie zrobić, by być mądrymi przed szkodą:
- zmienić hasła na bezpieczne, ale też łatwe do zapamiętania (zerknijcie na stronę CERT Orange Polska);
- w serwisach, których utrata może Was narazić na jakiekolwiek ryzyko - używać różnych haseł;
- wszędzie, gdzie możecie, uruchomić uwierzytelnianie dwuskładnikowe;
- no i oczywiście instalować aplikacje mobilne tylko z oficjalnych sklepów; a także nie klikać w dziwne linki i zawsze sprawdzać adres strony, na której cokolwiek wpisujecie.
Beata Giska 
