Phishing na Facebooku, Instagramu a jiných sítích

Phishing na Facebooku, Instagramu a jiných sítích

Aktualizováno: 23.6.2024

S falešnými zprávami od společnosti Meta se za posledních pár týdnů opravdu roztrhl pytel. Jedná se o phishing, resp. phishing na Facebooku, tedy o nekalou internetovou praktiku s cílem získat citlivá data a informace. Pokud jste se i vy stali cílem phishingového útoku, tento článek vám pomůže se zorientovat.

Obsah

1. Proč existuje phishing na Facebooku, Instagramu a jiných sítích
2. Jak se chránit před phishingem
3. Jak poznat phishing
4. Příklady phishingu na platformách Meta
5. Důsledky phishingu pro stránky na Facebooku – potenciální hrozby otevření odkazu
6. Jak se zachovat, když vám přijde podvodná zpráva
7. Co dělat, když jste odkaz otevřel/a, případně proces dokončil/a
8. Ověřené a bezpečné e-maily
9. Doporučené zdroje

Proč existuje phishing na Facebooku, Instagramu a jiných sítích 

Marketingové stránky často obsahují citlivé informace o klientech a obchodních partnerech, což může být cenný cíl pro útočníky. Phishingové útoky mohou cílit na obsah stránek, získávat přístup k citlivým datům a ovládat reklamní kampaně. Mohou tak způsobit vážné finanční ztráty a mj. narušit pověst a důvěryhodnost stránek. Úspěšný phishingový útok nemá pouze okamžité finanční následky, ale může také dlouhodobě poškodit pověst vaší firmy.

Jak se chránit před phishingem

Možnosti zabezpečení účtu

Nastavení dvoufaktorové autentizace. To prakticky znamená, že pro přihlášení z neznámého prohlížeče/počítače budete muset použít 2 informace. Např. vaše heslo a kód z SMS. Existuje několik možností, tohle jsou ty nejčastější.:

• Dvoufaktorové ověření
• Autentizační aplikace

Jak se chovat zodpovědně ke svým účtům na sociálních sítích jsme sepsali v tomto článku.

Pravidelná aktualizace hesel, vyhněte se snadno uhádnutelným kombinacím. Typické pro hesla je velké písmeno na začátku a číslo na konci o 1-4 cifrách. Pokud i vaše heslo vypadá takto, je čas na jeho změnu. Kvalitní heslo si lze vygenerovat např. na stránkách Avastu.

Kontrolujte URL odkazy. Před kliknutím na jakýkoliv odkaz nejdříve zkontrolujte, na jakou stránku odkazuje. Operační systém Windows i iOS by Vám po podržení myši na daném odkaze měl nabídnout jeho celý tvar, viz obrázek níže. Zde můžeme vidět, že odkaz vede na doménu s koncovkou .sh. Takový odkaz zcela jistě nebude oficiální, je to národní doména ostrova Svatá Helena.

Jak nastavit dvoufaktorovou autentizaci na Facebooku:

1. Přihlaste se do svého účtu na Facebooku
2. Přejděte na tento odkaz
3. Klepněte na „Heslo a zabezpečení”
4. Vyberte „Dvoufázové ověřování“
5. Vyberte účet, ve kterém chcete dvoufázové ověřování nastavit
6. Nastavte dle preferencí – telefonní číslo nebo autentizační aplikace

Ač doporučujeme nastavení skrze autentizační aplikaci, rozumíme, že pro některé uživatele může být nastavení této možnosti komplikované. Pokud jste méně zkušený uživatel, vystačíte si s ověřením pomocí SMS. Pokud si ale chcete být opravdu jistí, že je váš účet zabezpečený, požádejte někoho ve svém okolí o pomoc s nastavením autentizační aplikace.

Proč mít autentizační aplikaci?

V uplynulých týdnech docházelo k přerušení služby zasílání kódů do SMS z Facebooku a jediným jistým způsobem zůstalo ověření skrze externí aplikaci – doporučujeme Duo Mobile, LastPass nebo Google Authenticator. Nainstalujte aplikaci a vraťte se do nastavení Dvoufázového ověřování. Dále postupujte podle pokynů k nastavení a klikněte na Další. Pak jen stačí zadat kód vygenerovaný z aplikace a je hotovo. Pokud již dvoufázové ověření používáte, stačí jen změnit způsob ověření na autentizační aplikaci – celý postup najdete zde.

Jak zamezit spamům od uživatelů Guest XXXX na Facebook Messengeru

Ač se zatím (k 17.1.2024) nedá zamezit všem falešným zprávám, lze zamezit alespoň některým z nich. Zprávám od nepřihlášených uživatelů zamezíte vypnutím možnosti odesílat zprávy na tomto odkaze. Přejděte do sekce „Přizpůsobte si plugin chatu“ a vypněte chat pro hosty.

Jak poznat phishing

• Zdůraznění tvrzení o porušení pravidel stránky
• E-mail/jméno odesílatele je v nestandardním tvaru
• Neobvyklé formátování zprávy
• Chyby v gramatice, pravopisu a správnosti informací
• Neobvyklé slovní obraty
• Urgence sdělení

Připravili jsme pro vás 30+ příkladů phishingu, kde přesně uvidíte konkrétní falešné zprávy. Poznat phishing na Facebooku je tak ještě jednodušší:

Příklady phishingu na platformách Meta

Phishing ve Facebook Messenger

Pro nás marketéry je velmi jednoduché rozpoznat tento phishing na první pohled. Mezi rozpoznávací znamení patří především neobvyklé jméno odesílatele, emoji ve sdělení a neobvyklé formátování. Pamatujte, že pokud o to sami nepožádáte, podpora Meta platforms s vámi přes Messenger komunikovat nebude. Není to hlavním komunikačním kanálem.

Phishing v e-mailové schránce v českém jazyce

Na ukázce č. 2 máme hned několik znaků odhalující phishing. Prvním z nich je neobvyklý slovní obrat. Slovní spojení “Společenské normy” Meta nepoužívá. Pokud se budete snažit zadat toto slovní spojení do vyhledávače Google, výsledky ničemu nenapovídají, že Meta toto slovní spojení používá.

Dalším ze znaků pro rozpoznání phishingu je zdůraznění tvrzení, což v e-mailu na obrázku reprezentuje věta “Tyto přestupky bereme velmi vážně”. Mají za cíl vyvolat ve vás unáhlenou reakci kliknutí na tlačítko pod odstavcem. Stejný cíl má i umělé vyvolání urgence: “Prosíme Vás, abyste do 24 hodin potvrdil(a).“

Pokud si nejste jistí, zda se jedná o phishing, ověřte si správnost informací uvedené v e-mailu. Např. správný název firmy. Název Facebook, Inc. je nesprávný. Společnost používá název Meta Platforms, Inc., dříve také Facebook, Inc. (do roku 2005) a TheFacebook, Inc. (do roku 2021). E-mail na snímku obrazovky níže tak využívá zastaralého názvu firmy.

Phishing v e-mailové schránce v anglickém jazyce

Znaky pro rozpoznání phishingu jsou na posledním snímku obrazovky podobné, jako na snímku předchozím. Jedná se o nesprávné slovní obraty, vyvolání urgence a použití nesprávné informace. Na adrese 229 Park Ave S New York, NY 10007. Sami se můžete přesvědčit, co na takové adrese v New Yorku je – nic zajímavého 🙂

Na obrázek výše jsme přidali i e-mailovou adresu, z které je e-mail odeslaný. E-mail je v neobvyklém tvaru a končí na @outlook.com. Použití koncovky @outlook.com společností Meta je velmi nepravděpodobné. Pro vaší firmu, ve které pracujete, také nevyužíváte tuto koncovku, ač v MS Outlook pravděpodobně pracujete.

Důsledky phishingu pro stránky na Facebooku – potenciální hrozby otevření odkazu

Nepodceňujte prosím důležitost ochrany proti phishingu. Ať té aktivní (rozpoznání podvodu) nebo té pasivní (nastavení autentizace apod.). Případy, kdy se útočníci dostanou do vašeho reklamního účtu, se opravdu dějí a to i klientům ViVa marketing. Toto jsou možné následky, pokud bude phishingový útok úspěšný:

1. Ovládnutí reklamních kampaní a následné finanční ztráty – Nejčastěji útočníci s pomocí vaší platební karty v Meta Business Manager spustí reklamy na své nebo přímo na vaše vlastní stránky za účelem získání dat pro vlastní účely. Možnost vrácení vašich finančních prostředků samozřejmě existuje. Nutno ale říci, že bez marketingové agentury je tento proces opravdu komplikovaný a že se vaše šance na vrácení finančních prostředků s marketingovou agenturou značně zvyšuje. Marketingové agentury mají speciální přístup k Meta podpoře, který běžný inzerent nemá.
2. Ztráta důvěryhodnosti v očích zákazníků – V případě, že se útočníci zmocní vaší stránky na Facebooku, či Instagramu, mohou zveřejňovat všelijaký obsah. Tento obsah může být např. citlivým videem, politickými názory, odkazy na zahraniční weby apod. Uživatelé samozřejmě poznají, že vaše stránka byla napadena, což má za následek ztráty důvěry k vám.
3. Zvýšení času průměrné odpovědi stránky – Facebook stránka a Facebook Messenger uživatelům říká, jak dlouho průměrně trvá, než někdo z dané firmy odpoví na jejich zprávu. Tím, že na phishingové zprávy nereagujete, zbytečně si prodlužujete tuto dobu.
4. Možné právní důsledky – Phishingové útoky mohou způsobit únik citlivých informací o vašich klientech. Toto může v nejhorším případě vést k právním důsledkům.

Jak se zachovat, když vám přijde podvodná zpráva

Jakmile si uvědomíte, že jste obdrželi podezřelou zprávu, je klíčové dodržovat určitá bezpečnostní opatření, abyste minimalizovali rizika. Prvním krokem je zachovat klid a nepropadat panice. Pokud zpráva obsahuje odkaz, neklikejte na něj. Namísto toho prověřte všechny detaily zprávy, zejména e-mailovou adresu odesílatele, obsah zprávy a jakékoliv další neobvyklé prvky zmíněné v odstavci výše. Neprovádějte žádné akce, které jsou ve zprávě uvedeny, zejména pokud se týkají údajů o přihlášení nebo osobních informací.

Co dělat, když jste odkaz otevřel/a, případně proces dokončil/a

Pokud jste klikli na odkaz nebo vyplnili citlivé informace, okamžitě odpojte své zařízení od sítě. To může zabránit šíření potenciálního malware nebo dalších hrozeb.

Na jiném zařízení si okamžitě změňte hesla ke všem účtům, ke kterým jste používali stejné přihlašovací jméno i heslo. Tím minimalizujete riziko neoprávněného přístupu na vaše účty.

Pomocí vašeho antivirové programu proveďte skenování svého zařízení, abyste identifikovali a odstranili potenciální malware či jiné hrozby.

Důkladně v následujících týdnech kontrolujte stav svého reklamního účtu a také stav své platební karty. Pokud uvidíte podezřelé transakce, okamžitě kartu zablokujte.

Ověřené a bezpečné e-maily

Níže je výčet několika námi ověřených e-mailů, jejichž obsah bude bezpečný. Tyto e-mailové adresy nejsou nástrojem kontaktování Meta Platforms:

• pageupdates@facebookmail.com
• advertise-noreply@support.facebook.com
• notification@facebookmail.com
• case++IDpřípadu@support.facebook.com – ID případu máte v případě, že jste s Facebook podporou v aktivním spojení. Z tohoto e-mailu vám nepřijde email sám od sebe, přijde pouze na základě předchozí komunikace.

Doporučené zdroje

• Pokyny Facebooku pro bezpečné a ohleduplné chování
• Jak se vyhnout scamům a phishingovým útokům na Facebooku