Nove žrtve krađe identiteta na društvenim mrežama, ovoga puta na Instagramu, bilježimo iz dana u dan. Splićanka koja je željela ostati anonimna i 28-godišnji Duje Šarić imaju istu priču: dobili su poruku od profila koji se predstavlja kao "Centar za Instagram račune" te ih upozorava kako im prijeti brisanje profila zbog kršenja autorskih prava na objavama na IG-u. U poruci im je bila poveznica na žalbu na koju moraju upisati korisničko ime i lozinku u roku od 48 sati kako im ne bi izbrisali profil. U potpisu je navedena adresa tvrtke "Meta", pod čijom kapom djeluje Instragram i Facebook.
Nakon klika, odvedeni su na stranicu izvan domene Instagrama gdje se od njih traži upisivanje osobnih podataka. Nakon prijave, odvedeni su na "spam" stranicu. Tada gube pristup svojem Instagramu, ali i s njim povezanim Facebook profilu.
Promijenjena im je lozinka, a s profila se počinju objavljivati priče s privatnim fotografijama osobama uz poruke kojima se poziva na praćenje i kontaktiranje profila izvjesne Kate Horvat ili @coach kate01. Da je prevara vidljivo je i po korištenju muškog umjesto ženskog roda iako je vidljivo kako je riječ o profilu kojeg koristi i potpisuje - žena!
Odlaskom na profil vidimo da se Kate Horvat opisuje kao trgovkinju kriptovalutama i devizama. Ona tobože donosi brzu zaradu što se potvrđuje slikama s PayPal računa. Ima par objava na profilu, prva je stara par dana i na njima nekoliko lajkova iako joj profil ima više od 1000 pratitelja među kojima i profil "Help center" koji se s Instagrama javio Splićanki te joj "lajka" fotografije. Kate voli hranu, knjige, svoj posao, putovanja, luksuzni život što je vidljivo po objavama iz hotela u New Yorku, Dallasu, stadiona u Miamiju. Zaradila je više od 100.000 dolara, navodi u opisu.
Nakon što je kontaktirala administratore, Splićanki je nakratko vraćen pristup profilu. Uspjela je izbrisati objave, ali uskoro joj je izbrisan Instagram profil. Iako je Facebook profil uspjela vratiti natrag, no morala je izbrisati još nekoliko računa koji su na njega bili prijavljeni.
Kontaktirali smo ‘Kate Horvat‘ da vidimo što ona kaže. Dobili smo gramatički krivo napisan odgovor kako je Splićanka čiji je profil izbrisan jedna od njenih (u porukama njegovih) uspješnijih klijenata i kako se bavi trgovinom sedam godina uz milijunsku zaradu (?!)
Pokušali smo ući u trag Kate Horvat i pretragom slika na "Googleu". Podudarnost je pronađena s nekoliko profila: Rita Banks na Pinterestu, Isabelle Challi na TikToku, Suzanne i Amelia George na Instagramu. Sve su sebe opisale kao trgovkinje devizama i kriptovalutama. Klasičan primjer lažnog profila.
Policija: Phishing i kazneno djelo neovlaštenog pristupa
Iz policije kažu kako je ovdje riječ o psihingu i kako do sada nemaju evidentiranih kaznenih prijava koji se odnose na događaje poput opisanog, a radi se o neovlaštenom pristupu za koji je predviđena kazna zatvora do dvije godine zatvora, ali progon mora inicirati oštećena osoba:
- Iz dostavljenih podataka može se posumnjati kako se radi o lažnoj poruci ”Help Centra” jer se od korisnika traži brisanje profila. To društvene mreže nikada ne traže nego same uklanjaju profil ako se radi o kršenju njihovih pravila. Preporuka je da sami kontaktiraju korisničku službu društvene mreže i traže informaciju.
Mi smo poslali upit korisničkoj službi kao i HAKOM-u. Da podsjetimo, kad su prije nekoliko mjeseci stizale prijave o hakiranim WhatsApp računima, HAKOM je odgovorio kako nema nadležnosti nad spomenutom aplikacijom. Tada se spominjalo i hakiranje teleoperatera nakon čega smo doznali kako ni spomenuti teleoperater nema nadležnost nad aplikacijom.
HAKOM nam je odgovorio kako nisu niti jednu prijavu o krađi Instagram profila niti se bavi pitanjem nezakonitog sadržaja.
- Prevaranti danas koriste različite metode, no svakako savjetujemo ne otvarati i ne odgovarati na poruke nepoznatih pošiljatelja. Dodatno, više je pokazatelja koji ukazuju da je moguć pokušaj prevare, a tu su danas prvenstveno neispravne rečenice za koje je korišten prevoditelj teksta. Najbrži način za rješavanje problema je obratiti se izravno Instagramu, a po potrebi Agenciji za zaštitu osobnih podataka (AZOP-u) i najbližoj policijskoj postaji - savjetuju iz HAKOM-a.
PU SD također upozorava kako se kršenje autorskih prava temeljem kojeg se ostvaruje imovinska korist treba prijaviti policiji ili državnom odvjetništvu.
- Profil može izbrisati korisnik sam ili administrator društvene mreže. Ovisno o društvenoj mreži, administrator u pravilu suspendira profil ako se krše njihova pravila i ne briše podatke o profilu.
No, što će nekome nečiji Instagram i Facebook profil? Što točno može s time?
- Motivi su mnogobrojni: prikupljanje osobnih podataka za krađu identiteta, širenje malicioznih programa za kibernetičke napade, ucjenjivanje korisnika profila ili objavljivanje ilegalnog sadržaja... Jedan i od mogućih razloga je pokušaj da se utvrdi koji su profili aktivni i da se nad istima preuzme kontrola ili širenje malicioznih programa koji će se dalje distribuirati phishing porukama.
‘Ogroman porast ovakvih slučajeva‘
Duje Kozomara, suvlasnik konzultantske tvrtke ”Consent” i suosnivač udruge ”Politiscope”, kaže da je bitno provjeriti autentičnost profila i uvesti dodatan sloj zaštite poput slanja poruke na naš broj prilikom pristupa profilima:
- Veliki servisi nas rijetko pitaju korisničko ime i lozinku nakon pristupa i nikada nas neće tražiti da idemo na drugu stranicu nepovezanu s njihovom domenom. Samo se zapitajte: zašto bi me Instagram vodio na web-adresu koja nije Instagram.com? Bitno je provjeriti koliko pratitelja ima ta korisnička podrška i tko nas to traži. To vrijedi i za Google, mail i Cloud servise – objašnjava stručnjak za zaštitu osobnih podataka i navodi kako je phishing u ogromnom porastu:
- To je eksplodiralo kod nas. Phishing je dostupan zbog AI alata koji omogućuju kreiranje velikog broja poruka i ”botova” koji te poruke šalju. Ljudi još i dalje olako ostavljaju svoje osobne podatke.
Kolika može biti opasnost jednom kada nam se podaci ukradu objasnio je kroz primjer Googlea:
- Od Googlea koristimo mail, kalendar, a onaj tko ima pristupne podatke, ima podatke gdje živimo, gdje se krećemo, koja nam je adresa i ima pristup svim porukama. To je vrlo ozbiljno jer onda ta osoba može našoj banci i telekomunikacijskom provideru glumiti da smo to mi.
- Što onda napraviti?
- Dobro je imati multifaktorsku autentifikaciju pa prilikom davanja lozinke trećoj osobi to ne bi bilo dovoljno za ući u naš profil zbog dodatnog sloja zaštite. Dobro je, primjerice, postaviti da vam na mobitel dođe kod kojim se štitite od ulaska u profil.
Kozomara je objasnio kako mnogi ne znaju da uvijek od hotela ili trgovina kojima smo dali podatke možemo tražiti i odgovore zašto se podaci koriste i možemo tražiti njihovo brisanje:
- Agencija za zaštitu osobnih podataka su dužni provesti inspekciju temeljem prijave nezakonitog korištenja osobnih podataka ako je riječ o hrvatskim tvrtkama. Problem je što često prevare imaju međunarodni karakter i jako je teško otkriti takve aktere. Iz osobnog iskustva mogu reći kako policija pronađe počinitelje iako nam se čini da policija nema takve alate. Postoji i Cert.hr gdje se stalno obavještava javnost o novim prijevarama u tijeku kako bi bili u toku. GDPR nam omogućuje da pitamo, primjerice hotele ili trgovine, zašto će se koristiti naši podaci, koje podatke imaju i možemo tražiti brisanje podataka.
Za sudjelovanje u komentarima je potrebna prijava, odnosno registracija ako još nemaš korisnički profil....