Wpisz poszukiwane słowo i wciśnij Enter.

Jak chronić konto na Facebooku (i Instagramie) przed włamaniem i przejęciem?

Jak chronić konto na Facebooku (i Instagramie) przed włamaniem i przejęciem?

Bez przeglądania postów, komentowania i udostępniania treści trudno sobie wyobrazić współczesne korzystanie z Facebooka. Jednak korzystanie z aplikacji firmy Meta wiąże się również z pewnymi zagrożeniami: kradzieżą tożsamości, cyberprzemocą, dezinformacją i przede wszystkim – ryzykiem przejęcia dostępów do profilu przez nieuprawnione osoby. To samo zresztą dotyczy innej aplikacji Meta – Instagrama. Dlatego zamiast leczyć, przeciwdziałaj. Przeczytaj, jak zabezpieczyć i chronić swoje konto na Facebooku przed włamaniem. W tym artykule poznasz kilka prostych metod, które pomogą Ci zadbać o swoje bezpieczeństwo i prywatność profilu w tej aplikacji.

Jak sprawdzić, czy ktoś zhakował moje konto w aplikacji Facebook?

Najczęściej efektem włamania na konto na Facebooku jest wysyłka spamu do znajomych lub publikacja dziwnych treści na profilu. Jeżeli odnotujesz takie działania, podejmij jak najszybciej kroki, które umożliwią Ci odzyskanie kontroli nad kontem. Zapoznaj się z naszym poradnikiem o działania wirusów na Messengerze oraz Facebooku.

Zdarzają się jednak przypadki, gdy przejęcie dostępów nie wiąże się z podejrzaną aktywnością. Aby upewnić się, że wszystko masz pod kontrolą – skorzystaj z funkcji Centrum Kont w Meta. Zrobisz to pod adresem https://accountscenter.facebook.com/.

To miejsce, gdzie możesz zweryfikować status swojego konta i włączyć odpowiednie zabezpieczenia.

Wygląd Centrum Kont na Facebooku
Menu Centrum kont umożliwia sprawdzenie, jak chronione jest Twoje konto.

Zainteresuj się zwłaszcza zakładką „Hasło i zabezpieczenia”, a dalej „Weryfikacje tożsamości”. W tym miejscu:

  1. Sprawdź, na jakich urządzeniach jesteś zalogowany/a na swoim koncie i wyloguj się za pomocą specjalnego przycisku przy nazwie urządzenia, którego nie kojarzysz.
  2. Uruchom alerty i powiadomienia o takich procesach jak logowanie do konta. Możesz skorzystać z powiadomień email, SMS, a nawet push w przeglądarce.
  3. Zapoznaj się z ostatnimi mailami, jaka wysyłała do Ciebie Meta. Niewykluczone, że w wyniku niedozwolonych działań ktoś chciał się dostać na Twoje konto, a Tobie umknęła taka informacja.

Jeżeli z jakiegoś powodu masz wyłączoną w ustawieniach opcję Facebook Protect – aktywuj ją natychmiast w Centrum Kont.

Dlaczego konta na Facebooku są przejmowane?

Powodów, dla których konta w mediach społecznościowych są łamane i cyberprzestępcy chętnie obierają je za cel, jest wiele. Przede wszystkim – biorąc pod uwagę specyfikę Facebooka – są one ściśle powiązane z Twoją sferą prywatną, co stanowi ważny element do przeprowadzenia kolejnych ataków.

Zhakowane konto może posłużyć do wyrządzenia szkód w Twojej sieci kontaktów – u znajomych, kolegów z pracy, czy wśród członków rodziny.

Znane są w Polsce przypadki pozyskania dostępów do konta w celu wykonania oszustwa metodą na Blika. Przecież rozmowa na privie z prośbą o przelew (obowiązkowo z wtrętem „oddam Ci po wypłacie”) zawsze musi być przeprowadzona z prawdziwą osobą, prawda? A niestety, liczba takich sytuacji zamiast maleć, tylko rośnie.

Oszustwo na Blika poprzez Facebook Messenger
Przykład oszustwa na Blika w aplikacji Messenger. Źródło: policja.pl

Dlaczego tak się dzieje i konta na Facebooku są przejmowane?

Wyciek danych

Dane podawane w różnych sklepach internetowych lub serwisach mogą być udostępnione przez przypadek lub błąd oprogramowania. Wycieki informacji zdarzały się, zdarzają i będą zdarzać, dlatego warto przyjąć zasadę, że cokolwiek wpiszesz w formularzu zakupów lub jako login i hasło – może być później dostępne dla każdego.

Powiązanie ze sobą danych z kilku różnych wycieków sprawia, że łatwiej „zgadnąć” dane dostępowe do danego konta w social media, z którego korzysta konkretna osoba.

Nie wiesz, jak sprawdzić czy Twoje dane wyciekły do sieci? Zapoznaj się z naszym poradnikiem „Jak sprawdzić, czy mój email wyciekł?” na pomoc.home.pl.

Brak zabezpieczeń na koncie

Pomimo rosnącej liczby użytkowników, którzy konfigurują na kontach social media dodatkową ochronę, wciąż istnieje grupa, dla których zabezpieczenia typu 2FA są trudne do zrozumienia. Zwłaszcza, gdy uważają, że korzystają z bardzo mocnego hasła.

Takie konta niestety padają najczęściej ofiarą masowych ataków z użyciem metody o nazwie „brute force”, która polega na wielokrotnej próbie odgadnięcia loginu i hasła do konta (do momentu nałożenia blokady lub złamania konta).

Atak socjotechniczny

Posiadasz mocne hasło? Aplikacja do uwierzytelniania jest zawsze pod ręką? Wcale nie musi to oznaczać, że nie będziesz ofiarą innego typu ataku. Metody na zabezpieczenie konta w postaci 2FA dotyczą ochrony przed tzw. atakami automatycznymi. Ataki socjotechniczne (zwłaszcza na konta na Facebooku) są z kolei sprytną formą wykorzystania pewnych informacji, opublikowanych już przez Ciebie w sieci, które posłużą przestępcom do podjęcia kolejnych kroków.

Przykład: wyjeżdżasz na wczasy do Chorwacji, wypoczywasz na plaży i publikujesz na swoich kontach social media piękne zdjęcia ze zwiedzanych przez Twoją rodzinę zabytków. Cyberprzestępca może wykorzystać ten fakt i zadzwonić do Ciebie podszywając się pod konsultanta Facebooka z rzekomą informacją, że serwis odnotował atak na Twoje konto z adresu IP, należącego do chorwackiej sieci.

Rzekomy konsultant może poprosić Cię o podjęcie natychmiastowych działań poprzez kliknięcie w link wysłany przez „system ochrony Facebooka” na Twoją skrzynkę email. Konsultant wzbudzi jeszcze większą wiarygodność informując, że proces ten jest w pełni bezpieczny, ponieważ odbywa się na szyfrowanym połączeniu internetowym https.

Kliknięcie w link przekieruje Cię na fałszywą stronę, na której musisz podać swój login i hasło – w ten sposób przestępca pozyska inny element układanki. Na sam koniec przestępca może poprosić o dodatkową weryfikację bezpieczeństwa poprzez słowne podanie kodu 2FA do zatwierdzenia zmiany hasła w Departamencie Bezpieczeństwa (w rzeczywistości zaloguje się jednak na Twoim koncie za pomocą kodu podanego przez telefon).

Uważasz, że taki scenariusz Ci nie grozi? Właśnie przez brak czujności i granie na emocjach takie ataki mają rację bytu. Emocje są Twoim największym wrogiem w niebezpiecznych sytuacjach.

Działanie wirusów i keyloggerów

Innym rodzajem na pozyskanie danych są różnorakie szkodliwe aplikacje, które logują Twoje działania, wykonywane na danym urządzeniu, a następnie przesyłają je na serwer należący do cyberprzestępcy. Wirusy i malware, a także tzw. keyloggery ułatwiają zebranie najważniejszych informacji, przekazywanych przez użytkownika na stronach WWW czy w aplikacjach social media.

Atak z sieci WiFi (sidejacking)

Inną metodą, która umożliwi przestępcom pozyskanie danych to tzw. sidejacking wykonywany w obrębie sieci WiFi, do której podłączone jest wiele urządzeń, w tym Twoje. Mowa tutaj o różnorakich sieciach publicznych, nienależycie zabezpieczonych hotspotach w kawiarniach, na lotniskach czy wydarzeniach kulturalnych.

Sidejacking polega na kradzieży sesji użytkownika, a konkretnie ciasteczek z zapisanymi informacjami o logowaniu do wybranego serwisu. Przejęcie danych umożliwia „podszycie się” przestępcy pod Twoją sesję i przejęcie dostępów. A jako, że połączenie odbywa się z tej samej sieci – platforma social media może nie wykryć, że dochodzi do nadużycia.

Czy silne hasło do konta w aplikacji Facebook wystarczy?

Powtarzana kiedyś dobra rada, mówiąca o nadawaniu do każdego konta w social media unikalnego, złożonego hasła jest wciąż aktualna. Zadbaj o to, aby każda dana dostępowa była inna od poprzedniej, ponieważ cyberprzestępcy wychodzą z założenia, że raz pozyskane email oraz hasło z wycieku danych są używane na każdej platformie społecznościowej.

Aby ułatwić sobie życie i zmniejszyć ryzyko – korzystaj z menadżera haseł, który wygeneruje dla Ciebie odpowiedni ciąg znaków i zapisze je w zaszyfrowanej formie. Tak naprawdę przy codziennym użytkowaniu powinno się korzystać z jednego hasła – właśnie do konta w menadżerze haseł, który przechowuje inne dane. Oczywiście zadbaj , aby takie hasło było również bardzo mocne.

Podsumowując, hasło to jeden z elementów, który chroni dostęp do konta na Facebooku i Instagramie – nie warto więc stosować tu prostych, oczywistych rozwiązań tj. imię psa z dodanym rokiem.

Włączanie uwierzytelniania dwuskładnikowego (2FA) – jak to działa?

Uwierzytelnianie dwuskładnikowe to warstwa ochrony podczas logowania, która wymaga zatwierdzenia operacji za pomocą dodatkowego elementu. Popularne 2FA (Two Factor Authentication) może przybrać kilka form, w zależności od decyzji operatora oraz samego użytkownika:

  • weryfikacja poprzez kod wysłany w wiadomości SMS,
  • weryfikacja poprzez jednorazowy kod w aplikacji uwierzytelniającej,
  • wysyłka jednorazowego kodu na adres email użytkownika.
Przykład ochrony 2FA w aplikacji Microsoft Authenticator
Przykład ochrony 2FA w aplikacji Microsoft Authenticator

W przypadku Facebooka użytkownik może skorzystać z ochrony 2FA na 2 sposoby – poprzez SMS oraz poprzez aplikację mobilną np. Google Authenticator.

Aplikacja uwierzytelniająca czy kod SMS?

Nawet tak bezpieczna metoda logowania, jak ta za pomocą 2FA, ma swoje mniej lub bardziej ryzykowne rozwiązania. 2FA samo w sobie zmniejsza ryzyko przejęcia dostępów do konta na Facebooku i Instagramie, ale… zawsze jakieś ryzyko złamania tego zabezpieczenia pozostaje.

Wystarczy odpowiedzieć sobie na pytania:

  • Co w sytuacji, gdy atakujący ma dostęp do mojego konta mailowego, a jak loguję się do danej aplikacji (niekoniecznie na Facebooka) poprzez 2FA z kodem na email?
  • Czy jednorazowy kod SMS jest w pełni bezpieczny, jeżeli istnieje szansa, że ktoś sprytnie zduplikował kartę SIM z moim numerem telefonu? (pisał o tym m.in. serwis Niebezpiecznik)

W perspektywie tych 2 zagrożeń (jakkolwiek o niskim stopniu ryzyka, ale jednak obecnych w Polsce) wybór aplikacji uwierzytelniającej wydaje się bardziej rozsądnym rozwiązaniem. Atakujący musiałby nie tylko zdobyć Twoje urządzenie, ale też znać kod PIN do odblokowania ekranu.

A jeśli jakimś cudem podejrzy on przez ramię Twój jednorazowy kod z aplikacji – musi jeszcze zdążyć go wykorzystać (a kody zmieniają się co kilkadziesiąt sekund). Potrzebnych elementów do złożenia w całość jest więc zdecydowanie więcej.

Jak chronić konto na Facebooku (oraz Instagramie) przed przejęciem?

We współczesnym internecie czyha wiele niebezpieczeństw. Czasem stajemy się ofiarą ataku i przejęcia konta przez przypadek, a czasem nie jesteśmy nawet świadomi, że atakujący stosuje proste i skuteczne metody na wyłudzenie od nas ważnych danych. Dlatego kluczowa – bez względu na to, czy częściej siedzisz na Facebooku, a może wolisz Instagram – jest czujność. Zastosuj się również do poniższych wskazówek.

Ustaw unikalne hasło do konta i zmieniaj je regularnie

Bardzo mocne, złożone hasło do konta to podstawa. Zgodnie z wcześniejszymi wskazówkami – skonfigurujesz je w dowolnym, popularnym menadżerze haseł. Ale hasło to wciąż tylko i aż pewien ciąg znaków, który po wycieku danych będzie dostępny do użytku przez cyberprzestępcę. Dlatego zmieniaj dane dostępowe regularnie np. raz na 3-4 miesiące.

Włącz i skonfiguruj ochronę 2FA za pomocą aplikacji uwierzytelniającej

Jeżeli jeszcze nie masz aplikacji uwierzytelniającej tj. Google Authenticator, zainstaluj ją natychmiast na swoim telefonie i skonfiguruj dostęp 2FA do wybranego konta w social media. Nie polegaj wyłącznie na autoryzacji przez SMS. Co więcej, niektóre social media nawet wycofują się z funkcji 2FA przez wiadomość SMS (zrobił to na przykład Twitter). Aktywacja takiego zabezpieczenia wydatnie zmniejsza ryzyko przejęcia dostępu do konta.

Korzystaj z menadżera haseł

Jedno konto = jedno unikalne, silne hasło. Ta żelazna zasada powinna jak najszybciej utrwalić się w Twojej głowie. Koniec z hasłami powiązanymi z rodziną, datą urodzenia, ulubionym filmem czy imieniem córki/syna. Każda informacja, jaką publikujesz na swoim koncie na FB lub IG może ułatwić odgadnięcie potencjalnego hasła do pozyskanego już wcześniej loginu.

Dobre, skomplikowane hasło bez fraz słownikowych wygenerujesz w menadżerze haseł. W dużym skrócie zamiast hasła Kransoludek1992# stosuj coś podobnego do:

7avRf#2rh5f!J8

Aktywuj powiadomienia o logowaniach

Brak powiadomień oznacza, że nie będziesz w stanie szybko zareagować na potencjalne włamanie. Jeżeli dany serwis posiada taką opcję (a Facebook i Instagram mają ją wbudowaną w ustawieniach bezpieczeństwa) to ustaw adres email do wysyłki informacji o nowych logowaniach.

Ważne – takie powiadomienia będą do Ciebie przychodzić, gdy będziesz korzystać z Facebooka np. w innej sieci WiFI (za granicą).

Zainstaluj antywirusa na urządzeniach, na których korzystasz z Facebooka

Antywirusy na komputerach PC czy laptopach z Windows nie są czymś niezwykłym. Wciąż jednak bagatelizujemy zagrożenia, jakie czyhają na nas w social media przy korzystaniu ze smartfonów. A to właśnie na nich przechowujemy większość ważnych danych – adresy email, listy kontaktów, zdjęcia i inne pliki.

Co więcej, dane pochodzące z raportu firmy Zimperium „Global Mobile Threat Report 2023” mówią, że w ostatnich miesiącach aż 60% wszystkich infekcji na urządzeniach firmowych miało związek z działaniem użytkowników na urządzeniach mobilnych.

Ataki phishingowe na smartfonach są również 6 razy bardziej skuteczne od klasycznych ataków za pomocą poczty elektronicznej. To nie są raczej pozytywne wieści.

Warto więc uzbroić swoje urządzenia mobilne w dodatkową ochronę antywirusową, która jest w stanie w czasie rzeczywistym zablokować np. dostęp do niebezpiecznej strony internetowej.

Nie klikaj w podejrzane linki i posty

W wiadomości na Messengerze ktoś wysłał Ci łańcuszek z linkiem do niesamowitego konkursu z gwarantowanymi nagrodami?

Na Twojej belce z powiadomieniami pojawiła się informacja, że profil o nazwie „Facebook Security Support” oznaczył Twoją stronę w poście jako zagrożoną i musisz przejść „weryfikację użytkownika”, aby odzyskać dostęp do zarządzania fanpage?

Szkodliwa wiadomość z linkiem na Messengerze
Przykład szkodliwego łańcuszka od znajomego na Messengerze.

Nie klikaj w takie wiadomości, a już na pewno nie wprowadzaj przez nie żadnych danych tj. login czy hasło. Cyberprzestępcy za pomocą takich metod mogą nakłonić Cię do przejścia na łudząco podobną do prawdziwego Facebooka stronę i poprosić o ponowne zalogowanie się do konta. Tak przechwycone dane posłużą oczywiście do wykonania ataku i podjęcia próby przejęcia kontroli nad stroną, którą zarządzasz.

Nie loguj się do Facebooka na nieznanych urządzeniach

Jesteś z dala od domu? Nie ufaj urządzeniom, które masz do chwilowej dyspozycji. Nigdy nie wiesz, kto korzystał z danego laptopa i co w nim mógł zainstalować. A działające w tle keyloggery lub wirusy mogą zapisać Twoje dane dostępowe. Dbaj o tzw. higienę w użytkowaniu z social media i ogranicz liczbę komputerów i telefonów do minimum. Zadbaj też o to, aby przy sprzedaży takiego urządzenia wylogować się zdalnie (poprzez Centrum Kont – zobacz powyżej) z konta na Facebooku lub Instagramie.

Jakie rodzaje ataków i włamań na Facebooku mogą się pojawić w przyszłości?

Nie da się ukryć, że w niektórych przypadkach reakcje platform social media są spóźnione w stosunku do metod stosowanych przez cyberprzestępców. Wielu ekspertów podkreśla, że w niedalekiej przyszłości mogą pojawić się bardzo duże problemy z bezpieczeństwem, wynikające z zastosowania działań sztucznej inteligencji. Dotyczy to zwłaszcza wszelakich ataków z wykorzystaniem socjotechniki.

Sztuczna inteligencja już teraz umożliwia podszycie się pod cudzą osobę z wykorzystaniem np. barwy głosu (Microsoft chwalił się m.in. technologią, która potrzebuje tylko 3 sekund prawdziwych nagrań, aby skutecznie naśladować oryginał). Kwestią czasu jest, aby na podstawie nagrań wideo z wakacji opublikowanych na Instagramie lub Facebooku, ktoś zasymulował również wideorozmowę z Tobą w roli głównej.