Nie daj się hackerom na Instagramie

W ostatnich tygodniach o Instagramie znów zrobiło się głośno. Tym razem jednak nie z powodu nowych narzędzi reklamowych, czy ciekawych funkcjonalności oddawanych w ręce użytkowników. Głównym tematem stały się liczne włamania na profile.
14 września 2018

Coraz większa liczba użytkowników donosi o problemach z logowaniem do kont i brakiem możliwości odzyskania do nich dostępów. Okazuje się, że hackerzy po przeprowadzonym ataku skutecznie zmieniają podstawowe dane konta – login, nazwę konta, hasło, adresy e-mail (wg raportów na domeny .ru) i numery telefonów. W ten sposób skutecznie uniemożliwiają odzyskanie profilu tradycyjnymi metodami oferowanymi przez serwis.

Skąd wiadomo, że konto zostało przejęte?

W przypadku omawianych tutaj ataków, każdy przypadek ma bardzo zbliżoną charakterystykę. Użytkownicy próbujący dostać się do swojego konta zauważają, że są z niego wylogowani. Próby ponownego logowania, a następnie odzyskania hasła kończą się fiaskiem. Przy sprawdzaniu wyglądu profilu widać, że dodane zdjęcia pozostają nienaruszone. Zmienia się jednak zdjęcie profilowe – na takie z postacią z filmu Disneya lub Pixara.

Niestety do tej pory nie wiadomo w jaki sposób hackerzy włamują się lub zdobywają dostępy do profili użytkowników. Instagram ogłosił, że zdaje sobie sprawę z zaistniałej sytuacji, a zespół specjalistów pracuje nad jej rozwiązaniem i zabezpieczeniem kont.

Najczęściej spotykaną metodą ataków w takich przypadkach jest tzw. phishing. Na czym polega? Przestępca podszywa się pod przedstawiciela firmy – w tym przypadku pracownika Instagram i pod jakimś pretekstem wyłudza dane dostępowe od samego użytkownika. Jest więc prawdopodobne, że ofiary ataku „same” wpuściły hackerów – oczywiście nieświadomie. Taką teorię mogą potwierdzać spostrzeżenia specjalistów z Kaspersky Lab. Zaobserwowali oni pod koniec lipca (przed serią włamań) gwałtowny wzrost ataków phishingowych w sieci. 31 lipca ilość takich akcji skoczyła ze 150 do 600 dziennie.

Jak ochronić swój profil?

Jeśli staliśmy się ofiarą sierpniowych ataków, nie pozostanie nic innego jak wykonać odpowiednie zgłoszenie i liczyć na pomoc supportu Instagrama. Oczywiście można najpierw zasięgnąć informacji tutaj https://help.instagram.com/368191326593075. Warto jednak na przyszłość podjąć pewne kroki, które mogą uchronić przed akcjami hackerów, a przynajmniej zwiększyć bezpieczeństwo naszego profilu i zgromadzonych na nich danych.

  1. Otrzymujemy mail z informacją o zmianie hasła na naszym profilu. Jeśli to nie my przeprowadzaliśmy modyfikację, kliknijmy w wiadomości odpowiedni link, który przywróci poprzednie ustawienia a następnie (od razu!) samodzielnie zmieńmy hasło na nowe.
  2. Ustawiamy silne hasło. Ta rekomendacja pojawia się praktycznie zawsze w kontekście ochrony własnych danych. Ale jakie hasło jest silne? To kombinacja cyfr, liter i znaków o długości przynajmniej 6 pozycji (nieco więcej o budowaniu haseł możecie znaleźć w naszym wcześniejszym wpisie – https://www.ideoforce.pl/wiedza/wordpress-jest-popularny-ale-czy-bezpieczny,186.html).
  3. Włączamy uwierzytelnianie dwuskładnikowe. Pozwoli nam to na nadzór nad logowaniem do profilu w przypadku nieznanych urządzeń. O tym jak ustawić tę funkcję przeczytacie poniżej.
  4. Edytujemy ustawienia dostępu dla innych aplikacji. Może się zdarzyć, że aplikacje są tak naprawdę „przykrywką” dla narzędzi wyciągających dane. Koniecznie usuńmy dostępy do Instagrama dla aplikacji nieznanych firm i takich, co do których nie mamy w pełni zaufania. Generalnie rekomenduje się instalację oficjalnych aplikacji pobieranych z wiarygodnych źródeł.
  5. Nie udostępniamy danych logowania. Dane te są tylko do naszego użytku – nie udostępniamy ich w aplikacjach zewnętrznych, nie podajemy ich też osobom podającym się za administratorów serwisu czy aplikacji.
  6. Sprawdzamy adresy internetowe. Jeśli logujemy się na wybranej stronie, warto rzucić okiem na adres www i ocenić czy wygląda „naturalnie”. To często bagatelizowana praktyka, ale pomaga uniknąć obecności oszustów. Jak może wyglądać „nienaturalny” URL? Przykładowo zamiast instagram.com, mogą być przestawione znaki (np. instagarm.com) lub zmienione rozszerzenie domeny (np. instagram.net). W gruncie rzeczy to prosta praktyka stosowana przez oszustów, ale użytkownicy w codziennym pośpiechu niezbyt często zwracają uwagę na takie detale.
  7. Nie klikamy w linki z nieznanych źródeł i nie otwieramy podejrzanych załączników. Jeśli otrzymujemy jakiś link lub załącznik (plik), którego przeznaczenia nie znamy, nie wiemy jakie jest jego źródło / autor, a przede wszystkim nie prosiliśmy o niego – nie klikajmy! Zdarzają się sytuacje, że po kliknięciu w taki odnośnik może wydawać się, że nic się nie wydarzyło, a w rzeczywistości „w tle” instaluje się oprogramowanie zagrażające bezpieczeństwu naszych danych.
Prowadzimy profile społecznościowe naszych Klientów zgodnie z upodobaniem ich grup docelowych. Tylko wtedy działania mogą być skuteczne. Social media nie mają przed nami żadnych tajemnic.
Skontaktuj się

Uwierzytelnianie dwuskładnikowe

Instagram od dłuższego czasu umożliwia użytkownikom dodatkowe zabezpieczenie swojego profilu. Właśnie temu służy funkcja uwierzytelnianie dwuskładnikowe. Działanie mechanizmu jest bardzo proste: przy każdym logowaniu z nieznanego lub nowego urządzenia – oprócz podania loginu i hasła należy podać dodatkowy kod zabezpieczający (lub ewentualnie zapasowy) otrzymywany w wiadomości SMS, na podany numer telefonu.

Kod zabezpieczający otrzymywany jest doraźnie na prośbę użytkownika. Natomiast jeśli z jakiś powodów, wiadomość nie dotrze na autoryzowane urządzenie, możemy zalogować się na swój profil (z wcześniej zweryfikowanego źródła) i pozyskać kod zapasowy.

Jak uruchomić uwierzytelnianie:

  1. W aplikacji Instagram wybierz Ustawienia
  2. Znajdź pozycję „Uwierzytelnianie dwuskładnikowe”. Włącz tę funkcję.
  3. Jeśli wcześniej dodany został numer telefonu otrzymasz na niego SMS z kodem. Wprowadź go w aplikacji.
  4. Jeśli żaden numer nie został wcześniej przypisany, teraz będzie można go uzupełnić, a następnie poprosić o wysłanie kodu.

Analogiczną procedurę przechodzimy, kiedy chcemy wyłączyć funkcję uwierzytelniania. Aby otrzymać listę kodów zabezpieczających przypisanych do konta musimy oczywiście mieć aktywną funkcję uwierzytelnianie dwuskładnikowe. Kody znajdziemy w Ustawienia -> Uwierzytelnianie dwuskładnikowe -> Uzyskaj kody zapasowe.

Podsumowanie

Praktyki hackerów są szeroko urozmaicone. Nie da się im niestety całkowicie zapobiec, jednak warto mieć na uwadze sposoby utrudniające włamanie na profil. W wielu przypadkach nawet najmniejsze napotkane potyczki powodują zniechęcenie i szukanie innego celu. Pamiętajmy, że wszelkie działania w sieci powinny być przemyślane i odpowiednio zabezpieczone bez względu na to, czy mowa o aplikacji czy serwisie internetowym. Hackerzy czyhają na najmniejszy błąd użytkownika lub małą lukę w zabezpieczeniu, aby wykraść dane. Zatem miejmy się na baczności.

Bezpieczeństwo na Instagramie

Daniel Kazanecki
AUTOR
Creative and content manager
tel.697 258 148
Napisz do mnie
UDOSTĘPNIJ
in tw fb
Ocena artykułu:
Twoja ocena:
Średnia ocen użytkowników 4.0 na podstawie 11 ocen

Inne wpisy