Kad je pred koji tjedan na mobitelu išla provjeriti svoj profil na poslovnoj mreži LinkedIn, Selmu Ćubara dočekalo je vrlo neugodno iznenađenje kad je shvatila da je preko noći postala Kathrine Ellis koja aktivno traži zaposlenike, i da je ostala bez 500-tinjak svojih poslovnih kontakata.
Selma je inače iz Zadra, a poznata je i kao osnivačica portala Čarter.hr. Njezin primjer pokazuje kako se krađa računa na društvenim mrežama može dogoditi i najopreznijima, a naučili smo i koji je ključan korak koji bismo svi trebali redovito raditi da se bar djelomično zaštitimo od provala. Jer potpuna zaštita, kažu nam stručnjaci, nije ni moguća...
"Ovako je bilo, idem provjeriti svoj LinkedIn profil na mobitelu i shvatim da sam iz nekog razloga odjavljena iz aplikacije. Dvaput se pokušam logirati sa svojom lozinkom, ne dozvoljava, traži me verifikaciju. Prođem verifikacijski proces, odbiju me riječima ‘ne možemo potvrditi da su podaci na računu i vaši podaci jednaki‘. Kako je bilo kasno, nije mi se više dalo gnjaviti s tim. Čak sam pomislila da je neki bug, da bi me drugog jutra dočekao e-mail od LinkedIn službe s linkom za reset lozinke, a na zaglavlju ime Katherine Ellis...", počinje svoju priču Selma Ćubara.
Ostala bez 500 konekcija
Prvo je pomislila da je to neka Katherine iz njihove službe za korisnike jer njezin mail je točan i sve štima.
"Onda pažljivije pročitam i shvatim da me traže službeni dokument u kojem potvrđujem svoje prezime. Pomislim kako su se nakon 6 mjeseci sjetili da sam napravila izmjenu prezimena na profilu pa da provjeravaju jesam li to ja napravila. Pošaljem im izvod iz matične knjige i mislim si sad će me još tražiti i ovjeren prijevod kod javnog bilježnika. Međutim, relativno brzo dobivam odgovor od korisničke službe da je slučaj zatvoren, da su mi potvrdili identitet i da mi u odvojenom mailu šalju link za obnovu lozinke. Tada slijedi pravo iznenađenje", nastavlja.
Jer drugi mail glasi: ‘Hi Katherine, Reset your password, and we‘ll get you on your way. To change your LinkedIn password, click the link below.‘ U prijevodu, od neke Katherine traže da obnovi lozinku i sve će biti u redu.
Koja Katherine!? Pitala se ipak kliknuvši na link, gdje opet prolazi verifikaciju uz scan lica te dođe na svoj profil. Naime, Selma je već ranije obavila verifikaciju računa na LinkedInu, korak koji nije obavezan, ali ga dio korisnika koristi kako bi potvrdio autentičnost.
"Moja profilna fotografija, preko nje okvir da zapošljavam, ime mi je Katherine Ellis i imam oko 500 konekcija manje, što sam slučajno znala jer sam nedavno komentirala kako imam samo 30 konekcija do 3.000", kaže.
Multifaktorska autentifikacija
U tom trenutku nema pojma je li se netko služio njenim profilom ni kako to provjeriti. Srećom, korisnička služba LinkedIna pokazala se brzom i korektnom, Selma im se javila i prijavila slučaj, i čim su dobili dokumente u kojima potvrđuje identitet uspjeli su joj vratiti i račun i konekcije. U 4-5 dana sve je normalno proradilo. Tada konačno uključuje ključnu stvar, dvofaktorsku autentifikaciju, kojom će se ubuduće prijavljivati.
"Mislila sam da sam uz verifikaciju profila imala uključenu u dvofaktorsku autentifikaciju, no to ne ide automatski, i to treba znati, a upravo ta autentifikacija je ključna da biste spriječili da vam netko preuzme profil", kaže nam Selma.
Što se vjerojatno dogodilo u ovom slučaju pojasnio nam je Mate Matijašević, analitičar i stručnjak za računalnu sigurnost. Selmi je netko kompromitirao LinkedIn račun, najvjerojatnije došavši do njene lozinke, a to je mogao ili ako je zarazio računalo nekim malware softverom, ili je koristio istu lozinku za druge mreže ili usluge, poput Facebooka, Instagrama.
"Naime, iako je imala verificiran račun na LinkedInu, nije imala mutifaktorsku autentifikaciju, koja joj je u ovom slučaju mogla biti ključna. Nije sto posto da bi spriječila da joj se nešto ovakvo dogodi, no značajno bi smanjila mogućnosti za takav incident", kaže nam.
Multifakorsku autentifikaciju najčešće koristimo pri prijavi na e-mail, nakon što upišemo lozinku pita nas se za pin ili dodatnu potvrdu da smo to baš mi. To je nama možda dosadno i ide nam na živce, ali je vrlo jednostavna metoda kojom se možemo zaštititi.
Može se dogoditi svakome
"Isplati li se sav taj trud i gubitak vremena, svaki pojedinac mora za sebe odlučiti, i izraditi neki model zaštite podataka, no to bi svakako trebali napraviti oni koji imaju puno konekcija ili pratitelja jer su oni najatraktivniji ako se račun želi koristiti za širenje nekih poruka ili prodaju. Doduše, njihova akcija najčešće ne bude dugog vijeka, jer ako vlasnik profila već ne primijeti da nešto ne štima, primijetit će to netko od njegovih konekcija.
Ono što je značajno opasnije je ako vam usput uđe i u druge profile ili vaš mail, gdje većina nas danas drži pola života. Tu su nam nalazi od doktora, masa privatnih stvari, pinovi, lozinke...", kaže stručnjak.
Ako mislite da se to neće vama desiti jer niste dovoljno važni, varate se, a u cijeloj priči mogu nagrabusiti i vaši kontakti i konekcije.
"Svakako je preporuka da koristite različite lozinke na različitim profilima kako se ne bi dogodilo da vam uz recimo LinkedIn provale u druge račune i naprave još veću štetu. Imajte i na umu da oni koji kradu račun i lozinku ne moraju nužno biti i oni koji će vam naštetiti, već oni mogu prodati vaše podatke onome tko ih iz bilo kojeg razloga zatreba", kaže Matijašević.
A što je uopće htjela ta nesretna Katherine? Osim što je shvatila da je osoba koja se tako nazvala pokušala tražiti zaposlenike za navodni honorarni posao vezan uz punjenje sadržaja umjetne inteligencije, Selma Ćubara nije saznala tko je i zašto pokušao kompromitirati njen račun, niti je zasad primijetila neku dodatnu štetu. Osim što joj i dalje u sandučić pristižu prijave nasamarenih honoraraca...
Komentari
0