Visai neseniai kilo reiškinys, kurį pavadinčiau “antroji Facebook banga” – tai yra kai socialinis tinklas leido integruoti savo funkcijas į kitų žmonių svetaines. Tai ir “Like” mygtukai, ir Facebook Connect, ir Open Graph technologija, ir kitokios funkcijos. Visa tai yra gražu ir perspektyvu, tačiau ar tikrai saugu? Viena vertus, iš Facebook pusės saugumas užtikrintas pakankamai gerai, bet košės sau prisidaryti gali patys vartotojai per žioplumą. Kaip būtent? Papasakosiu žemiau.
Paimkime vieną konkretų pavyzdį. Neseniai Lietuvoje atsirado vienas naujas projektas rokit.lt, leidžiantis siūlyti įdomias patikusias naujienas iš įvairių portalų į bendrą Rokit.lt srautą. Bet siūlyti naujienas gali tik prisiregistravę vartotojai. Laimei, nebūtina portale registruotis, o galima tiesiog prisijungti su savo Facebook slaptažodžiu, taip identifikuojant save. Atrodo forma štai taip:
Puiku, kelios galimybės – galima užpildyti formą arba prisijungti per Facebook. Gerai, pasirenkame pastarajį variantą, nes nenorime turėti dar vieno atskiro vartotojo dar viename tinklalapyje. Spaudžiame “Connect with Facebook”, ir tada iššoka langas su maždaug tokiu vaizdu:
Trumpai tariant, įveskite savo Facebook vartotoją ir slaptažodį, ir jus rokit.lt sistema atpažins per Facebook. Pats praėjau registravimo procesą iki galo, ten siūlo dar pasirinkti Rokit.lt vartotojo vardą, ir viskas – gali siūlyti naujieną į portalą. Tačiau užduosiu klausimą: jeigu tinklalapyje, kuriame pirmą kartą lankotės, yra mygtukas “Connect with Facebook” ir iššoka langas su prašymu įvesti Facebook slaptažodį, kas jums duoda garantiją, kad slaptažodžio prašo būtent Facebook.com, o ne kas nors kitas?
Perfrazuosiu klausimą kitaip. Negi manote, kad sunku nukopijuoti gražų paveiksliuką “Connect with Facebook” ir padaryti identišką langą su Facebook prisijungimo forma, kuris vizualiai niekuo nesiskirtų nuo tikrojo? Čia net gilių programavimo žinių nereikia – užtenka HTML/CSS. Taigi, toje vietoje gali pasidarbuoti piktavaliai, užsiėmantys taip vadinamu “phishing’u”, tai yra, apsimesdami legaliais portalais, bando pavogti vartotojų duomenis.
Pati problema yra sena kaip pats internetas. Aklai nepasitikėk beveik niekuo, saugok savo slaptažodžius ir neatidarinėk pavojingų nuorodų. Čia panašus pavyzdys, kaip buvo kilusi banga siųsti el.laiškus su prašymu kur nors įvesti banko slaptažodį, atsidarydavo gražus puslapis su banko logotipu, ir patiklūs žmonės “užkibdavo”. Analogiškai gali padaryti ir su jūsų Facebook prisijungimo duomenimis.
Kaip apsisaugoti?
Viena vertus, nereikia registruotis su Facebook duomenimis abejotinos reputacijos svetainėse. Tai yra Warez, nemokamų filmų, pornografijos ar kitokio “nešvaraus” turinio. Ir šiaip bendrai bent šiek tiek patikrinti svetainės reputaciją. Šiame straipsnyje esantis pavyzdys Rokit.lt yra saugus, vien jau dėl to, kad spaudoje mirgėjo ne vienas pranešimas apie naujai atsidariusio portalo ambicijas, ir iš jų pusės būtų labai jau nelogiška gadinti savo reputaciją, taip palaidojant portalo šviesią ateitį.
Bet vien pagal tai spręsti būtų nepatikima. Bene lengviausias ir patikimiausias būdas patikrinti, ar “Connect with Facebook” ar “Like” tikrai eina per facebook.com – tai yra tiesiog pažiūrėti atsidariusiame lange į adreso eilutę. Mano atveju, ten buvo ilgas adresas “http://www.facebook.com/login.php?return_session=1&nochrome=1….” Bet užtenka pažiūrėti į pagrindinį domeną: jei ten yra Facebook.com, galite jaustis saugūs. Bet, neduok Dieve, kas nors bandys užregistruoti domeną pvz “Fasebook.com” ir bandyti jus apgauti.
Dar patartina turėti kuo naujesnę naršyklės versiją, nes, kiek pamenu, senesnėse Internet Explorer versijose iššokančių langų viršuje iš viso nebuvo rodomi adresai, tad kaip šiuo atveju būti saugiems – filosofinis klausimas.
- – -
Tai vat tokie saugumo patarimai. Gal jūs ką pridėsite? O ar jūs esate pakliuvę į kokių nors panašių sukčių spąstus? O gal kas iš jūsų pažįstamų? Būtų įdomu išgirsti trumputę pamokančią istoriją.
July 15, 2010 1:05 pm
kokia prasme naudotis phishing su facebook??? visiskai nelogiska… is praktikos galiu pasakyt jog pasinaudojus tuo paciu phishing variantu ir pavogus email password tu gauni priejima prie visu to zmogaus account’u:)
July 15, 2010 1:42 pm
O jungtis tai nesaugu, nes naudojamas http, o ne https.
July 15, 2010 3:01 pm
Siaip esant prisijungus prie fb ir bandat jungtis prie kazkokio puslapio per facebook connect, neprasys emailo ir passwordo.
July 15, 2010 3:05 pm
Niekad netikrinau, bet esu įsitikinęs, kad, prisijungimo duomenims išsiųsti, naudojamas https. Nustebčiau jei būtų kitaip. Visgi čia pasaulinio lygio servisas.
July 15, 2010 7:20 pm
[...] padeda/kenkia aspektu aptariamas objektas. Vieną dieną gydo nuo visų ligų, kitą – nuo jo paties reikia gelbėtis. • Išmanieji telefonai pagal universalumą ima varžytis su kompiuteriais. Nors skaitant apie [...]
August 3, 2010 11:32 am
Kaip jau parašė insane, jeigu jau bijote, tai prisijunkite pačiame FB ir galva neskaudės
May 11, 2011 12:06 pm
elektroniniai slaptazodziai
June 30, 2011 8:04 am
Turiu didele problema, pries keleta dienu buvo nulauztas mano facebook slaptazodis, taip pat nulauztas ir pasto slaptazodis kur ejo visi fb duomenys. dabar netik kad negaliu ieiti i savo fb anketa bet ir i pasta. todel isvis nebeisivaizduoju kaip atstatyti slaptazodi ir atgauti anketa, kai vedu slaptazodi, raso, kad naudoju sena ir jis buvo pakeistas.nieko as nekeiciau!. ka daryti, gal zinote koki buda kaip galeciau susigrazinti fb anketa. jau bandziau atkurti pasta su kazkokiais klausimais, bet nieko nesigavo nes reikia tiksliu atsakymu, kuriu as tikrai jau nebezinau, taigi nesigavo. ir isvis norint atkurinet fb anketa ismeta salia mano nulauzto pasto kita uzslaptinta *, tik pirmos raides matosi ir kad tai gmail’as, as jo nekuriau, nesuprantu ka dabar man daryti, kaip atgauti anketa, jau ismeginau keleta budu ir deja nepadejo:(.