Kako spriječiti krađe Facebook i email računa – vrlo jednostavno

Najčešća i potencijalno najranjivija kombinacija za korisnike Facebooka i Gmaila (ili sličnih email servisa) je u slijedećem scenariju. Pretpostavimo da imate Gmail ili Hotmail te da koristitite Facebook. Na svom kućnom računalu najčešće imate odabranu opciju ‘zapamti me ovdje’ ili ‘zapamti lozinku’, zar ne? Kao što to isto imate postavljeno i za Facebook.

Pretpostavimo i da se vaša lozinka sastoji od imena i prezimena vas ili vašeg dečka/djevojke, datuma rođenja, grada, nečega što vidite na radnom stolu ili uredu… sve su to jako, jako loše lozinke. Čak i neiskusan hacker (ili tamo neki ambiciozni klinac iz zemalja gdje internetski zakoni još nisu niti u povojima) može napraviti slijedeće radnje kako bi ‘provalio’ u vaš Facebook account.

Za ovaj primjer vi se zovete Marko Marković. ‘Haker’ će najprije pogledati će da li je vaša email adresa vidljiva na Facebook profilu (informacije o vama). Kada je to uočio ima već jednu vrlo bitnu informaciju o vama – korisničko ime vaše email adrese (marko.markic, markomarkic, [email protected] ili [email protected]). Još mu je potrebna lozinka koju će dobiti vrlo jednostavno.

Jedan od načina krađe lozinke

Putem Facebooka posalati će vam friend request ako ga prihvatite nakon nekog vremena poslati će vam poruku tipa ‘Hej pogledaj ovo’ ili ‘Jesi li to ti na ovoj slici’ ili još očitije ‘Check this out’… dakle baš privatnu poruku Vama kao prijatelju. Dovoljan je jedan klik na taj link i na vaše računalo se instalira programčić iz skupine ‘keyloggera’ takozvanih kradljivaca podataka. 

Ovaj prorgamčić je potpuno nevidljiv, ne odaje svoje postojanje i aktivnosti niti na bilo koji način na vašem računalu, a ako niste napredan korisnik nećete uopće biti svjesni njegovog postojanja. Zadatak keyloggera je pamtiti sve lozinke koje upisujete na posjećenim web stranicama (mjesta za upisivanje lozinki na web stranicama imaju posebna obilježja – okvire, posebno one poznate web stranice kao Gmail, Facebook…), a potom ih slati na neku email adresu.

Time ovaj ‘hakerčić’ dobija vašu točnu lozinku i potpun pristup vašim Facebooku, Gmailu, Hotmailu…Keyloggera dakako možete ‘pokupiti’ i na brojnim drugim nesigurnim web stranicama. 

Savjet: Nikada ne klikajte nikakve nepoznate linkove u Facebook porukama, sumnjive linkove u email porukama, nikada ne klikajte i ne pretplaćujte se na Facebook aplikacije koje od vas traže da ‘lajkate’ nešto kako bi vidjeli neku ‘urnebesno smješnu sliku’, neku prekokrasnu djevojku ili dečka ili nekakav senzacionalan video, to je gotovo uvijek jedan od načina instaliranja keyloggera.

Vjerovali ili ne, Facebook je ispunjen brojnim spam aplikacijama, na koje Facebookovi programeri najčešće reagiraju tek nakon učestalih prijava korisnika, a tada već bude kasno. 

Česti su slučajevi kada vaši Facebook prijatelji ‘spamaju’ sumnjivim porukama. Ako primjerice u Facebook poruci dobijete neki sumnjiv link, upitajte pošiljatelja što je to, ili postavite bilo kakvo pitanje u poruci, a ako se radi o nekakvoj malicioznoj namjeri nećete dobiti nikakav odgovor. Naime takvi linkovi se često automatski šalju svim prijateljima sa popisa prijatelja one osobe na Facebooku koja je instalirala malicioznu aplikaciju.

Sumnjive email poruke 

Zapamtite da tvrtke kao što su Gmail, Paypal, Facebook, Ebay i slični svoje emailove šalju uvijek sa svojih ‘orginalnih’ domena.

Što to znači? Email sa [email protected] je prevara, dok primjerice email sa [email protected] je sigurno ispravna email adresa i možete joj vjerovati. Dakle ako je pošiljatelj @google.com, @facebook.com, @paypal.com… tim email adresama možete vjerovati, sve ostalo preporučamo zanemariti.

Gmail i Hotmail imaju solidnu anti-spam zaštitu, odnosno automatski prepoznaju neželjenu poštu. Sami će prepoznati sumnjive mailove, i neće im dopustiti pojavljivanje u dolaznoj pošti. No, ponekad i pogriješe, pa poneki važan email sa sigurne domene završi u neželjenoj pošti.

Stoga je najbolje osobno označiti koju poštu smatrate neželjenom. 

O lozinkama

Danas većina servisa niti ne dozvoljava prilikom registracije lozinke kraće od 8 znakova, a mnogi i imaju opciju za ‘generiranje’ slučajne lozinke koja je gotovo sto posto sigurna da ju netko slučajno ili socijalnim inženjeringom neće ‘provaliti’ kao i specijalnim programima za ‘provaljivanje’ lozinki koji zapravo samo ‘vrte’ milijune poznatih lozinki.

Kako navodi Troy Hunt softverski inženjer i dobitnik Microsoftove MVP nagrade (Most Valuable Professional), najčešće greške kod odabira lozinke su:

1. Lozinke su inspirirane vlastitim imenima, datumima rođenja, riječima koje za nas imaju osobni značaj ili nekim drugim obrascem kojeg se možemo sjetiti, npr. markoosijek2309

2. Pokušaji da se lozinke pojačaju obično slijede predvidive obrasce, npr. uz postojeću lozinku dodajmo vlastitu godinu rođenja markoosijek23091978

3. U potpunosti slučajne lozinke su jako rijetke, na njih otpada samo 1 posto istraženih podataka – imate lozinku dhkcz1a5tup8w9q? Sumnjamo

Dakle, da bi netko saznao vašu lozinku uopće ne mora biti ‘haker’ ili računalni stručnjak, dovoljno je poznavati vaše navike, i biti malo pronicljiv. 

Troy Hunt analizirao je hakerske napade na Sony i Gawker, te donio zaključke kako ljudi odabiru lozinke, stoga obratite pozornost što vi ne bi trebali raditi kod odabira svoje lozinke:

Osobna imena
Oko 14 posto korisnika kreira svoju lozinku iz osobnog imena. Osim imena, postoje još tri derivacije koje se učestalo pojavljuju u lozinkama. To su: dodavanje brojeva, dodavanje simbola (po mogućnosti zajedno s brojevima) i obrtanje imena (sa ili bez brojeva i simbola)

Imena mjesta
Oko 8 posto korisnika kreira svoju lozinku na osnovu imena mjesta, primjerice grada, države, regije. Kao i kod osobnih imena, dobio je prilično konzistentne rezultate kad je riječ o derivacijama. Sufiks ‘1’ se pri tome pokazao kao najpopularniji

Riječi iz rječnika
Riječi iz rječnika su najpopularniji izvor za inspiraciju za kreiranje lozinke. Velikih 25 posto lozinki je derivirano direktno iz rječnika

Brojevi
Brojeve i samo brojeve u lozinkama koristi oko 14 posto korisnika. Pogađate koje su kombinacije brojeva najpopularnije: 1. 123456, 2. 12345678 i 3. 123456789. 

Dvostruke riječi
Dvostruke riječi, odnosno uzastopne riječi koje se ponavljaju u lozinkama, primjerice ‘markomarko’, takvih lozinki je manje od 3 posto

Lozinke koje su dijelovi e-mail adresa
Mnogi ljudi kako ne bi zaboravili svoju lozinku, koriste dio svoje e-mail adrese kako bi ih podsjetila na odabranu lozinku. I ovdje je manje od 3 posto lozinki, međutim ljudi ovo zaista rade. Takve najčešće tri lozinke su npr. email: [email protected], lozinka: marko666.

Kratke fraze
Kratke fraze bilo je najteže kvantificirati, međutim ljudi ih itekako koriste u odabiru lozinki, npr. ‘iloveyou’ je među poznatijima

Obrazac tipkovnice
Obrazac tipkovnice dugo je od nekih sigurnosnih ‘stručnjaka’ smatran kao najpouzdaniji način za odabir lozinke. Takvu lozinku je lako pamtiti, a najpopularnije lozinke koje su tako generirane su: 1. qwerty, 2. asdfgh i 3. asdf1234. 

Veza sa webstranicom
Premda je riječ o malenom postotku, neki ljudi vole odabrati lozinku na osnovu imena web stranice. Primjerice za stranicu Gawker, lozinka je Gawker, za stranicu Sony Pictures, lozinka je sony123. 

Ostalo
Dio lozinki koje je Hunt obradio nije se mogao uklopiti u nijedan obrazac. Takvi primjeri su gundam (ime animirane serije) ili ncc1701 (kodno ime za USS Enterprise u Zvjezdanim stazama)

Zanimljivi članak autora Troya Hunta pod nazivom ‘Znanost odabiranja lozinki’ zajedno s grafičkim prikazima podataka možete pročitati OVDJE

Zaključak, kako se zaštiti na internetu?

– Čuvajte svoju privatnost na Facebooku 

– Izbjegavajte korištenje i klikanje sumnjivih Facebook aplikacija

– Izbjegavajte dodavanje ‘sumnjivih’ Facebook prijatelja – primjerice profilna fotka manekenke u kupaćem pod imenom Linsday Love bez zajedničkih prijatelja potencijalno je sumnjiva 

– Izbjegavajte odgovore na sumnjive i nepoznate spam emailove (čak i od svojih prijatelja)

– Pametno koristite lozinku – vaše ime i datum ili godina rođenja zasigurno nije pametan odabir lozinke

U slijedećem tekstu obraditi ćemo problematiku vraćanja profila koje Vam je netko ‘preuzeo’ i primjerice u Vaše ime instalira razne aplikacije, profil koristi za spam i daljnje provaljivanje u Facebook profile. Postoji procedura koja to riješava i koja je relativno komplicirana, ali pomoći ćemo Vam svladati ju na najjedonstavniji način.