Scam przez wiadomości prywatne na FB/IG

Scam to po prostu oszustwo. Niekoniecznie internetowe, choć najczęściej terminem tym określa się oszustwa online. W sieci scamerzy na różne sposoby starają się zdobyć nasze zaufanie, uśpić naszą czujność, aby najczęściej wykraść nasze dane lub przejąć kontrolę nad naszymi kontami społecznościowymi.

Jakie są socialowe skutki scamu?

Kilka lat temu straciłem moje prywatne konto na Instagramie i do tej pory go nie odzyskałem. Nie korzystałem jeszcze wówczas z uwierzytelniania dwuskładnikowego. Od tego momentu używam go wszędzie, gdzie to tylko możliwe – nawet na „głupim” Bitly. Człowiek uczy się na błędach i od tego czasu żadne konto nie zostało mi już skradzione.

Kiedy indziej jednemu z moich klientów włamano się do menedżera firmy przez konto jednego z administratorów firmy (nie moje). Włamywacze błyskawicznie stworzyli swojego piksela i odpalili na naszym koncie reklamy jakichś dywanów. W ciągu niecałej doby wydali nasz miesięczny budżet. Meta dość szybko zablokowała konto reklamowe, ale niestety odzyskiwanie pieniędzy i pełnych dostępów do konta trwało ponad miesiąc. Jeśli menedżer firmy posiada kilku administratorów (a zazwyczaj tak jest i rekomenduje to sama Meta), to konto każdego z nich może okazać się wytrychem do Waszej firmy.

Jak widzisz, skutki scamu mogą być bardzo poważne. Szczególnie jeśli zajmujesz się mediami społecznościowymi zawodowo. Przeciętny użytkownik sociali powinien być czujny, bo ryzykuje utratę swoich profili prywatnych. Ty powinieneś być podejrzliwy 10 razy bardziej, bo ryzykujesz kontami zarówno prywatnymi, jak i firmowymi.

Socialowy scam przez e-mail

Próby przejęcia kont społecznościowych były zawsze.

Dotychczas do tego typu oszustw wykorzystywano jednak głównie wiadomości e-mail. Na nasze skrzynki trafiały maile, które rzekomo miały pochodzić od Facebooka czy Instagrama.

W 80% przypadków wystarczyło sprawdzić adres nadawcy, aby odkryć, że mamy do czynienia z oszustwem. Meta nigdy nie pisze do nas z adresów typu @gmail.com czy @outlook.com. Sprawdź listę domen, z jakich mogą kontaktować się z Tobą przedstawiciele Mety. Bardzo ważne jednak, aby sprawdzać dokładnie każdy, dosłownie każdy znak – @support.facebook.com to nie to samo co @support-facebook.com!

Szczerze mówiąc nie przypominam sobie scamowych maili, których autorzy podszywaliby się pod X, LinkedIna czy TikToka, choć konta w tych kanałach prowadzę od lat. Myślę, że to po prostu kwestia tego, że oszuści wysyłają wiadomości w ciemno, na oślep. W przypadku Facebooka czy Instagrama mają statystycznie największe szanse trafić, ponieważ nie licząc google’owego YouTube’a, najwięcej osób posiada konta w dwóch platformach Mety.

Socialowy scam przez wiadomości prywatne na FB/IG

W ostatnich miesiącach ekstremalnie nasiliły się próby oszustw poprzez wiadomości prywatne wysyłane do stron na Facebooku, rzadziej do kont na Instagramie. Od kilku tygodni nie ma dnia, abym nie dostawał tego typu wiadomości. Obecnie moderuję 6 profili firmowych na FB/IG. Na wszystkich otrzymuję scamowe wiadomości i to niezależnie od ich wielkości czy kategorii.

Przed zagrożeniem ostrzegał ostatnio Zespół Cyberbezpieczeństwa utworzony przez Komisję Nadzoru Finansowego.

Zazwyczaj wiadomości prywatne od oszustów dotyczą rzekomego naruszenia zasad standardów społeczności. Oszuści grożą, że jeśli nie podejmiesz jakiejś aktywności (zazwyczaj w określonym czasie, np. 24 lub 48 godzin), to Twoja strona zostanie usunięta bądź zablokowana. W wiadomości znajdziesz link albo plik *.RAR / *.ZIP do pobrania. Oczywiście w nic nie klikaj, niczego nie pobieraj – to oszustwo! ✋

Poniżej przykład tego typu wiadomości. Nie przywiązuj się jednak zbytnio do jej treści, ponieważ widziałem już dziesiątki, jeśli nie setki, jej różnych wariacji.

Treść wiadomości najczęściej jest w języku angielskim jak powyżej. Zdarzają się też jednak wiadomości po polsku lub w innych językach.

Ostatnio byłem zaskoczony tym, że oszust wysłał do mnie wiadomość prywatną z profilu zweryfikowanego w ramach Meta Verified! :O [w tym miejscu polecam akapit „Co z wiarygodnością? Poszła się sprzedać” w moim ostatnim wpisie nt. płatnych kont social media]

Jak rozpoznać scam na priv?

Meta ani jako Facebook, ani jako Instagram, nigdy nie kontaktuje się z użytkownikami poprzez wiadomości prywatne wysyłane do stron na FB czy kont na IG. Co prawa korzystając z czatu z supportem wymieniasz wiadomości prywatne z przedstawicielem Mety, ale robisz to jako użytkownik, nie strona.

Strony na Facebooku nie mają w ogóle możliwości wysyłania wiadomości do innych stron. Zatem te wszystkie konta, z których Twoja strona otrzymuje scamowe wiadomości na priv, to po prostu fake’owe profile użytkowników, które mają przypominać strony firmowe (nazwą, zdjęciem profilowym itp.). Oczywiście mają one przypominać oficjalne strony firmowe należące do Mety, Facebooka, Instagrama, ich supportu i zespołów odpowiedzialnych za bezpieczeństwo (np. security team).

Kolejna rzecz – jeśli Meta drogą mailową lub na czacie z supportem przesyła Ci jakikolwiek linki, to są to adresy URL rozpoczynające się od https://facebook.com/… lub https://business.facebook.com/… Meta nie używa żadnych skracaczy linków ani innych – nawet realistycznie brzmiących – adresów typu https://meta-support-page.com czy https://business-contact.help/ (autentyczne przykłady adresów, jakimi posługiwali się oszuści).

Jak bronić się przed oszustami?

Mam dla Ciebie złą wiadomość. Meta – czy to na Facebooku czy na Instagramie – w niewielkim stopniu zapewnia Ci ochronę przed oszustami. W przyszłości może być jeszcze gorzej, ponieważ niektóre platformy social media (np. X) już zarezerwowały uwierzytelnianie dwuskładnikowe wyłącznie dla płatnych abonentów.

Musisz sobie zdać sprawę, że TO TY SAM odpowiadasz za bezpieczeństwo swoje i Twoich klientów. Zresztą w 90% przypadków źródłem wszelkich problemów jest zachowanie samego użytkownika, nie systemu.

Co w takim razie możesz zrobić, aby uchronić się przed scamerami?
1⃣ Przede wszystkim nie klikaj w linki, które otrzymujesz w wiadomościach prywatnych do strony, ani nie pobieraj żadnych plików. Samo otwarcie wiadomości w skrzynce odbiorczej FB/IG nie jest problemem, ale już kliknięcie w link – jest. Warto zmienić po nim hasło i przeskanować swoje urządzenie.
2⃣ Nigdy nie wpisuj w żadnym formularzu danych do logowania na swoje konto FB lub IG – Meta nigdy ich od Ciebie nie wymaga! Jeśli Meta chce cokolwiek zweryfikować, to poprosi Cię co najwyżej o ID Twojego konta reklamowego, strony lub menedżera firmy. Nigdy w celach weryfikacyjnych nie poprosi Cię o hasło, za pomocą którego logujesz się do Facebooka czy Instagrama.
3⃣ Najlepszą obroną przed negatywnymi skutkami scamu jest uwierzytelnianie dwuskładnikowe. Ono może (choć nie musi) ochronić Cię nawet wtedy, kiedy już przypadkowo klikniesz w jakiś podejrzany link. Uwierzytelnianie nie zapewnia Ci bezpieczeństwa w 100%, ale znacząco go zwiększa.
4⃣ Sprawdź, kto jest administratorem Twojego menedżera firmy i uświadom wszystkich administratorów, jak odpowiedzialną pełnią rolę. Wymuś na nich korzystanie z uwierzytelniania dwuskładnikowego.

Więcej porad znajdziesz w moim poradniku nt. bezpiecznych sociali.

Zgłoś oszustwo i pomóż Mecie walczyć ze scamem

Meta zaleca: Jeżeli wiadomość e-mail lub wiadomość na Facebooku wygląda dziwnie, nie otwieraj jej ani żadnych załączników. Zgłoś ją pod adresem adres phish@fb.com lub za pomocą linków zgłaszania widocznych w różnych miejscach serwisu Facebook.

Ja osobiście nie pozostawiam scamowej wiadomości w skrzynce odbiorczej – chociażby dlatego, aby w podejrzany link nie kliknął inny administrator strony. Usuwam ją albo przenoszę do folderu „Spam”, co jest dla Mety sygnałem, że dany nadawca SPAM-uje. Szczególnie jeśli wielu użytkowników oznaczy wiadomość od tego samego nadawcy jako SPAM. Jeśli mam czas, dodatkowo zgłaszam konto scamera.

Trzeba przyznać, że Meta coraz szybciej blokuje konta, z których działają oszuści. Dziwię się jednak, że dopuścili do sytuacji, w której od wielu miesięcy zasypują oni skrzynki odbiorcze stron swoimi wiadomościami i nadal są w stanie to robić. Miejmy nadzieję, że wkrótce Meta znajdzie sposób jak ukrócić ten proceder.

Obserwuj Rysuję fejsbuki na
Rysuję fejsbuki na LinkedInie
Rysuję fejsbuki na Facebooku
Rysuję fejsbuki na Instagramie
Rysuję fejsbuki na X
Rysuję fejsbuki na TikToku

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *