Před pár dny jsem se probudila, otevřela Twitter a zjistila, že má oblíbená nizozemská zpěvačka Caro Emerald tweetla zprávu v turečtině, která začínala hakenkreuzem a obsahovala cosi o nacismu. Hned mi došlo, že to asi nepsala ona nebo její tým, ale že jí někdo hacknul twitterový účet. Nebyla totiž první ani poslední, komu se to stalo. Hacknuté účty na sociálních sítích nejsou nic neobvyklého. Jak se tomu tedy vyhnout?
Obětí téhož hacku jako Caro Emerald byla například i Amnesty International nebo argentinský Starbucks – víc o tom najdete v článku na The Verge.
Pro velké a brandové účty je tohle dost velký problém. Mně jakožto člověku, který se na sociálních sítích pohybuje profesionálně, sice okamžitě dojde, že jde o hack, ale BFU (bloody fucking user běžný franta uživatel) to pravděpodobně nepochopí, takže takováhle drobná chybka může dost poškodit renomé značky. Však i chuděře Caro Emerald pak fanoušci v době, kdy už byl tweet dávno smazán, psali pod další zprávy odpovědi „my ale nejsme nácci, Caro :(“
@caroemerald We zijn geen nazi’s, Caro. ?
— Kevin (@TwistedTwiddler) March 15, 2017
Průšvih pro jedince i značky
I pokud používáte sociální sítě jako jednotlivec a ne jako značka, měli byste se ale mít před hacky na pozoru. Nemusí jít zrovna o to, že by vás ostatní mohli začít považovat za nácka, většina hacků je spíš nevinnějšího charakteru.
Hacknutý účet může třeba začít rozesílat spam a snažit se tím nakazit další lidi, může změnit svůj název a smazat všechny followers/followings, ale hlavně to znamená, že má někdo přístup k vašim přístupovým údajům.
Takže jestli nejste poctivec, který by na všechna hesla používal nějaký správce hesel a měl všechna hesla automaticky generovaná jako shluky písmen a číslic (což ruku na srdce, nikdo z nás takový není), znamená to, že ten, kdo vám účet hacknul, by se mohl dostat i k dalším vašim účtům.
Například moje maminka @Makovice_V si nedávno na Twitteru „pořídila“ roztomilou aplikaci jménem Linkis. Tahle appka před každý zveřejněný odkaz vkládala svou vlastní landing page, kde žádala prokliknuvšího se, aby se přihlásil přes Twitter. Aplikace tím pro své tvůrce hezky schraňovala přístupové údaje uživatelů, kteří byli tak naivní, že na to klikli a skutečně se přes Twitter přihlásili.
Ach, můj bože, ten fotošop! https://t.co/uVdLreBXPC
— Makovice Vysypana (@Makovice_V) January 25, 2017
Mé kamarádce zase před měsícem někdo ukradl Instagram. Zjistila, že se na účet nemůže přihlásit a že se ani už nejmenuje tak, jak se jmenoval. Když ho nahlásila Instagramu jako hacknutý, musela jim poslat fotku, na níž musel být jasně vidět její obličej a kde musela držet papír s napsaným svým jménem a uživatelským jménem hacklého účtu. V průvodním e-mailu rovnou psali, že pokud na účtu nemá žádnou ze svých fotek, s níž by mohli zaslané foto porovnat, nemohou jí pomoct.
V případě, že by šlo o brandový účet, nebo o nějaký zájmový účet (třeba účet mých koček), nebo pokud prostě jen nemáte v lásce selfíčka a na Instagram žádná nedáváte, znamená to, že máte v případně ukradení účtu smůlu.
Jak se nenechat hacknout?
Tak co, už jsem vás dostatečně vyděsila? Výborně! Bezpečnost účtů totiž není dobré podceňovat 🙂 Pojďme se tedy podívat na to, jak se hacknutí bránit.
1. Dávejte pozor, na co klikáte
Ano, tohle je asi trochu „blbuvzdorná“ rada, ale je to tak. Je to stejné, jako u internet bankingu. Vždycky kontrolujte, na jakém jste webu nebo kam vás odkaz vede. Jestli jste na tom webu prvně a on od vás hned chce přihlášení na Twitter nebo Facebook, i když jste jen klikli na odkaz na článek, radši od toho ruce pryč.
2. Pokud formulář nevypadá jako ten oficiální, nevyplňujte ho
To samé platí o formulářích. Twitter, Facebook, Instagram i Gmail mají dost jasně rozeznatelné přihlašovací formuláře. Pokud přihlašovací formulář nevyskakuje v novém okně, ale je vestavěn přímo do stránky a nevypadá jako ten obvyklý, na který jste zvyklí, nic do něj nezadávejte.
3. Buďte paranoidní 🙂
Tahle rada může znít úplně pitomě, ale lepší asi v záloze nemám. Hackeři a internetové viry jsou buď více, nebo méně vynalézaví, takže se nedá říct, že phishing bezpečně poznáte podle toho a toho.
Je tedy potřeba si spíš vybudovat určitou podezřívavost a opatrnost, a také zvýšenou vnímavost.
Odkazy, které vás mohou nakazit nějakým fujtajblíkem, mohou mít třeba rádoby šokující titulky, které jsou ale špatně přeložené do češtiny. Mohou napodobovat URL, kterou znáte, ale s malým překlepem.
Zkrátka a dobře, jakmile se vám něco jen trošku nezdá, radši na to neklikejte, nic nevyplňujte, běžte od toho pryč.
Dobrým rádcem může být třeba strejda Google. Pokud jo stojíte o daný web nebo appku, stačí malinko zagooglit a brzy se dozvíte, jestli je bezpečné ten web používat. Ale ne každý má samozřejmě čas a chuť googlit důvěryhodnost každé webové stránky 🙂
4. Používejte bezpečná hesla
Vsadím se, že nejsem první, kdo vám to říká 🙂 Ano, taky nejsem stoprocentně poctivá a na některých webech mám stále ještě méně bezpečná hesla, ale na těch nejdůležitějších a nejpoužívanějších už se pokouším hesla neopakovat.
Rozhodně doporučuju používat některý ze správců hesel. Já používám už několik let 1Password a jsem s ním maximálně spokojená. Zvlášť pokud jste „socka“ jako já a pracujete tím pádem s hesly a profily klientů nebo třeba své firmy, je fajn být extrémně opatrní. Pokud kvůli vlastní blbosti přijdete o svůj osobní účet, můžete si sice rvát vlasy, ale je to pouze vaše vlastní blbost. Nikdy byste ale neměli ohrozit svým chováním účty klienta nebo své firmy.
5. Používejte dvoufaktorové ověření
Opět, tohle souvisí s předchozím. Pokud máte třeba pod svým facebookovým účtem přístupy ke stránkám klientů, rozhodně byste měli mít zapnuté dvoufaktorové ověření, aby se se stránkami nemohlo nic stát. (btw, jestli jste firma a hledáte někoho na social, tímhle taky poznáte, kdo je zodpovědná socka a kdo ne. Pokud nemá dvoufaktor, asi bych ho radši nezaměstnávala…)
Dvoufaktorové ověření zpravidla znamená, že musíte Facebooku/Twitteru/jakékoli jiné síti dát své telefonní číslo. Taky jsem z toho ze začátku nebyla nadšená, ale je to lepší, než o přístup přijít a snažit se ho získat zpět. Protože to se mnohdy nemusí povést.
6. Používejte platné e-maily
Také si raději zkontrolujte, že máte všechny účty na sociálních sítích napárované s platným e-mailem, který skutečně používáte a pravidelně vybíráte. Většina služeb posílá e-mailová upozornění, když se s vaším účtem děje něco podezřelého, tak je fajn o tom skutečně vědět. Zároveň je dobré si e-maily, z nichž s vámi Facebook, Instagram nebo Twitter oficiálně komunikují, přidat do kontaktů – někdy třeba u Instagramu e-mailové upozornění o tom, že se vám někdo snaží změnit heslo, přichází v jazyce útočníka, tedy často ruštině, turečtině nebo arabštině, takže je mailoví klienti snadno vyhodnotí jako spam. Dáte-li si adresu do kontaktů, neměla by být zpráva vyhodnocena jako spamová, vy tak budete o hrozbě vědět a můžete v mailu prokliknout odkaz na zamítnutí změny.
To by pro dnešek mohlo stačit. Protože ale chápu, že ne vždycky je člověk opatrný dostatečně a občas prostě nějaký ten odkaz vyhodnotí za bezpečný, i když není (a nebo si třeba řekne Ale né, Pepa se přece na internetu vyzná, ten by mi nikdy neposlal špatnej odkaz!), můžete se těšit na další článek, kde se budu věnovat tomu, co tedy dělat, když jste svůj účet skutečně něčím nepěkným nakazili.