Co robić, gdy padłeś ofiarą cyberprzestępców

Albo – co gorsza – o sprawie nie dowiadujesz się wcale. Bo serwis podejrzanych działań nie wykrył. O tym, że coś jest nie tak, dowiesz się sam, za kilka lub kilkanaście dni, kiedy podczas logowania do serwisu zobaczysz komunikat, że dane logowania nie są poprawne, a jeśli skorzystasz z opcji przypominania hasła, to zobaczysz komunikat, że  nie istnieje konto założone na Twój adres e-mai. Już nie ma. Bo atakujący często po nieautoryzowanym dostępie podmieniają dane kontaktowe ofiary na swoje, aby ofiara nie mogła szybko i automatycznie konta odzyskać. 

Co robić, kiedy zorientujesz się, że ktoś Cię zhackował? 

Jeśli o ataku informuje Cię dostawca usługi, to warto zacząć od spokojnego przeczytania wiadomości. Możliwe, że "podejrzana aktywność na koncie" to żadni hakerzy …a Ty sam. Logujący się z innej lokalizacji albo nowego urządzenia. Niektóre z systemów wykrywania włamań są bardzo wrażliwe i każdą anomalię wskażą jako potencjalne zagrożenie, nawet jeśli to my jesteśmy jej źródłem. Ale chyba lepiej raz na jakiś czas potwierdzić "tak, to ja, nic złego się nie stało", niż w ogóle nie dowiedzieć się, że do naszego konta ktoś zalogował się w "podejrzany" sposób, prawda?

Uważaj jednak na popularną metodę przejmowania haseł do kont. Przestępcy wiedzą, że informacja w stylu: "Uwaga! Wykryliśmy podejrzane logowanie do Twojego konta z terenu Rosji (IP: X.X.X.X)" robi piorunujące wrażenie, a czasem związany z nią strach odbiera nam zdolność logicznego myślenia. Dlatego często wysyłają takie e-maile z fałszywymi ostrzeżeniami do osób, które dopiero zamierzają zhackować. Jeśli ofiara nie zauważy, że to podpucha, to prawdopodobnie szybko kliknie w linka opisanego jako: 

"Kliknij tutaj, jeśli to nie Ty logowałeś się z Rosji". 

A tam czekać będzie fałszywa strona logowania, która – dopiero teraz – wyłudzi dane dostępowe do konta i spowoduje jego przejęcie… O tym jak odróżniać phishingowe domeny od prawdziwych, przeczytasz w jednym z naszych wcześniejszych artykułów opublikowanych w serwisie Społeczność ING - To nie twój bank... - Społeczność ING - 33066

Jeśli wiadomość o ataku i sam atak są prawdziwe, to najprawdopodobniej serwis, który Cię informuje o incydencie, już podjął odpowiednie działania za Ciebie. Zresetował Twoje hasło i zablokował Twoje konto, aby chronić dane które się na nim znajdują. Wskazał, do jakich informacji dostęp uzyskał włamywacz i zasugerował, co warto teraz zrobić. 

Najczęściej, takie e-maile o potwierdzonych atakach to spełnienie wymogów jakie na dostawcę nakłada RODO. A przyczyną ich wysłania jest wyciek danych z serwisu, niestety, nie zawsze w zakresie tylko loginów i haseł. 

Jeśli serwis informuje, że został zhackowany lub utracił dane klientów, musisz założyć najczarniejszy scenariusz: że wszystko co przechowywałeś w tym serwisie mogło zostać wykradzione i kiedyś zostanie upublicznione. Zarówno informacje jakimi uzupełniłeś swój profil, czyli dane kontaktowe lub ewentualne adresy dostawy, ale także treści prywatnych rozmów z innymi użytkownikami albo lista produktów które przez lata kupowałeś. 

Tych danych już nie uratujesz, ale zastanów się:

• gdzie jeszcze użyłeś podobnego hasła i zmień je, bo za chwilę będziesz mieć nie jedno, a dwa przejęte konta. Pamiętaj, że nie powinieneś wykorzystywać tego samego hasła w więcej niż jednym miejscu i że w zarządzaniu hasłami pomoże Ci manager haseł.
• czy zhackowany serwis miał dostęp do informacji z Twoich dokumentów tożsamości lub co gorsza, do ich skanów. Wtedy istnieje ryzyko wyłudzenia kredytu lub użycia Twojej tożsamości do innych ataków. Zastrzeż te dokumenty. I pamiętaj, że dwa razy do roku, całkowicie za darmo, możesz sprawdzić się w BIK, aby zweryfikować, jakie zobowiązania finansowe są przypisane do Twojego PESEL-u. Wystarczy po zalogowaniu się na konto w BIK skorzystać z opcji przesłania wiadomości i poprosić o bezpłatny raport.
• czy treści rozmów (jeśli serwis umożliwiał prywatną komunikację) mogą Ci jakoś zaszkodzić? Może w rozmowie z bliską Ci osobą, przesłałeś dane swojej karty płatniczej. Zastrzeż ją.
• czy miałeś włączone dodatkowe zabezpieczenia logowania, takie jak np. dwuskładnikowe logowanie? Jeśli nie, włącz je, zarówno w tym zhackowanym serwisie, jak i każdym innym, z którego korzystasz i który na to pozwala. To utrudni w przyszłości działania tym, którzy będą chcieli na podstawie pozyskanych w ataku danych uzyskać dostęp do Twoich kont.

Jeśli o przejęciu konta dowiadujesz się sam, bo konto już nie działa i nie możesz się na nie zalogować to:

• Sprawdź, czy przypadkiem nie jesteś zalogowany do tego konta na innym urządzeniu, na drugim komputerze lub w aplikacji mobilnej. Jeśli tak, możesz mieć większe szanse na odzyskanie konta lub ustalenie co się stało. Spróbuj wtedy zmienić hasło w ustawieniach na inne i sprawdź, czy adres e-mail oraz inne dane profilowe nie zostały podmienione przez włamywacza. Jeśli tak, zmień je na swoje i – jeśli serwis udostępnia taką opcję – podejrzyj listę wszystkich zalogowanych urządzeń i usuń wszystkie poza tym, z którego aktualnie korzystasz.
• Serwisy różnią się od siebie, ale co do zasady sporo z nich umożliwia "przypomnienie" lub "reset" swojego hasła. Jeśli nie byłeś zalogowany na innym urządzeniu, spróbuj przejść procedurę resetu hasła. Jeśli nie otrzymujesz e-maila z linkiem umożliwiającym ustawienie nowego hasła, atakujący mógł podmienić adres e-mail na swój. Sprawdź wtedy, czy możesz zresetować hasło w inny sposób, np. przez odpowiedzi na pytania kontrolne lub kod wysłany na numer telefonu.
• Jeśli nie uda Ci się samodzielnie resetować hasła, skontaktuj się z pomocą techniczną serwisu. Czekając na infolinii przejrzyj sekcję pomoc, w której prawdopodobnie znajduje się opis tego co robić, kiedy konto zostało przejęte. Przykładowo, w przypadku serwisu Facebook istnieje specjalna podstrona https://facebook.com/hacked, która krok-po-kroku, w zależności od przyczyny utracenia dostępu do konta, przeprowadza użytkownika przez odpowiednie działania.

Jeśli powyższymi działaniami uda Ci się odzyskać konto, obowiązkowo przejrzyj wszystkie ustawienia i ostatnie działania. Czy – jeśli było to konto w serwisie ogłoszeniowym – włamywacz przypadkiem nie podmienił Twojego rachunku bankowego na inny lub nie wystawił czegoś na sprzedaż z Twojego konta? Sprawdź też, czy włamywacz – jeśli serwis pozwala na kontakt ze znajomymi lub innymi użytkownikami za pomocą wiadomości prywatnych – nie prosił w Twoim imieniu o pożyczenie kilkuset złotych np. przy pomocy kodów BLIK? 

Jeśli kontakt z pomocą techniczną serwisu jest utrudniony, a konto dalej w rękach włamywacza, nie trać czasu! Spróbuj dotrzeć inną metodą do znajomych, z którymi utrzymywałeś kontakt przy pomocy serwisu, w którym przejęto twoje konto. Ostrzeż ich, że Twoje konto zostało przejęte i żeby nie reagowali na prośby np. pożyczenia pieniędzy skierowane do nich tym kanałem. Przy okazji możesz też poprosić ich, aby "zaraportowali" Twój profil za pomocą wbudowanych w serwis opcji. Im więcej takich zgłoszeń, tym większa szansa, że Twoje konto zostanie szybko zablokowane, co utrudni działania włamywaczowi.

Jak widzisz, nie ma jednej złotej metody na to, żeby sprawnie odzyskać swoje konto. Co więcej, sposób działania w przypadku przejęcie konta musi być dostosowany do danego serwisu i jego możliwości oraz procedur. To znacznie komplikuje reagowanie na włamania. Dlatego lepiej jest im zapobiegać niż na nie reagować. 

Ze względu na powyższe, lepiej już teraz przejrzyj sekcję "ustawienia bezpieczeństwa" na swoich kontach w różnych serwisach. Włącz dwuskładnikowe uwierzytelnienie, które powinno być już dostępne w większości usług. Rozważ też włączenie dodatkowych zabezpieczeń. Różne serwisy mają różne "patenty". W niektórych, będą to e-maile informujące o nowych logowaniach. W przypadku Facebooka jest to np. nominowanie kilku zaufanych przyjaciół. Wspólnie mogą oni pomóc Ci w odzyskaniu dostępu do konta, jeśli zostanie przejęte. Bo niestety, na reakcję facebookowej pomocy technicznej możesz się nigdy nie doczekać…

Raz na jakiś czas rzuć też okiem w serwisach na listę zalogowanych w danej chwili urządzeń (zwaną też czasem listą aktywnych sesji). Sprawdź, czy rozpoznajesz wszystkie z nich. Jeśli nie, pousuwaj je z listy.

Jeśli korzystałeś z dwuskładnikowego logowania nawet z użyciem klucza U2F, a Twoje konto i tak zostało przejęte, to mogło to być wrogie działania pracownika danego serwisu, co może się zdarzyć, ale jednak zdecydowanie bardziej prawdopodobne jest to, że choć Ty nie dałeś się złapać na phishing, to niestety urządzenie z którego korzystasz zostało zainfekowane. W takich sytuacjach włamywacze mogą pozyskać Twoje ciasteczka sesyjne i bez znajomości Twojego hasła czy dostępu do klucza U2F uzyskać dostęp do Twojego konta. W przypadku mediów społecznościowych to oznacza przejęcie profilu, ale na szczęście banki mają jeszcze dodatkowe zabezpieczenia przed tym scenariuszem ataku.