10 sierpnia 2022

Przejmowanie kont Disney+ i innych platform streamingowych

Disney+ jest już dostępny dla polskich odbiorców. Zaledwie po dwóch tygodniach dostępności platformy w Polsce miały miejsce cyberincydenty wycelowane w internautów zainteresowanych nowym serwisem. Podobna sytuacja miała miejsce w Niemczech, gdzie wiele osób korzystających z Disney+ zgłaszało fakt, że ich konta zostały przejęte, o czym pisał ZDNet. Dane kont zaczęły pojawiać się w darknecie, gdzie były dostępne w cenie od 3 do 11 dolarów. Podobne zjawisko od lat jest zmorą także innych serwisów.

W Polsce niedawno pojawiły się oficjalne ostrzeżenia instytucji państwowych przed działaniami wymierzonymi w osoby posiadające lub zainteresowane posiadaniem konta w platformie Disney+.

O zainteresowaniu przestępców marką Disney+ świadczy ostrzeżenie wydane na przełomie czerwca i lipca przez zespół CSIRT Komisji Nadzoru Finansowego. Ledwie dwa tygodnie po polskim debiucie platformy, w Internecie nastąpił wysyp fałszywych, podszywających się pod nią stron. Prowadzone były także kampanie phisingowe, na przykład wykorzystujące motyw „blokady konta” bądź „promocji”. Ich celem było wyłudzenie wrażliwych danych użytkowników. Jak wskazuje CSIRT KNF, w szczególności chodzi o dane logowania do serwisu oraz numery kart płatniczych i kredytowych wraz z kodami CVC/CVV.

Taka sytuacja nie dziwi. Przestępcy wykorzystują popularne produkty i wydarzenia jako preteksty do swoich działań. Długo wyczekiwany debiut niezwykle popularnej platformy streamingowej jest z pewnością taką okazją

Kamil Sadkowski
starszy specjalista ds. cyberbezpieczeństwa w ESET

Pod koniec 2021 roku w naszym kraju było ponad 6 milionów subskrypcji serwisów streamingowych*. Ich użytkownicy potencjalnie mogą stać się ofiarami cyberprzestępców. W ostatnich latach miało miejsce kilka ataków m.in. na użytkowników Netflixa. Eksperci ESET przypominają kilka podstawowych zasad, które może podjąć każdy z użytkowników platform streamingowych, aby zmniejszyć ryzyko przejęcia jego newralgicznych danych, utraty dostępu do konta wraz z subskrypcją oraz kradzieży pieniędzy z wykorzystaniem wyłudzonych danych jego karty płatniczej.

Ustaw silne unikalne hasło i chroń je

Podstawowe zalecenie to ustawienie silnego i niepowtarzalnego hasła. Co istotne, nie należy stosować tego samego hasła w różnych usługach i aplikacjach oraz używać jego jakiejkolwiek odmiany, ponieważ ułatwia to jego złamanie przez przestępców.

Obecnie, gdy permanentnie korzystamy z bankowości elektronicznej i innych usług dostępnych online, problemem jest zapamiętanie unikalnego hasła dostępowego do każdej z nich. Warto pomyśleć o stosowaniu menedżera haseł, dzięki któremu zapamiętania wymaga tylko jedno hasło główne

Kamil Sadkowski
starszy specjalista ds. cyberbezpieczeństwa w ESET

Uwierzytelnianie wieloskładnikowe

Niezmiennie także warto korzystać z uwierzytelniania wieloskładnikowego wszędzie tam, gdzie to możliwe. To jeden z najskuteczniejszych sposobów na zwiększenie poziomu naszego bezpieczeństwa, choć niestety w przypadku platform streamingowych nie jest to powszechnie dostępna opcja.

Innym zalecanym środkiem ostrożności jest korzystanie z usługi takiej jak „Have I Been Pwned”, umożliwiającej sprawdzenie czy nasze dane uwierzytelniające mogły zostać naruszone. Usługa ta pozwala również zapisać się na powiadomienia – użytkownik otrzyma alert, gdy jego dane pojawią się w jakimkolwiek wycieku. Także przeglądarki internetowe np. Chrome i Firefox oferują własne opcje sprawdzania haseł.

Uważaj na phishing

Przestępcy do przejmowania kont wykorzystują socjotechniki. Podszywają się pod oficjalne kanały komunikacji, aby skłonić potencjalne ofiary do ujawnienia newralgicznych danych.

Dostawcy usług poczty elektronicznej zaostrzają stosowane środki bezpieczeństwa, starając się wyłapać jak najwięcej tego typu prób. Niestety nie są w stanie wychwycić wszystkich. Dlatego niezmiennie warto zachowywać czujność w przypadku otrzymania korespondencji, nawet wyglądającej na oficjalną. Szczególnie wobec faktu, że wiele wiadomości phishingowych nie zawiera już błędów gramatycznych i ortograficznych, co sprawia że wyglądają wiarygodnie. Zasadniczo nigdy nie należy otwierać żadnego załącznika ani klikać żadnego linku bez 100% pewności, że wiadomość pochodzi z zaufanego pełnoprawnego źródła. W przypadku jakiekolwiek wątpliwości skontaktujmy się z nadawcą za pośrednictwem niezależnych zweryfikowanych wcześniej kanałów komunikacji, aby upewnić się, że faktycznie wysłał do nas wiadomość

Kamil Sadkowski
starszy specjalista ds. cyberbezpieczeństwa w ESET

Zapobiegaj zamiast leczyć

Wyrobienie odpowiednich nawyków związanych z cyberbezpieczeństwem, zdroworozsądkowe podejście i korzystanie z renomowanych rozwiązań zabezpieczających zwiększają poziom naszego bezpieczeństwa w sferze cyfrowej. Pamiętajmy, że profilaktyka i prewencja to najlepsze, co możemy zrobić

Kamil Sadkowski
starszy specjalista ds. cyberbezpieczeństwa w ESET

* https://www.wirtualnemedia.pl/artykul/viaplay-ampere-analysys-polska-serwis-streamingowy-netflix-amazon-prime-video-hbo-max#

Grzegorz Klocek

Grzegorz Klocek
senior product manager ESET

Masz pytania?
Skontaktuj się ze mną:
klocek.g@dagma.pl
32 259 11 34

Polecane wydarzenia: