Vigyázat! Komoly összegek mehetnek el egy akaratlan Facebook kampányban!

Mostanában elég divatos dolog Mark Zuckerberget mindenféle bizottságok elé cibálni, ami az ismert történések miatt azért dicséretes dolog. Így a GDPR küszöbén viszonylag udvariatlan dolog úgy bánni az adatokkal, ahogy a Facebook tette. Azonban most egy ennél súlyosabb problémával fogunk foglalkozni, amely egyáltalán nem a platform vagy a cég hibája, mert ebben az esetben Ők biztosítják a megfelelő eszközöket a védelmünkre, mégis sokan elmulasztják ezek használatát, így egész komoly összegeket emelhetnek le az óvatlan felhasználó számlájáról. A trükk elég egyszerű. Valamilyen módon – phising, malware, vírus stb. – megszerzik a felhasználó adatait, majd amennyiben a fiókhoz van bankkártya rendelve, a user nevében adnak fel különböző hirdetéseket, azaz gyakorlatilag ingyen reklámot csinálnak maguknak. Magyarul szólva a Te pénzedből hirdetik magukat. A fiók tulajdonosa – főképp, ha vannak egyéb hirdetései is -, nem igazán látja a kamu hirdetéseket, és általában csak akkor szembesül a problémával, amikor már a szolgáltató levonja a kártyáról a hirdetésért neki járó összeget.

Több üzleti csoportban is találkoztam a jelenséggel, és mivel a Facebook ügyfélszolgálata finoman szólva sem közelít az ideálishoz, elég hosszú procedúra, hogy visszaszerezzük a már levont összeget.

Sysadminforum facebook-koltes

Ilyenkor mindig felmerül a kérdés, hogy mit lehet tenni a jó ügy érdekében, azaz, hogyan lehetne elkerülni ezt a több mint kellemetlen helyzetet. A legfontosabb dolog, mint általában az internet és számítógéphasználat esetén, amit nem győzünk eleget hangsúlyozni, az átgondoltság és a prevenció. Fontos, hogy megfelelő komplexitású és biztonságú jelszavakat használjunk. Figyeljünk oda az operációs rendszer és a többi telepített program biztonsági frissítésére, és az sem baj, ha valamilyen komolyabb vírus- és határvédelmi programot is használunk a gépünkön. Azonban bármennyire is odafigyelünk a megelőzésre, még nem lehetünk teljesen nyugodtak. Rendszergazda körökben van egy olyan irányelv – főleg ha az utóbbi idők tendenciáit figyeljük –, hogy egy azonosítás nem azonosítás, és itt jön a képbe, hogy a Facebook, a Google és a Microsoft O365 is biztosítja számunkra az úgynevezett kétfaktoros bejelentkezési lehetőséget. Nagyon leegyszerűsítve ez azt jelenti, hogy a felhasználónév és jelszó beírása után még kapunk egy ablakot, amelyben az általunk kiválasztott második hitelesítési módszerrel megkapott kódot kell visszaírni. Ez lehet SMS, vagy esetleg egy külső hitelesítési szolgáltató, akiben megbízunk. Ezzel nagyon nagy valószínűséggel kiküszöbölhetjük, hogy illetéktelenek férjenek a fiókunkhoz, hiszen ahhoz vagy elképesztően jó hackernek kell lenni – vannak azért ilyenek, ne legyenek illúzióink –, vagy pedig a behatolónak meg kell szereznie azt az eszközt, amelyre a megerősítő kód érkezik. Ez az eszköz leggyakrabban a mobiltelefonunk. Mindkettőre kicsi az esély. Inkább keresnek egy kevésbé védett fiókot. A beállítás nem különösebben bonyolult. Mindössze annyit kell tenni, hogy a beállításoknál a biztonság és bejelentkezés fülön bekapcsoljuk a kétfaktoros hitelesítést

ket-faktor beallitas

 

Innentől kezdve minden esetben értesítést és természetesen kódot kapunk, ha valaki a rendszer által nem ismert eszközről kíván belépni a fiókunkba. Azaz a felhasználói élmény nem sérül, hiszen az ismert és engedélyezett eszközökről a Facebook biztonsági algoritmusai engedélyezik az egyszerűsített belépést. Teljes biztonság ugyan nem létezik, de úgy gondolom, hogy ezzel azért jelentősen javítottuk fiókunk biztonsági szintjén. A tanulság talán az, hogy mindig érdemes tájékozódni a szoftverekbe és szolgáltatásokba integrált biztonsági megoldásokról, hiszen ezekből az esetekből is jól látható, hogy kis odafigyeléssel sokat tehetünk digitális biztonságunk érdekében.