Przekręt na BLIK

Sam atak jest już dobrze znany, ale niestety nadal skuteczny. Ostatniego czasu na mojej tablicy na facebooku pojawiają się takie wpisy:

Osoba która ma „włam” na konto dowiaduję się zazwyczaj za późno.
Czym jest atak na BLIK?
Atak na blik’a bazuje na wierności znajomych z facebooka, osoba, która przejęła konto na messengerze, wysyła masowe wiadomości do znajomych ofiary, w których prosi o pomoc w opłaceniu „zakupów” przez internet.

Jako, że zdarzyło się, że i do mnie napisał mój znajomy, który został zaatakowany. Mogę przedstawić jak wygląda atak krok po kroku. Oczywiście, ja już wiedziałem, że to atak dlatego też postanowiłem wysłać fałszywy kod blik’a i sprawdzić czy atakujący odpuści.

Zawsze zaczyna się tak samo.

500 * 2 * ilość znajomych i robi się ciekawie.

Atakujący pomimo niepowodzenia nie odpuszcza.
Drugiej próby niestety już nie było. Postanowiłem zadzwonić do znajomego i sprawdzić kto odbierze, odebrał mój znajomy przestraszony, że jego znajomi robią mu ddosa na telefon, z pytaniami kiedy odda gotówkę – niestety atak bardzo często dochodzi do skutku.

Czemu akurat BLIK?
Bo Blik jest jedną z szybkich metod płatności, która dodatkowo zezwala na wypłatę gotówki z bankomatu bez użycia karty – podajesz kod blik, akceptujesz w aplikacji i gotówka już jest w ręku! Najprawdopodobniej, gdy atakujący zaczyna swój atak, ze swoim laptopem/telefonem siedzi gdzieś w samochodzie obok bankomatu i czeka na kody zwrotne. Niestety, nawet gdy szybko się zorientujemy, że był to przekręt szanse na odzyskanie gotówki są małe. W przypadku płatnością blik nie ma możliwości charge-back

Jak się zabezpieczyć ?
Jeżeli, nie chcemy aby ktoś nie wykonał takiego ataku za pomocą naszego konta na FB musimy wykonać poniższe kroki:

Zastosuj unikalne hasło ! – złota zasada : jeden portal, jedno hasło. Hasło nie może być słownikowe, najlepiej korzystać z menagera haseł. Bardzo fajnym rozwiązaniem jest Keepass. (w przyszłości, chcę napisać krok po kroku jak skonfigurować keepass’a aby hasła były synchronizowane przez nasz własny serwer FTP.)
Włącz logowanie dwuskładnikowe. – Facebook już od dawna posiada taką funkcję – to nic nie kosztuje, więc warto z niej skorzystać !
Przejrzyj swoje aktywne urządzenia – możliwe, że zostawiłeś/aś gdzieś aktywną sesję i ktoś to wykorzystuje, wyloguj się z urządzeń których nie rozpoznajesz.
Sprawdź uprawnienia aplikacji – być może jakaś aplikacja wykorzystuje twoje konto w celu spamowania.
Jak włączyć uwierzytelnianie dwuskładnikowe
Aby włączyć w.w funkcję przechodzimy do tej podstrony https://www.facebook.com/settings?tab=security i zaznaczamy tę opcję:

Pamiętaj, aby twój numer telefonu był aktywny.
Na powyższej podstronie można też przejrzeć Miejsca logowania, warto to zrobić i wylogować z urządzeń, których już nie używamy.

Ostatnim krokiem jest sprawdzenie aplikacji, których używasz.

Aby to zrobić przechodzimy tutaj : https://www.facebook.com/settings?tab=applications i usuwamy aplikacje, z których już od dawna nie korzystamy, bądź nie mamy nawet pojęcia co to za aplikacje.

Wszystkie powyższe porady powinny znacznie utrudnić potencjalnemu atakującemu dostęp do twojego konta. Pamiętaj też, że najsłabszym elementem, który najłatwiej obejść jest człowiek i jego nadmierne zaufanie. Jeżeli, nie masz pewności czy twój znajomy, który właśnie chce pożyczyć od ciebie gotówkę jest nim naprawdę – po prostu do niego zadzwoń.

A czy Wy mieliście próby wyłudzenia pieniędzy? Na odpowiedź czekam w komentarzach!