Facebook, wakacje i… przejęcie WhatsApp

Oszustwo na Facebooku? Jasne, nic nowego. Sieć – włączając w to nasz serwis – pełna jest ostrzeżeń przed kolejnymi scamami prezentowanymi w największym serwisie społecznościowym. Tym razem eksperci CERT Orange Polska trafili na nowy, wakacyjny motyw. Wydaje się grubymi nićmi szyty, ale można stracić kontrolę nad swoim kontem WhatsApp.
Wakacje już w połowie za nami, ale być może niektórzy jeszcze rozważają dokąd wyjechać. Do takich osób może trafić analizowana przez nas reklama na Facebooku. To krótki film, opatrzony spokojną muzyką i sielskimi obrazkami, pozornie zapraszający do wypoczynku na Mazurach.

Wakacje, jezioro i WhatsApp
Bezkres jeziora, prywatny pomost, 70% zniżki… Ale skąd ten WhatsApp? Być może po prostu właściciel pensjonatu preferuje kontakt przez ten popularny komunikator? Sprawdźmy to:

Zaloguj się, by rozpocząć czat? Z jednej strony teoretycznie nie musi to budzić obaw. Z drugiej jednak – jeśli mamy zainstalowaną aplikację WhatsApp to dlaczego pojawia się jakaś dziwna strona? Jeśli wyrobiliście w sobie odruch przestrzegacie dobrych praktyk bezpieczeństwa, być może zdążyliście już spojrzeć na adres witryny na powyższym zrzucie. I domyślacie się, że whatsloginpl[.]com to nie jest strona komunikatora!
Przede wszystkim zaś instrukcja poniżej nie dotyczy dołączania do czatu. To opis… dołączania urządzenia zewnętrznego do konta WhatsApp! Właściwa strona w przypadku podłączania konta WhatsApp do komputera to https://web.whatsapp.com/, można też skorzystać z aplikacji na PC. W przypadku zaufanego łączenia konta komunikatora z komputerem preferowaną metodą jest kod QR.
Tutaj go nie ma – nawet gdyby oszust go nam wysłał, nie zeskanujemy go telefonem, na którym go otrzymamy. Opis nie opisuje zatem połączenia przy użyciu kodu QR. W miejsce tego precyzuje, by ofiara weszła w „dołączone urządzenia” i wybrała „zamiast tego połącz, używając numeru telefonu”.

Jeśli skopiujemy podany kod i wpiszemy w komunikatorze, nasz WhatsApp de facto wpadnie w ręce oszusta.
Po co kraść dostęp do WhatsApp?
Po to, że da on przestępcy pełny dostęp do wszystkich naszych wiadomości. Przede wszystkim to naruszenie prywatności, de facto wtargnięcie „z drzwiami” do naszej intymności, możliwość przeczytania treści, które zachowujemy dla siebie i rozmówców. Dla oszusta kluczowy jest jednak fakt, że nasz WhatsApp będzie mógł mu służyć do działań przestępczych.
Jak? Choćby w oszustwach „na OLX”, podszywając się pod kupującego, który miał rzekomo zapłacić za towar i podsyła ofierze link do fałszywej strony, skąd wykrada dane karty płatniczej (w wersji optymistycznej) lub logowania do banku (pesymistycznej). Przy odpowiedniej koordynacji działań i nieuwadze ofiara może nawet nie zauważyć, że ktoś korzystał z jej WhatsAppa – jeśli oszust odpowiednio szybko załatwi sprawę i usunie treści.
Jak nie dać się oszukać?
Czytać ze zrozumieniem! Zdaję sobie sprawę, że to może brzmieć brutalnie, ale naprawdę – to, co widać na zrzutach ekranu z WhatsAppem to szczegółowy opis, precyzujący, co będzie się działo! To sytuacja taka, jak w przypadku podłączania nowej aplikacji mobilnej jednego z polskich banków. Dzwoni telefon i IVR kilkukrotnie ostrzega, że łączymy aplikację mobilną z kontem i by rozłączyć się, jeśli ktoś żąda od nas tego PIN-u.
Okno z kodem do WhatsApp to ostatnie, absolutnie największe ostrzeżenie. Mniejsze widać już wcześniej. Reklama pochodzi z konta „Fufng”, z 3 polubieniami, reprezentującego… bar w 17-tysięcznym New Port Richey na przedmieściu Tampy na Florydzie. Jak to się ma do Mazur? No… nijak. To oczywiście tylko jeden z przykładów – nazwy się zmieniają, liczby polubień też, ale schemat regularnie się powtarza.

O czym warto zapamiętać?
- Nie ufaj reklamom, pokazującym (przesadnie) wielkie promocje
- Masz wątpliwości – kliknij w reklamodawcę i sprawdź, czy jego dane mają cokolwiek wspólnego z prezentowaną reklamą
- Ktoś chce od Ciebie loginów, haseł, czy PINów? Sprawdź adres strony, przeczytaj informację do czego są potrzebne te dane?
- Logujesz się do banku i/lub podajesz dane karty płatniczych – rób to wyłącznie na stronach banku, potwierdzonego sklepu lub pod znanym adresem bramki płatniczej
Pamiętaj, że wakacje to czas relaksu, ale bezpieczeństwo Twoich danych jest najważniejsze. Bądźcie czujni i nie dajcie się oszukać.