Złośliwe programy, które szaleją na stronach internetowych w rodzaju Facebooka i Twittera, rozprzestrzeniają się dzięki przejęciu kontroli nad kontami użytkowników i rozesłaniu wiadomości do wszystkich ich znajomych.
W rezultacie ludzie nieświadomie namawiają swych współpracowników lub bliskie osoby do przetestowania własnego IQ, błyskawicznego wzbogacenia się dzięki Google’owi lub obejrzenia świetnego nowego filmiku, w którym rzekomo występuje sam adresat wiadomości.
– Ciekawe, co teraz ludzie sobie o mnie myślą – żali się Matt Marquess, pracownik agencji PR z San Francisco, którego konto na Twitterze padło ostatnio ofiarą ataku, na skutek czego jego znajomi zostali zasypani ofertami kart prezentowych o wartości 500 dolarów, honorowanych w sklepach Victoria’s Secret. Marquess nie miał pojęcia o tych wiadomościach, dopóki kolega z pracy nie spytał go o nie w e-mailu. Zdziwiony zalogował się na swoje konto i stwierdził, że od pięciu dni zachwalał bieliznę. – Nikt mi nic nie powiedział – wspomina. – Pomyślałem sobie: od jak dawna reklamuję staniki i majtki na Twitterze?
Publiczne upokorzenie to jedynie efekt uboczny tych ataków. Sprawcom w większości przypadków zależy na zysku z opłat, jakie dostają za skłonienie internautów do wizyty na podejrzanych stronach handlu elektronicznego.
Innymi słowy, z serwisów społecznościowych korzystają dziś nawet oszuści – którzy mogą tam znaleźć miliony blisko ze sobą powiązanych potencjalnych ofiar.
Użytkownicy często tracą kontrolę nad swoimi kontami po kliknięciu na link wysłany przez znajomego. W innych przypadkach przestępcy szukają kont z łatwymi do odgadnięcia hasłami. (Marquess przyznaje, że jego hasło brzmiało “abc123″).
Po odkryciu, że ich konta zostały przejęte, użytkownicy zazwyczaj publicznie odcinają się od fałszywych wiadomości i przepraszają swoich znajomych za nieumyślne bombardowanie spamem. Ich sprostowania zazwyczaj pełne są poczucia winy, wstydu i żalu. “Włamano się na moje konto; muszę się z tego wyplątać. Ogromnie was przepraszam, przyjaciele”, napisał w tego typu notce Rocky Barbanica z Rackpace Hosting, firmy świadczącej usługi internetowe.
Barbanica zamieścił to dementi, kiedy zorientował się, że wysłał 250 znajomym na Twitterze wiadomość z linkiem i pytaniem: “Czy to ty jesteś na tym zdjęciu?”. Jeżeli ktoś kliknął, zawirusował sobie własne konto. – Odebrałem to bardzo osobiście, być może niesłusznie, ale to normalne uczucie. To dla mnie coś okropnego – mówi.
Starsze złośliwe programy również potrafiły narobić internautom wstydu, o ile rozprzestrzeniały się przy użyciu e-mailowej książki adresowej. Ale tamte wiadomości, wędrujące z komputera do komputera, częściej były wyłapywane przez antywirusy i firewalle. Podobne zabezpieczenia na stronach internetowych nie są solidne. (Choć nowe odmiany złośliwego oprogramowania nazywa się powszechnie wirusami lub robakami, w praktyce nie zaliczają się one do tych kategorii, ponieważ nie są samodzielnymi programami).
Batalia z wirusem w serwisie społecznościowym jest też bardziej uciążliwa i błyskawicznie staje się publiczna. – Kiedy wiadomość rozsyła się do wszystkich w trzy sekundy, nie da się tego ukryć – mówi Chet Wisniewski z Sophos, firmy specjalizującej się w zabezpieczeniach internetowych. – Kiedy ludzie mieli wirusa w komputerze, albo dali się nabrać oszustom, to na ogół tylko oni o tym wiedzieli i sami sobie z tym radzili. Nikt nie rozgłaszał tego na cały świat.
Jak mówią eksperci od zabezpieczeń, twórcy złośliwego oprogramowania nie bez powodu mierzą głównie w serwisy społecznościowe. Ludzie z góry ufają wiadomościom otrzymywanym od znajomych i rzadko kiedy reflektują się, że kuzyn z drugiego końca kraju raczej nie mógłby ich nakręcić ukrytą kamerką internetową.
Jak wynika z danych Sophos, 21 procent internautów deklaruje, że byli obiektem ataków złośliwego oprogramowania na serwisach społecznościowych. Kaspersky Labs, rosyjski producent systemów zabezpieczeń, podaje, że około jeden na 500 linków na Twitterze prowadzi do stron, które mogą zainfekować niedostatecznie chroniony komputer tradycyjnymi, niszczącymi twardy dysk wirusami. Kaspersky twierdzi, że znacznie więcej linków to klasyczny spam – często są to odnośniki do serwisów randkowych, które płacą spamerom za werbowanie gości.
Robak, który niedawno rozprzestrzeniał się na Facebooku, zawierał zdjęcie skąpo ubranej kobiety i link z napisem “zobacz więcej”. Adi Av, programista z Aszkelonu w Izraelu, zobaczył tę fotkę na Facebookowym profilu znajomego, który zwykle zamieszczał tam zabawne obrazki i odnośniki. Kilka kliknięć później zdjęcie znalazło się na profilu Ava i wysłało się do 350 jego znajomych.
– Popełniłem błąd, ale nieumyślnie – mówi. – Było mi głupio głównie dlatego, że naraziłem na ten sam kłopot osoby przeglądające mój profil.
Inni użytkownicy twierdzą, że byli dużo bardziej zażenowani. – Poczułam się jak kompletna idiotka – mówi Jodi Chapman, która nieroztropnie kliknęła na wiadomość na Twitterze od znajomej z propozycją rozwiązania testu na inteligencję. Chapman, która wraz z mężem sprzedaje ekologiczne upominki, wykorzystuje konto na Twitterze do komunikacji z tysiącami ich klientów. Gdy zostało zaatakowane, “ogarnęła mnie panika”, mówi. – Zmartwiłam się, ponieważ namawiając ludzi do sprawdzenia swojego IQ, poniekąd splamiłam dobre imię naszej firmy.
Ofiarami ataków na serwisach społecznościowych bywają nawet eksperci. Lee Rainey, dyrektor grupy badawczej non-profit Pew Internet and American Life Project, ostatnio nieświadomie wysłał kilkudziesięciu osobom zapisanym na jego profil na Twitterze wiadomość z linkiem i tekstem: “Hej, czy to ty? LOL”. Twierdzi on, że kilka z nich skusiło się i kliknęło. – Co gorsza, ludzie mogli sobie pomyśleć, że mam w zwyczaju komunikować się ze światem takim językiem – mówi Rainey. – Ale “LOL”, co mogą potwierdzić moje dzieci, zdecydowanie nie jest w moim stylu.

Brad Stone