Choć wielu osobom ten wpis może wydać się trywialny, to, jak pokazuje doświadczenie, kradzieże facebookowych czy twitterowych kont wciąż są na porządku dziennym. W kolejnym wpisie w ramach Europejskiego Miesiąca Cyberbezpieczeństwa przypominamy najprostsze metody zabezpieczenia swoich kont w mediach społecznościowych.

Ostatnie wydarzenia z udziałem posłów, którzy ni stąd ni zowąd zaczynają publikować różne dziwne treści na swoich kontach w mediach społecznościowych (patrz chociażby na przykład Marka Suskiego z Prawa i Sprawiedliwości) pokazują, że wiedza na temat podstawowych zabezpieczeń swoich kont wciąż nie jest nawet bliska do powszechnej. Konta najważniejszych polskich polityków wciąż padają ofiarą kradzieży i kompromitacji. A zabezpieczenie ich nie jest ani skomplikowane, ani czasochłonne.

Zobacz także: Co zrobić, kiedy padłeś ofiarą phishingu?

Domyślnie, aby zalogować się na konto na Facebooku potrzeba nam adresu email i hasła przypisanego do tego konta. Aby zdobyć czyjś adres email, który jednocześnie jest loginem do portalu społecznościowego nie potrzeba ani wiele czasu, ani specjalistycznych umiejętności – w większości przypadków wystarczy o niego zwyczajnie poprosić. Większość ludzi nie uważa adresu email za dane osobowe, które trzeba jakoś specjalnie chronić, i bez większych oporów podaje go. Zdobycie hasła również nie musi być specjalnie trudne – mamy wiele możliwości – podpatrzeć, podsłuchać, przejrzeć bazy danych z dostępnych w sieci wycieków, domyśleć się, złamać. Przejęte w ten sposób konto i czyjaś tożsamość posłuży następnie do kolejnych ataków i wyłudzeń. Moje obserwacje tylko z ostatnich dni pokazują, że zdarza się to cały czas.

Jak odzyskać stracone konto?

Jeśli twoje konto zostało przejęte możesz oczywiście skorzystać z procedury jego odzyskiwania. Odpowiednią opcję znajdziesz po nieudanej próbie logowania (odzyskaj swoje konto). Dotyczy to oczywiście przypadku w którym atakujący po przejęciu konta zmienił twoje dotychczasowe hasło na nowe. Jeśli tego nie zrobił możesz mieć trudności z dostrzeżeniem obecności niepowołanej osoby na swoim koncie. Atakujący, nawet jeśli będzie np. pisał do twoich znajomych, będzie zacierał za sobą ślady. Jego ewentualną aktywność możesz natomiast sprawdzić w ustawieniach i opcji Bezpieczeństwo i logowanie w sekcji Miejsce logowania. Znajdziesz tam wszystkie ostatnie sesje na swoim koncie – zaniepokoić powinny cię te, które z całą pewnością nie zostały rozpoczęte przez ciebie.

Jeśli jednak atakujący zmienił hasło do twojego konta to, aby je odzyskać, musisz podać sześciocyfrowy kod przesłany przez Facebook na twój adres email lub numer telefonu (jeśli go podałeś). Zauważ jednak, że atakujący może mieć dostęp także do twojej skrzynki email – w przypadku kiedy np. miałeś takie samo lub bardzo podobne hasło do obu tych usług. Wtedy odzyskanie konta może być utrudnione. Dla takich przypadków warto mieć ustawioną opcję Wybierz znajomych do kontaktu w przypadku utraty dostępu do konta, którą znajdziesz także w sekcji Bezpieczeństwo i logowanie. Zaufane kontakty to wybrani przez ciebie znajomi, którzy mogą bezpiecznie pomóc w przypadku problemów z uzyskaniem dostępu do Twojego konta.

Jak się zabezpieczyć?

Zamiast odzyskiwać swoje konto po włamaniu warto je zabezpieczyć i w ogóle do tego nie dopuścić. Facebook daje taką możliwość poprzez zastosowanie opcji dwuskładnikowego uwierzytelniania. Znajdziesz ją także w sekcji Bezpieczeństwo i logowanie. Polega to na tym, że przy każdej próbie logowania na konto, oprócz standardowego loginu i hasła, będziesz musiał podać jeszcze wygenerowany, jednorazowy kod, który dostarczony zostanie ci, według wybranej opcji, na numer telefonu komórkowego lub wygenerowany zostanie w aplikacji uwierzytelniającej zainstalowanej na twoim telefonie (np. Google Authenticator). Zapobiegnie to nieuwierzytelnionemu logowaniu, dostęp do końca nie będzie bowiem możliwy bez podania tego kodu.

Uwierzytelnianie dwuskładnikowe możesz zastosować także przy użyciu klucza zabezpieczeń dostępnego poprzez port USB lub NFC lub skorzystać z kodów odzyskiwania dostępu. Są to opcje dodatkowe, które możesz skonfigurować i wykorzystać w przypadku niedostępności wybranej metody zabezpieczeń.

Żeby jednak ten sposób logowania nie był zbyt uciążliwy Facebook daje ci możliwość autoryzowania urządzeń na których, po pierwszym dwuskładnikowym logowaniu, nie będziesz musiał podawać dodatkowego kodu (do momentu wyczyszczenia danych przeglądarki). Autoryzowane urządzenia możesz w każdej chwili usunąć z listy, a znajdziesz ją w sekcji Autoryzowane logowania (Bezpieczeństwo i logowanie). Możesz również włączyć opcję powiadamiania jeśli ktoś zaloguje się na twoje konto z urządzenia lub przeglądarki, których zazwyczaj nie używasz.

Jeśli z jakichś powodów nie chcesz korzystać z tej bezpieczniejszej metody logowania, a zależy ci na względnym bezpieczeństwie to pamiętaj o zasadach dotyczących silnych i niepowtarzalnych haseł – pisaliśmy o tym wczoraj. Pomóc może ci w tym np. menedżer haseł, który zapamięta za ciebie długie, skomplikowane i niepowtarzalne hasła. Możesz go także skonfigurować tak, aby był połączony z twoją przeglądarką i automatycznie uzupełniał pole hasła. W ten sposób nie będziesz musieć go nawet znać. Jak to zrobić podpowiemy w kolejnych wpisach w ramach ECSM.

Zasadniczo wszystkie opisywane wyżej zasady zastosować można również do Twittera. Dwustopniową weryfikację logowania na swoim koncie włączyć można w dziale Ustawienia i prywatność, przechodząc kolejno do działu Bezpieczeństwo i Dwustopniowa weryfikacja logowania. Stąd wybrać możemy jedną z metod, weryfikację za pomocą dodatkowego kody wysłanego za pomocą wiadomości SMS, weryfikację za pomocą aplikację (co opisujemy wyżej) oraz weryfikację za pomocą klucza zabezpieczającego – metody także opisywanej wyżej. W ten sposób zabezpieczone konto praktycznie uniemożliwia przejęcie go przez osoby do tego niepowołane.

Europejski Miesiąc Cyberbezpieczeństwa to inicjatywa organizowana przez Europejską Agencję ds. Cyberbezpieczeństwa (ENISA) oraz Komisję Europejską, która trwa przez cały październik. Głównym jej celem jest podnoszenie wiedzy i świadomości na temat szeroko rozumianego cyberbezpieczeństwa i kierowana jest do wszystkich użytkowników Internetu – zarówno tych, którzy z sieci korzystają zawodowo, codziennie, jak i tych, którzy okazjonalnie odwiedzają wirtualną przestrzeń. Co ważne, cyberbezpieczeństwo stało się szczególnie ważne w czasach powszechnego dostępu i używania smartfonów oraz urządzeń gospodarstwa domowego, które mają dostęp do Internetu.