Ukrást heslo na FB? Snadné jak facka!

24. září 2010

Kvalitní heslo je základem bezpečnosti. Můžete mít ale sebekvalitnější heslo a stejně vám bude prd platné, když se vám ho někdo pokusí ukrást. A že heslo k Facebooku je sakra důležité si hlídat…


Jak se krade heslo?

Jednoduchá hesla se dají odhalit i metodou pokus – omyl. Častým heslem bývá i jen holé datum narození. Po několika zkažených pokusech bývá odepřen přístup k systému, takže hrubou silou zkoušet hesla nelze. A jak tedy účinně zjistit něčí heslo? Jednoduše – podvodnou stránkou.

Podvodné stránky – účinnost i přes 50 %

Ukradené účty na Facebook mají obrovskou hodnotu, a tak se lze setkat s weby, které se jej snaží ukrást. Váš přítel sdílí odkaz „Už mám tlačítko Nelíbí se mi a tentokrát skutečně funguje!“ od aplikace Nelibí se mi. Vás to zaujme, na odkaz kliknete, udělíte aplikaci všemožná oprávnění a najednou zjistíte, že jste byli odhlášení z Facebooku. Přihlásíte se a vše jede tak, jak má, tlačítko samozřejmě nikde a aplikace, která dostala udělena oprávnění, za vás napsala vzkaz pro přátele, aby to také vyzkoušeli.

Jenže byla ta stránka, kde jste zadávali heslo, skutečně stránkou Facebooku? Bohužel nebyla. A někdo se teď raduje, že jste mu sdělili jeho heslo. Udělat stránku s identickým vzhledem jako Facebook je snadné, zvládne to i úplný začátečník.

Test: Krádeže hesel na Facebook @ MistrBlogu.cz

Jelikož jsem se s podvodnými stránkami setkával jen z pozice uživatele, nikoliv tvůrce, tak jsem si vždycky říkal – sem může heslo zadat jen trouba. Jenže když jsem pak zjistil, že do té stránky zadali heslo i někteří moji přátelé, zakroutil jsem hlavou. Nedalo mi to, a chtěl jsem si ověřit účinnost takové podvodné stránky v praxi.

Ideálním místem mi přišel tento blog. Je určen pro uživatele Facebooku a články sdílí většinou hlavně ti rozumnější. Podaří se mi tedy nějaké to heslo ukrást, nebo během pár pokusů budu zavalen stížnostmi, že hesla kradu? Ano, u nějaké podvodné aplikace lze čekat mnohem větší účinnost než na mém blogu, kam chodí většinou chytřejší lidé, už jenom proto, že dokážou přečíst nějaký článek.

Hlavně nenápadně

Můj plán byl jasný – snažit se krádeže hesel co nejvíce tajit, abych si nezkazil image a lidé ze mě nezačali dělat podvodníka, jako jsou ti ostatní všude na Facebooku. Nakonec se mi ho podařilo realizovat a během přibližně dvou měsíců jsem se pokusil ukrást heslo tisícům uživatelů, aniž by to mělo nějakou odezvu – nikdo mi nenapsal mail, nikdo si nestěžoval na fanouškovské stránce a ani mě nikdo nepomlouval na ostatních webech píšících o Facebooku. Povedlo se.

Stránka kradoucí hesla se objevila při sdílení článku. Místo sdílení článku na zeď tak nejdříve vyskočilo okýnko informující o nepřihlášení na Facebook. Když se uživatel přihlásil, došlo teprve ke sdílení článku na zeď. Stránka byla zobrazitelná pouze jedenkrát na každém PC – buď heslo uživatel zadá ihned napoprvé, nebo vůbec, už nikdy po něm vyžadováno nebude. Po prvním kliknutí tak ihned začalo fungovat sdílící tlačítko správně, aniž by uživatel musel zadávat heslo – stačilo na něj prostě kliknout znovu. Jenže co když si někdo všiml, že stránka, do které heslo zadává, není na doméně Facebooku? A co když si zapamatoval adresu té podvodné stránky? I ta se mu samozřejmě zobrazila pouze 1x. Při pokusu o její druhé načtení mu byla ohlášena chyba 404 – soubor nenalezen. Nic takového prostě u mě na webu není, já hesla přece nekradu… a se slovy „Hmm, to byla asi nějaká chyba prohlížeče.“ snahu o mé prozrazení vzdají i ti, kterých jsem se obával.

Test krádeže hesel ukončen, statistiky jsou alarmující

Průměrná účinnost krádeže hesel byla neuvěřitelných 42,3 %! To znamená, že téměř každý druhý, kdo sdílel můj článek, mi zadal své heslo, aniž by se podíval, do jaké stránky heslo skutečně vyplňuje. Statistiky se samozřejmě lišily podle článků, které byly sdíleny – nejlépe dopadl článek o smajlíkách, kde úspěšnost „pouhých“ 30 % svědčila o větším rozumu čtenářů, na rozdíl od článku o mazání účtů, kde byla úspěšnost katastrofálních 52 % – mezi čtenáři článku bylo spoustu těch, kteří Varování Facebooku uvěřili.

Pokud někoho zajímají i statistiky dle prohlížečů, tak nejlépe dopadli uživatelé Opery (34,9 %), kteří si udrželi obrovský náskok nad uživateli Firefoxu (43,4) a Chrome (44,9). A co Internet Explorer? Ten jsem z důvodu nedostatečného počtu sdílení do statistik nepočítal, respektive jsem ho řadil do kupy mezi ostatní prohlížeče (38,9). Holt Firefox byl absolutně nejrozšířenější a Explorer neměl skoro nikdo – ověření mého tvrzení z článku Facebook mění internet.

Máte ukradené heslo? Pak se bojte!

Pokud vám někdo ukradne heslo k Facebooku, je to opravdu velký problém. Nejen, že se za vás může vydávat na stránkách FB, tedy v místě s půl miliardou uživatelů, kteří budou důvěřovat ve vaší totožnost, ale také na spoustě dalších webech, které podporují přihlašování přes Facebook. Zloděj vašeho hesla tak může napáchat obrovské škody. Pokud spravujete nějakou fanouškovskou stránku na Facebooku, může snadno poškodit nejen vás, ale také nějakou firmu, za což byste nesli další následky. A vůbec bych se nedivil, kdybyste heslo k Facebooku používali i na jiných místech – třeba na e-mail k Seznamu, což by znamenalo přístup nejen k celé vaší elektronické korespondenci, ale i na všechny jeho služby (Spolužáci, Lidé,…). Můžete přijít o partnera, o přátele, o práci… divili byste se, co všechno dneska ten hloupej internet dokáže – i když možná ani nedivili, že? Až vám někdo dá pěstí do obličeje, jen těžko budete vysvětlovat, že ty zprávy na Facebooku jste nepsali vy… a navíc, už bude pozdě, protože vy se o zneužití vašeho účtu dozvíte až tehdy, když se něco stane.

Ukradl jsem hesla. Co s nimi?

Variant je několik. Buď můžu jen pro zábavu na ty účty lézt, psát si s cizími lidmi, ničit vztahy, psát debilní komentáře a nasrat spoustu lidí. Můžu také prolézt všechny ty účty, vyhledat fanouškovské stránky a ty pak ukrást buď pro vlastní potřebu, nebo pro prodej na Webtrhu. A když už jsme u toho Webtrhu – jistě by bylo možné prodat i celé přístupy k účtům za opravdu tučnou sumu. Jen se podívejte, za kolik se dají prodávat podvodné stránky, kolik se platí za jejich tvorbu a reklamu na nich umísťovanou a kolik stojí taková tvorba podvodné aplikace – a představte si, že by autor některé podvodné aplikace měl možnost se přihlásit na stovky účtů a svou podvodnou aplikaci tak bleskurychle rozšířit mezi statisíce uživatelů… Nebo třeba jen získávat tisíce nedobrovolných fanoušků pro jakoukoliv firemní stránku, poptávek na toto je spoustu, takže brigáda by to byla jistě výnosná.

Já jsem se ale rozhodl jinak – všem lidem, kterým jsem ukradl heslo, jsem toto oznámil e-mailem. Vědí, že někdo má jejich heslo, a mají tedy dobrý důvod si heslo změnit a samozřejmě si pro příště dávat pozor, kam své heslo vyplňují. Díky tomuto kroku jsem i celou databázi hesel znehodnotil, protože spoustu lidí si heslo změní a těch pár lidí, kterým to je jedno, tak ty bude v těch stovkách přístupů opravdu těžké dohledat.

Ukradl jsem vám heslo, máte zlost?

Vaše rozhořčení chápu. Jistě by mě také štvalo, kdyby moje pracně vymyšlené bezpečné heslo, na které přeci nikdo nemůže přijít, najednou někdo zjistil. K tomu vám mohu říci jediné – buďte rádi, že jsem tím zlodějem byl já. Být to někdo z těch podvodníků na Facebooku, váš osud by byl již zpečetěn. A jestli jste jeden z těch ajťáků s vysokou školou a heslem prvňáka, tak byste se měl nad sebou zamyslet, jestli náhodou nemáte změnit povolání – v IT je bezpečnost opravdu důležitá.

Základy bezpečnosti

Základem bezpečnosti tedy není jen nejedno kvalitní heslo, ale také nutnost kontrolovat, kam to heslo zadáváte. Stačí jedna registrace na webu, který neukládá hesla šifrovaně, ale čitelně, a tak provozovatel webu uvidí heslo, přes které k němu přistupujete – zároveň ale také třeba vaše heslo k e-mailu. A v e-mailu může nalézt mezi zprávami další přístupové údaje, třeba k vašemu webhostingu – pak už jen můžete začít vázat mašli. Kolik hesel máte, tolik máte životů. Pokud budete používat dostatek odlišných hesel, alespoň pro ty nejdůležitější služby – různé pro e-mail, různé pro Facebook, různé pro webhosting, pro přihlášení do portálů, pak pro vás zcizení jednoho hesla nebude tak zničující, jako jednoho = všech hesel. Zapomenout heslo dnes není problém, většina webů na to má řešení, ale proti zneužití hesla už není obrany…

Takže až vám „kamarád“ pošle nějaký odkaz a vy budete náhle odhlášeni od Facebooku, kontrolujte, kam heslo vyplňujete. Jako ajťák jsem měl již několik poptávek na odhalení hesla, takže zájem mezi lidmi je dostatečný. Samozřejmě jsou i viry, které vám takovou stránku podstrčí – v tomto případě by do očí bijící měla být například ruská verze webu, případně nějak zvláštně počeštěná, bez ohledu na to, že prohlížeč skutečně ukazuje doménu Facebook.com.


Jsem lhář, zloděj a podvodník!

Ano, přiznávám – na pár účtů jsem se zkusil přihlásit, a to jen ze zvědavosti, jestli to heslo skutečně funguje, protože leckdy jsem našel opravdu neuvěřitelná hesla, která ve mně vzbudila dojem, že si ze mě někdo dělá srandu – bohužel nedělal. Přihlášením a opětovným odhlášením ale vše skončilo, holt víc nemám zapotřebí :) Ale myslete si o mně co chcete, schválně jsem si tento článek nechal až na konec svého blogování o Facebooku – mohl bych si odradit spoustu čtenářů.

Můj test měl být jakousi vakcínou – vakcíny přivádí do organismu virus, díky kterému si tělo vyrábí obranné látky, aby se dokázalo ubránit v době, kdy přijde ten skutečně silný a nebezpečný virus. Já jsem ukradl několik hesel ve snaze uživatele na tento problém upozornit a připravit je na dobu, kdy se jim skutečně někdo pokusí nebezpečně ukrást heslo. Jenže mozek spousty lidí je na rozdíl od jejich organismu neponaučitelný…

Čtěte také: Hesla, hesla a zas ta hesla

Líbil se vám tento článek? Tak ho SDÍLEJTE!

Klíčová slova:
facebook, jak zjistit heslo, přístup, hesla, bezpečnost

Komentáře: Ukrást heslo na FB? Snadné jak facka!


Komentáře ke článku Ukrást heslo na FB? Snadné jak facka! nejsou povoleny. Pokud opravdu potřebujete něco důležitého, použijte e-mail (uveden v patičce webu). Děkuji.