Kwietniowy wyciek danych z Facebooka co i rusz daje się we znaki właścicielom sklepów internetowych. Był to o tyle nietypowy incydent, że wraz z danymi osobowymi wyciekły też numery telefonów.
Zaatakowana został ogromna baza danych osobowych Facebooka, zawierająca imiona i nazwiska, daty urodzenia, adresy e-mail, numery telefonów, informacje o lokalizacji, dane biograficzne i wiele innych. Dane zostały udostępnione na jednym z forów hakerskich do darmowego pobrania.
Ofiarami tego cyberataku jest aż 533 mln osób z całego świata, wśród których znalazło się 2,7 mln Polaków. Urząd Ochrony Danych Osobowych radzi, aby uważać przy korzystaniu z usług, które wymagają uwierzytelnienia:
Użytkownicy powinni również zachować czujność podczas korzystania z usług, które wymagają uwierzytelnienia przy użyciu numeru telefonu lub adresu e-mail na wypadek, gdyby osoby trzecie próbowały uzyskać do nich dostęp
Fakt, że wypłynęły też numery telefonów, spowodował duże poruszenie wśród internautów, a w szczególności zaniepokoił właścicieli sklepów internetowych. Każdy sklep online ma swoją stronę firmową na Facebooku z publicznie dostępnymi danymi teleadresowymi. Problem pojawi się, gdy w niepowołane ręce wpadną prywatne numer telefonów właścicieli sklepów, które zazwyczaj nie są udostępniane. Wyciek danych z Facebooka zmroził sprzedawców online.
Numery z wycieku mogą trafić do baz danych firm parających się telemarketingiem. Uciążliwy spam, który w związku z tym nastąpi, będzie najmniejszym problemem właścicieli sklepów. Prawdziwą zmorą będzie, gdy dane zostaną wykorzystane przez przestępców do podszywania się pod inną osobę w celu wyłudzania pieniędzy.
Jeden z prostszych scenariuszy ataku polega na tym, że przestępcy inicjują zakup w sklepie wirtualnym na dosyć pokaźną kwotę, ale procedura opłaty za zamówiony towar jest w pewnym momencie przerywana, tak że pieniądze nie pojawią się na koncie sklepu.
Przestępcy, dysponując wszelkimi danymi, dzwonią do właściciela informując, że są w trakcie dokonywania przelewu, ale z jakichś od nich nie zależnych przyczyn system sklepowy odrzuca transakcję i w związku z tym zamawiający nie jest w stanie dokonać zakupu. Jest sfrustrowany i chce szybko zakończyć transakcję, albo całkiem z niej zrezygnuje. Tłumaczy przy tym, że sporadycznie zdarzały się problemy z przelewami z jego banku (jakaś mało znana w Polsce instytucja finansowa), ale dawno ten problem został rozwiązany i dokonał ostatnio z powodzeniem zakupów w innych sklepach.
Właściciel jest podekscytowany, bo sprzedaż idzie jak idzie, a tu w końcu pojawia się klient z prawdziwego zdarzenia i to z wypchanym portfelem, więc trzeba stanąć na głowie, by transakcja doszła do skutku. Oczywiście nie zwalnia to sprzedawcy z zachowania środków ostrożności, więc sprawdza w internecie podstawowe dane instytucji finansowej, a także profil użytkownika na Facebooku, Twitterze, czy LinkedIn, które nie będą budzić zastrzeżeń - profesjonalne przygotowanie stron i profili przeznaczonych do ataku to obecnie chleb powszednie współczesnego cyberprzestępcy.
Używając psychologicznej manipulacji, oszust jest w stanie przekonać, że w takich sytuacjach jego bank proponuje rozwiązanie awaryjne, polegające na wgraniu na telefon właściciela sklepu wtyczki, która pozwoli płynnie i bezpiecznie dokończyć transakcję.
Owa wtyczka okazuje się koniem trojańskim, który robi dziury w zabezpieczeniach systemu operacyjnego smartfona. Dalsza działania ograniczone są tylko pomysłowością oszustów, gdyż posiadając dostęp do telefonu komórkowego ofiary, są w stanie zrobić wszystko dysponując potężnym wachlarzem narzędzi hakerskich.
Dużo zależy też od umiejętności socjotechnicznych przestępcy. Dobrze urobionemu właścicielowi sklepu, oszust potrafi przelać 10% wartości zamówienia, tłumacząc później, że się pomylił i prosi o zwrot na podane konto. Nieświadoma oszustwa ofiara, wykonując przelew, przesyła przestępcy hasło do bankowości elektronicznej wraz z pinem do transakcji. Opornego na socjotechnikę sprzedawcę biorą na tzw. rympał. Usunięcie zabezpieczeń umożliwia zdalne wgranie w tle zaawansowanej aplikacji hakerskiej, pozwalającej bezszelestnie podglądać wszystkie działanie na smartfonie.
W każdym przypadku efekt końcowy jest ten sam. Konto bankowe ofiary zostanie wyczyszczone do zera, a jeżeli będzie możliwość zaciągnięcia kredytu, to przestępca skwapliwie z tego skorzysta. Dla świeżo upieczonego właściciela sklepu internetowego będzie to gwóźdź do trumny. Nie dość, że atrakcyjnie zapowiadająca się lukratywna transakcja nie doszła do skutku, to w dodatku właściciel został okradziony i być może zadłużony.
Scenariusze ataków cyberprzestępców można mnożyć. Ich źródłem zazwyczaj jest nie tylko nieuwaga i łatwowierność, ale również niewystarczająca dbałość o wrażliwe dane Twojego sklepu. Dlatego informacja o wycieku danych osobowych powinna zapalić czerwoną lampkę w głowie każdego przedsiębiorcy.
Mając na względzie stale rosnącą liczbę ataków hakerskich, portal eKup.pl opracował stosowny weryfikator (link w tekście) umożliwiający sprawdzenie, czy podany numer telefonu nie pojawił się gdzieś na forach hakerskich i tym samym, czy nie może posłużyć do cyberataków.
