Článek přečtěte do 5 min.

Pokud jste na Instagramu dostali milou zprávu od vzájemného kontaktu, který vás žádá, abyste pro něj „hlasovali“ v soutěži influencerů – zastavte se. Možná se jedná o dobře promyšlený phishingový podvod, jehož cílem je ukrást vaše přihlašovací údaje na Instagramu, Facebooku nebo dokonce e-mailu.

Háček: přátelská soukromá zpráva od důvěryhodného vzájemného partnera

Podvod obvykle začíná zprávou podobnou této:

„Dobrý den, omlouvám se za obtěžování, ale hlásím se na pozici ambasadorky pro online influencer program na módní přehlídce Vanc. Můžete pro mě prosím hlasovat? Díky🥰💐“

Pochází od někoho, koho sledujete a možná i znáte – často je to účet, se kterým jste se měsíce vzájemně bavili. Jeho profil vypadá skutečně, s autentickými fotografiemi a aktivitou. Možná jste si dokonce dříve vzájemně lajkovali příspěvky.

To není náhoda, protože podvody, jako je tento, zneužívají důvěru jako zbraň.

Past: falešná volební stránka

Jakmile souhlasíte s pomocí, pošlou vám odkaz, který připomíná hlasovací stránku. Něco jako vanc-vote4me[.]wuaze[.]com.

Po kliknutí na něj se můžete dostat na stránku pečlivě vyladěnou tak, aby odpovídala scénáři. V našem případě stránka obsahovala následující prvky, které měly za cíl nalákat nic netušící uživatele:

  • Falešný počítač hlasů („5678 z 5688!“) k nastolení naléhavosti
  • Kolotoč náhodných falešných voličů k posílení iluze legitimity
  • Možnosti hlasování přes Instagram, Facebook nebo přihlášení e-mailem

S těmito prvky se obvykle setkáte na legitimních volebních stránkách. Veškeré přihlašovací údaje, které na těchto webových stránkách zadáte, jsou však odeslány přímo podvodníkovi.

Výběrem kterékoli z možností hlasování budete vyzváni k přihlášení pomocí svého e-mailového účtu Facebook, Instagram nebo Microsoft.

Proč podvod „hlasujte pro mě“ funguje tak dobře

Většina lidí by namítla, že podvod „hlasujte pro mě“ je líný. Má několik složek, díky kterým je snadno odhalitelný, a zkušený uživatel dokáže lest prohlédnout. Jeho design však působí osobně a naléhavě, což jsou dva z nejběžnějších nástrojů podvodníků.

Podvodné útoky typu „Volte pro mě“ na sociálních sítích obvykle sledují tuto strukturu:

  • Zpráva pochází od někoho známého nebo od někoho z vašeho seznamu vzájemných přátel
  • Falešná volební stránka může vypadat trochu divně, ale je dostatečně přesvědčivá, aby se dala smířit s tím, že je neškodná.
  • Emoční signály (emoji, zdvořilý tón) vás mohou zmást
  • Možnosti přihlášení jsou pohodlné; stačí jedno kliknutí, že?

Útočníci v zákulisí získávají vaše přihlašovací údaje a neztrácejí čas přihlášením k vašim účtům. Pokud nemáte povoleno dvoufaktorové ověřování (2FA), jsou uvnitř.

Co se stane dál?

Jakmile se útočníci dostanou k vašemu účtu, mohou vám způsobit spoustu škody, která může snížit vaši důvěryhodnost nebo vám dokonce znemožnit jeho obnovení, a to následujícími způsoby:

  • Změna hesla a zablokování přístupu
  • Využití účtu k podpoře podvodu posíláním soukromých zpráv přátelům se stejným háčkem a návnadou
  • Občas blokují lidi, kteří by je mohli odhalit, nebo dokonce deaktivují účty, které byly zjevně napadeny hackery, aby zahladili své stopy.

Pokud se útočník zmocní vašeho účtu, bohužel může napáchat větší škodu než jen změnu hesla. Pokud váš účet použije k šíření podvodu, seznam vašich sledujících se může začít zmenšovat, protože ztrácíte jejich důvěru. Váš účet může být dokonce nahlášen. Jakmile se touto cestou vydáte, může být obtížné znovu získat důvěryhodnost.

Jak se chránit

Zde je několik běžných kroků, které můžete podniknout, abyste se nestali obětí podvodu typu „hlasujte pro mě“ na sociálních sítích nebo jiných škodlivých pokusů:

  • Nikdy se nepřihlašujte přes odkazy z DM, a to ani ze vzájemných zpráv. Zeptejte se jich v hlasové zprávě nebo přes jinou aplikaci, zda je to legitimní, a i tehdy byste měli zůstat opatrní.
  • Zkontrolujte doménu.
  • Použijte Bitdefender Scamio, bezplatného chatbota s umělou inteligencí, který dokáže kontrolovat odkazy, zprávy nebo snímky obrazovky a hledat známky podvodů. Funguje přes webFacebook Messenger a WhatsApp.
  • Zapněte vícefaktorové ověřování (MFA) pro všechny své účty.
  • Nahlaste napadené účty přímo Instagramu.
  • Pokud jste již zadali své přihlašovací údaje, okamžitě změňte hesla a zkontrolujte podezřelé přihlášení.
  • Nainstalujte si do telefonu Bitdefender Mobile Security, abyste automaticky blokovali phishingové odkazy, škodlivé webové stránky a pokusy o podvod, zejména ty, které se vám do zpráv dostanou z důvěryhodných účtů. Mobile Security je k dispozici pro zařízení iOS a Android.

Varovné signály na falešných přihlašovacích obrazovkách

Pokud jste technicky zdatní, phishingové přihlašovací stránky pro Instagram, Facebook a e-mailové účty se vám mohou zdát… divné. Následující signály vás mohou upozornit, že něco není v pořádku:

  • Fonty jsou trochu špatně.
  • Tlačítka se nechovají jako skutečná (v našem případě jste museli kliknout mírně nad tlačítkem).
  • U některých verzí není HTTPS visací zámek (ta naše měla platný HTTPS certifikát).
  • Někdy stisknutí tlačítka „Zapomněli jste heslo?“ vůbec nic nezmění.

Navíc v našem scénáři vám možnost e-mailu umožňuje „přihlásit se“ pouze pomocí účtu Microsoft – žádný Gmail, žádný Yahoo, nic jiného. To je u legitimní „hlasovací“ platformy dost do očí bijící přehlédnutí, ale je to přesně ten detail, který by běžný uživatel mohl přehlédnout.

Realita je taková, že tyto stránky nejsou navrženy tak, aby vydržely kontrolu. Aktéři útoků je vytvářejí narychlo špatným kopírováním legitimních návrhů a spoléhají na to, že oběti budou spěchat nebo rozptýleny, aby se dostaly do jejich pasti. Právě proto jsou emocionální apely a naléhavé signály (např. „Zbývá už jen 10 hlasů!“) tak zásadní pro jejich úspěch.

Až se příště ocitnete na přihlašovací stránce nebo narazíte na výzvu k zadání citlivých údajů, ustupte a znovu to zhodnoťte. Můžete se stát obětí klasického podvodu.

Závěrečné myšlenky

Podvodníci neustále vymýšlejí nové způsoby, jak oklamat nic netušící uživatele, a podvod „hlasujte pro mě“ není výjimkou. I když postrádá složitost, působí povědomě a má dostatek naléhavosti, aby vás vyvedl z míry.

Nezapomeňte, že útočníci se spoléhají na váš instinkt a důvěřují lidem, které sledujete. Takže až vás příště někdo požádá o rychlou laskavost prostřednictvím soukromé zprávy, nadechněte se, zkontrolujte odkaz a buďte ve střehu.

Často kladené otázky o podvodech na Instagramu

Co je to podvod „udělejte mi laskavost“ na Instagramu?

Podvod s názvem „udělejte mi laskavost“ na Instagramu je klasický klišé, kdy útočníci žádají uživatele o okamžitou akci, a zneužívají pocit naléhavosti k tomu, aby uživatele přiměli k tomu, aby zmírnili ostražitost. Mohou požadovat citlivé údaje, informace o dárkových kartách nebo dokonce přímé platby.

Jak poznat, že se na Instagramu jedná o podvodníka?

Identifikace podvodníka, který vám píše na sociálních sítích, může být snazší, pokud se naučíte rozpoznávat varovné signály. Žádosti o citlivé údaje nebo peníze by měly být vždy považovány za podezřelé. Falešné zprávy navíc často obsahují pravopisné a gramatické chyby. Měli byste si také dávat pozor na podezřelé odkazy.

Mohou vám lidé na Instagramu ukrást informace?

Ano, lidé mohou k odcizení vašich informací použít sociální inženýrství a phishingové taktiky, a to nejen na Instagramu, ale i na jakékoli jiné platformě (Facebook, Snapchat, Twitter, e-mail). Pro více informací nás neváhejte kontaktovat.

Zdroj: Bitdefender