20/3/2024
Wczoraj ok. godziny 20:00 na Facebooku miasta Piekary Ślaskie, pojawiło się tzw. story, w formie krótkiego filmiku z roznegliżowaną panią:
Jak do tego doszło?
Oczywiście wszystkich najbardziej interesuje, jak taki post został opublikowany. Czy była to pomyłka, czy celowe działanie? Tego być może dowiemy się z oficjalnego komunikatu Piekar Śląskich niebawem, a na razie pozostaje nam wymienić wszystkie możliwe hipotezy:
- To post obrażonego pracownika, który chciał zaszkodzić miastu. Tę hipotezę oceniamy jako małoprawdopodobną, bo uprawiający vendettę pracownicy zazwyczaj wrzucają posty, podmieniają zdjęcia profilowe i wylewają swoje żale na różne sposoby. A tu jest tylko jedna storiska. Ci, których wieczorową porą “zhackował Johny Walker” za to szybko posty-wybryki kasują i piszą oświadczenia o ataku hakerskim.
- Odgadnięto hasło pracownikowa obsługującego konto na Facebooku. Przestępcy cały czas wykonują ataki “credential stuffing“, czyli biorą dane z różnych wycieków (np. Morele) i sprawdzają czy na dane (e-mail ofiary i hasło) da się zalogować także do innych serwisów, w tym, Facebooka. W tym wypadku winny byłby pracownik, który popełnił grzech główny internetu — miał to samo hasło do każdego serwisu i co gorsza, nie miał włączonego dwuskładnikowego uwierzytelnienia nawet w najsłabszej jego postaci.
- Pracownik obsługujący Facebooka się pomylił, filmik miał dodać na inne (swoje) konto. To też słaba hipoteza, bo sam filmik jest generyczną reklamą pewnego serwisu, którego celem jest wyłudzenie pieniędzy od osób zwabionych tym, że spodobały się im widoczne na nagraniu części ciała. Te reklamy od lat pojawiają się w wielu miejscach (dokładnie ta sama docelowa strona była linkowana przez wiele rządowych (!) serwisów rok temu, w tym przez NFZ) i często pojawiają się na profilach i stronach niczego nieświadomych osób bo…
- Pracownik obsługujący Facebooka w coś kliknął (np. w szokującą wiadomość, np. o porwaniu dziecka w Katowicach albo śmierci posła Mentzena) i złapał się na phishing w postaci np. takiego komunikatu:
Musisz się zalogować do Facebooka, aby zobaczyć drastyczne nagranie z tego wydarzenia
Takie zalogowanie to oddanie danych do konta botowi, który rozpyla na nim scamerskie filmiki, nie zawsze natury cielesnej (w najlepszym wypadku), a w najgorszym puszcza reklamy kolejnych scamów z konta ofiary i podpiętej do niego karty płatniczej lub oszukuje znajomych ofiary (w przypadku profili prywatnych) metodą “na Blika” lub podobnymi. Tu warto dodać, że ten atak może się udać nawet jeśli ktoś ma włączone dwuskładnikowe uwierzytelnienie w postaci kodu SMS lub kodu z aplikacji. Przed tym atakiem chroni tylko skonfigurowanie dwuskładnikowego uwierzytelnienia w formie klucza U2F.
Czym jest taki klucz i dlaczego warto go podpiąć jako drugi składnik do ochrony konta GMail i Facebook. O tym tu:
- Pracownik obsługujący Facebooka zainstalował jakąś aplikację na komputerze lub jakiś dodatek do przeglądarki, a te okazały się być złośliwe. Takie aplikacje/dodatki są w stanie wykraść token sesyjny do Facebooka i w ten sposób uzyskują kontrolę nad kontem. Przed dobrze napisanym złośliwym oprogramowaniem zwykły użytkownik komputera nie ma ochrony — nawet antywirusy nie dadzą rady.
Taki atak mógł też być wynikiem przejęcia / włamania do aplikacji firmy trzeciej (np. Buffera) która specjalizuje się w automatyzacji wrzucania postów jednocześnie na różne profile danej marki, np. Facebooka, Instagrama, Twittera, etc. Ale w takich sytuacjach zazwyczaj skutki widoczne są w całym internecie (bo atakowani są wszyscy użytkownicy takiej aplikacji), a jak na razie nie widzimy, aby liczba przejętych kont na Facebooku od wczoraj dramatycznie wzrosła.
Jeśli chcesz wiedzieć jak zabezpieczyć się przed przejęciem swoich kont w internecie i utratą zarówno prywatności jak i pieniędzy, to wpadnij na nasz bestsellerowy wykład Jak nie dać się zhackować?. Trwa 3 godziny, ale nauczy Cię wszystkiego, co każda osoba chcąca bezpiecznie korzystać z internetu prywatnie i służbowo musi wiedzieć. Zobacz pełną agendę klikając tu. Z kodem PIEKARY taniej, ale tylko dziś :) Poniżej lista miast w których organizujemy ten wykład:
Problem leży gdzie indziej
Konta na Facebooku są hackowane. Od dawna. I będą hackowane w przyszłości. Skutki takich ataków, którymi może być panika, kradzież danych lub pieniędzy od innych, to jednak tylko w części wina nieroztropnego administratora, który dał się nabrać na phishing — a nabierają się nawet ministrowie cyfryzacji. Po części za udane ataki odpowiada sam Facebook.
Filmik (a dokładniej, dwa filmiki) wiszą już kilkanaście godzin. Patrząc po samej liczbie zgłoszeń tego incydentu do naszej redakcji, wieść o nietypowym poście rozeszła się szybko — zgadujemy że niejedna osoba “zaraportowała” też tę storiskę do Facebooka. Urzędnicy, wiadomo, wieczorem nie pracują, więc to że gorszący mieszkańców wpis usuną dopiero dziś nas nie dziwi (choć jest już po 8:00 a post dalej wisi). Dziwi za to i smuci, że moderacja Facebooka znów pokazała, że jest fikcją…
Mam konto na Facebooku, co robić, jak żyć?
Przede wszystkim włącz dwuskładnikowe uwierzytelnienie, nawet jeśli nie możesz ustawić go w najtrudniejszym do obejścia wariancie — w formie klucza U2F — to włącz choćby kody przez SMS. One też pomogą w niektórych przypadkach.
I pilnuj się, jakie dodatki do przeglądarki instalujesz. Jeśli Facebook jest podstawą Twojego biznesu, który utrzymuje Ciebie i Twoją rodzinę, to naprawdę niegłupim pomysłem będzie logować się na niego wyłącznie ze smartfona, a jeśli nie jest to dla Ciebie zbyt wygodne, to z dedykowanego profilu w przeglądarce, na którym nie ma zainstalowanych żadnych dodatków, nawet tych zaufanych. Ochroni Cię to przed sytuacją, że jeden z niezłośliwych dodatków, nagle się uzłośliwia, bo ktoś zhackował jego developera, albo kupił od niego biznes (takie sytuacje już się zdarzały).
Weź udział z kolegami w jednym z naszych 8 cyberwykładów. Wiedzę podajemy z humorem i w przystępny dla każdego pracownika sposób. Zdalnie lub u Ciebie w firmie. Kliknij tu i zobacz opisy wykładów!
Każdy powinien zobaczyć te webinary! Praktyczna wiedza i zrozumiały język. 6 topowych tematów — kliknij tutaj i zobacz szczegółowe opisy oraz darmowy webinar.
Trochę słabo się znam, ale czy jeśli ktoś wykradł ciasteczko (np. przez szkodliwe rozszerzenie w przeglądarce) to czy mógłby się dostać do profilu i wrzucić filmik?
Wydaje mi się, że kradzież ciasteczek zalogowanej sesji jest bagatelizowane przy sposobach na dostanie się na konto.
Zależy czy serwer potrafi zorientować się, że ciastko nagle pojawiło się na innym adresie IP.
Z reguły serwery tego nie robią. W przypadku logowania na telefonie ip ciągle się zmienia: raz jesteś w domu, raz w pracy a po drodze na internecie mobilnym. W takiej sytuacji ciężko to zaimplementować. Lepiej już sprawdzać wybrane dane z fingerprintu przeglądarki.
U mnie fingerprint zmienia się z każdym ruchem nawigacyjnym, często dochodzi Mullvad na cały ruch z jakimś losowym krajem od Ameryk po Australię, FB nie narzeka.
Jak zmieniasz fingerprint przeglądarki? Ja kiedyś używałem Random Agent Spoofer
Zazwyczaj serwery nie sprawdzają czy ciastko nagle zmieniło właściciela, ponieważ ciężko by było skutecznie zaimplementować taki mechanizm jednocześnie nie denerwując użytkowników.
Zamiast tego blokuje się możliwość kradzieży ciasteczka ustawiając atrybut ‘http only’. Oznacza to, że ciasteczko nie może być wykorzystywane przez żaden skrypt. Tak więc nawet złośliwa wtyczka w przeglądarce nie będzie miała do niego dostępu, ponieważ przeglądarka tego dostępu nie udzieli.
Apropos wspomnianych w artykule postów fejsikowych o pożegnaniu panicza Mentzena – kilkukrotnie razy robiłem na to zgłoszenie i za każdym razem dostawałem z FB info zwrotne, że oni nie dostrzegają nic złego w tych “reklamach”, więc żadne kolejne działania nie będą podejmowane = po prostu parodia i paranoja w jednym! o.0
To było już wcześniej, bo o 18.18 zgłosiłem to na maila UM. Możliwe że wyświetliło mi się to wcześniej bo obserwuje bodajże ten fp bo to moja rodzinna miejscowość.
To było już koło 18.
Weszła już druga rolka…
Ten admin w urzędzie chyba ma wolne bo jest już drugi filmik a na bipie jest taka ciekawostka https://bip.piekary.pl/?c=1126
Co ma Admin z urzędu wspólnego z FB? skoro nie mają dostępu, to jedynie pozostaje czekać na odzew z FB. Jak poczytasz na stronie i ew. blogu prezydenta, to będziesz wiedział, że sprawy się toczą.
czy klikając w link mogłem zostać shackowany? przekierowało mnie na stronę z dziwnym ciągiem znaków. Virus total sygnalizuje, że malicious.
Istnieje jeszcze jedna opcja na przejęcie “firmowego” konta. Ktoś (admin konta na FB) mógł dodać/zaprosić czyjś profil do zarządzania kontem na FB. Następnie takiemu komuś włamano się na konto i gotowe, mają dostęp również do oficjalnego/firmowego konta fb (przełączanie kont nie wymusza podania hasła)
W każdym razie zawsze najsłabszym ogniem w zapewnieniu cyberbezpieczeństwa jest człowiek – nawet pomimo szkoleń i zabezpieczeń. Współczuję tylko działowi IT, bo pewnie niezasłużenie wyleje się na nich wiadro pomyj. :/
Technicznie to jest to samo, co opisany u nas przedostatni lub ostatni wariant.
“stnieje jeszcze jedna opcja na przejęcie “firmowego” konta. Ktoś (admin konta na FB) mógł dodać/zaprosić czyjś profil do zarządzania kontem na FB. Następnie takiemu komuś włamano się na konto i gotowe”
Ciekawe i bardzo prawdopodobne…
Tak czy inaczej, Piekary “wylansowane” wstecznie w temacie security haha.
Moze wreszcie zloza jakies “oswiadczenie” w tej sprawie ?
Pozdr.