Prevaranti su itekako prilagodili metode napada mobilnom svijetu, koji je danas dominantan internetom. Pritom su mobilni uređaji i pod manjom razinom zaštite od osobnih računala pa je računica jasna. Preko pristupa nečijem Facebook profilu može se doći do brda drugih informacija, koje ne samo što narušavaju privatnost, već mogu ugroziti i sigurnost korisnika općenito.

O čemu je sve riječ?

Prijevara koja je sve atraktivnija napadačima je korištenje posebne tehnike, tzv. URL paddinga. Klasičan URL se sastoji od tri dijela, domene, opcionalne poddomene i patha. Brojni korisnici mobilnog Facebooka uočili su oznaku m.facebook.com u internetskom pregledniku. U pitanju je kombinacija poddomene i domene koja pokazuje da se korisnik nalazi na mobilnom izdanju Facebooka. Kada god tko vidi link s tim danas, obično pomisli da je siguran. 

Međutim, prevara koja koristi URL padding kvari tu kompletnu sliku. Prevarant može kreirati poddomenu na potpuno drugačijoj domeni, ali dovoljno sličnog karaktera da netko pomisli kako je riječ o stvarnom i sigurnom odredištu...dok se ne pogledaju detalji. 

Tvrtka PhishLabs koja se bavi sigurnosnim rješenjima vezanim uz phishing pokušaje, otkrila je kako će mobilni phishing uskoro eksplodirati. Otkrivaju kako linkovi koji naizgled vode do mobilnog Facebook odredišta zapravo mogu biti vrlo opasni po korisnika, a jedan od primjera je ovo: 

hxxp://m.facebook.com----------------validate----step1.rickytaylk[dot]com/sign_in.html

Da stvar bude gora, posjeta adresi prikazat će identičnu repliku stvarnog mobilnog izdanja Facebookove stranice, uz upit da korisnik ubaci svoje podatke. Nepažljive oči uočit će samo prvi dio linka gdje stoji spomenuti m.facebook.com i pomisliti da sve štima. 

Ako nasjednete - igra je gotova

Jednom kada korisnik upiše svoje login podatke u prevarantsko odredište, igra je gotova. Stranica će obično reći kako je korisničko ime i lozinka pogrešna, no šteta je učinjena. Korisnikovi podaci su već spremljeni i napadač ih može iskoristiti za pristup Facebook profilu, a preko njega i drugim odredištima koje je korisnik povezao s njim pa i iskoristi iste podatke kako bi pokušao dobiti pristup PayPalu, Amazonu, Gmailu i dr. servisima. 

Krajnji dio linka u današnje doba je podjednako bitan kao i početak, a upravo u gornjem primjeru je vidljivo nešto sumnjivo. Dok su Facebookovi linkovi u pravilu kombinacija brojeva i slova, gornji URL definitivno nije nešto što će kreirati društvena mreža. 

Stvarni podaci iz URL-a iz primjera otkrivaju dovoljno. 

• Prava domena URL-a je zapravo rickytaylk.com
• Sadrži tri poddomene (com----------------validate----step1, facebook, m)
• Za pregled cijelog URL-a na mobitelu treba vidjeti sve što stoji u polju za unos adrese

Na pregledniku osobnog računala bilo bi mnogo jasnije da je riječ o prevarantskom URL-u, no mobiteli pružaju pogled na mnogo manji broj znakova, sve dok se ručno ne posjeti polje za adresu. Upravo tu u igru ulazi niz crtica u prevarantskoj adresi, jer se na taj način jednostavno maskira stvarna domena. 

Za zaštitu treba pažnja

URL lažnjaci nikako nisu nova stvar, no tek sada kako je internetskim uslugama počeo carevati mobilni svijet, stvar je nikad privlačnija zbog razine (ne)sigurnosti. Ranije ove godine otkriven je i sigurnosni propust koji je omogućio da se URL-ovi modificiraju tako da izgledaju kao drugi URL-ovi. Sreća u cijeloj priči bila je to da su razvojni timovi zakrpali propust prije nego su ga se dočepali prevaranti. 

Kako bi se zaštitili potreban je mentalni trening. Uvijek po dobivanju linka valja dobro provjeriti sve njegove dijelove, a osjetljiva odredišta treba posjećivati isključivo ručnim tipkanjem adrese u polje za to. Čini se nezgodnim i nezgrapnim rješenjem - no stvar pali. S vremenom će korisnici razviti automatski mod filtriranja svega što im se čini sumnjivim te neće morati voditi toliko računa oko cijele priče. 

Ako ste već izgubili pristup...

...tada je kasno, kako je ranije i rečeno. Međutim, da se to ne bi dogodilo i da ne bi nastala katastrofa na svim online profilima koje koristite, valja se pobrinuti za to da lozinke nigdje nisu iste. To je jedna od kardinalnih grešaka koje čine neiskusni korisnici interneta. 

Svaka lozinka i korisničko ime trebali bi biti različiti, uz aktiviranje dvostupanjske ovjere gdje god da je dostupna.

Na taj način, sve i da se nasjedne na kakvu prevaru i izgubi pristup računu, moguće se pobrinuti da barem ostali računi ostanu netaknuti. Facebook profil moguće je izgraditi ponovno te prijaviti stari izravno društvenoj mreži, no kada se izgubi novac ili nešto bitnije, stvari su izgubljene mnogo trajnije. 

Facebook podržava dvostupanjsku ovjeru

Možda se čini kako je lako izgubiti pristup Facebook računu, no ako je aktivirana dvostupanjska ovjera kroz Login Approvals i Code Generator, šanse su da napadač čak i uz korisničko ime i lozinku neće tako lako upasti na vaš profil. 

Prva opcija znači da Facebook šalje SMS poruku kada god se netko pokuša logirati na profil. U toj poruci se krije kod koji je potrebno otipkati za pristup profilu. Ako netko i ugrabi lozinku vašeg Facebooka, neće moći mnogo bez pristupa mobitelu!

Code Generator unutar službene Facebook aplikacije radi na sličan način, s tim da generira kod koji je potrebno unijeti na drugom odredištu s kojeg se želi pristupiti profilu. 

Tu su i sigurnosni ključevi

U2F sigurnosni ključ je USB gadget, koji služi za potvrđivanje profila umjesto spomenutih SMS-ova ili kodova. Gmail, YouTube, WordPress i mnoga druga odredišta - uključujući Facebook, podržavaju korištenje ovakvih ključeva. 

Danas su ti USB gadgeti dostupni za manje od stotinjak kuna, a mogu se pokazati vrlo korisnima. 

Postavljanje sigurnosnog ključa s Facebookom je vrlo jednostavno. Za početak je potreban pristup preglednicima Opera ili Chrome te ulazak na sigurnosne postavke Facebook profila.

• U postavkama valja skrolati do opcije Use two-factor authentication i odabrati Edit
• Pronaći Security Keys i odabrati opciju Add key
• Pratiti instrukcije na zaslonu

Ako je sve prošlo kako treba, pri sljedećem loginu s nepoznatog odredišta, Facebook bi korisnika trebao zatražiti umetanje U2F ključa.