Розкажу і я, як мене хакнули тиждень тому.
Крок 1. Показали мені у Facebook рекламу TikTok Business «Отримай $3 тис., щоб спробувати рекламу в TikTok».
На цьому етапі все виглядало доволі логічним: TikTok нарешті запустив бізнес-рекламу і агресивно просувається, щоб якомога швидше залучити рекламодавців. Не $35 купон від Google і не $200 від Facebook, але зараз всі роздають гроші, а TikTok треба якнайдорожче продатись, то чому б і ні.
Приклад подібної реклами, але та вела в додаток, а не на сайт:
Крок 2. По переході дали скачати додаток з Google Play. Лого TikTok, все канонічно.
Це ще більше додало впевненості, адже Google слідкує за фішинговими додатками.
Крок 3. В додатку кнопка «Отримати купон», котра просить залогуватись у Facebook.
Тут у мене зародились сумніви. Але я подумав, що вони, можливо, захочуть запостити в мою стрічку щось на зразок «Користуйся TikTok для бізнесу» чи зібрати інфу про мене, чи в них single sign-on через Facebook.
Словом, ввів я їм свій логін і пароль. Подумав: у мене ж двофакторна авторизація, чого мені боятись, цікаво, що далі. СМС для підтвердження також увів.
Крок 4. Мені показали десятизначну цифро-буквенну комбінацію.
Я не зрозумів, де її застосовувати, і вирішив глянути за окремим додатком для бізнесу. Тут я відволікся на інші справи.
Крок 5. За 15 хвилин мені приходить імейл, що мене видалено з бізнес-акаунта у Facebook, яким я управляв для свого товариша. Його видалено також.
Я не врахував, що я верифікував їх браузер, тож вони з нього можуть управляти моїм акаунтом. Я одразу змінив пароль і пройшов усі процедури перевірки.
Написав в підтримку Facebook, зробив скріншоти «Чому я бачу цю рекламу?».
Крок 6. За декілька днів приходить лист, що з рекламного акаунта витрачено $2000.
Зараз спілкуюся з підтримкою Facebook, сподіваюсь, що вони повернуть бізнес-акаунт зі сторінкою і обнулять рекламний акаунт (доступ до сторінки пізніше відновили, про витрачені гроші на рекламу поки невідомо – прим. ред.).
Висновок: впевненість у правильності колись зроблених кроків безпеки – це добре, але з’являються нові методи, тож треба бути уважними. Я проколовся на гіпотезі, що браузер треба верифікувати кожного разу двухфакторною авторизацією.
Джерело: Facebook-сторінка Ростислава Чайки.
Этот материал – не редакционныйЭто – личное мнение его автора. Редакция может не разделять это мнение.
Сообщить об опечатке
Текст, который будет отправлен нашим редакторам: