Spotify sa môže pochváliť takmer 700 miliónmi aktívnych používateľov vrátane 265 miliónov prémiových odberateľov. Keďže ide o poprednú svetovú službu na streamovanie hudby, nie je prekvapujúce, že priťahuje aj rôznych útočníkov, ktorí chcú zneužiť jej používateľov.
Účty na Spotify predstavujú cenné digitálne aktíva, ktoré možno speňažiť prostredníctvom viacerých kanálov vrátane dark webu alebo čoraz častejšie aj temných zákutí Telegramu. Hoci sú ceny hacknutých účtov na Spotify v porovnaní s cenami legitímneho predplatného výrazne nižšie, ich hromadný predaj často prináša nemalé zisky. Stačí jediná úspešná phishingová kampaň zameraná na používateľov služby Spotify a útočníci môžu získať prístup k množstvu účtov, čo znamená značné nelegálne príjmy.
Kompromitované účty poskytujú cenné osobné údaje, ktoré možno použiť na krádež identity alebo útoky sociálneho inžinierstva. Vďaka prístupu k účtu Spotify môžu útočníci získať osobné a platobné údaje obete, spoznať jej zvyky pri počúvaní či zistiť prepojenia so sociálnymi sieťami a inými online službami, čo vytvára príležitosti na ďalšie cielené útoky.
Okrem toho hacknuté účty slúžia ako nástroj na umelé zvyšovanie počtu streamov. Táto praktika známa ako „streamovací podvod“ spočíva v používaní sietí kompromitovaných účtov na opakované prehrávanie konkrétnych skladieb, čím sa generujú podvodné platby autorských poplatkov. Podľa platformy Beatdapp na odhaľovanie streamovacích podvodov je najmenej 10 % všetkých streamov skladieb podvodných, čo každoročne pripraví svetový hudobný priemysel až o 3 miliardy USD.
Prvým krokom k bezpečnosti je pochopiť, ako je možné hacknúť účty na Spotify. Prejdime si hlavné taktiky, ktoré kyberzločinci používajú na získanie prihlasovacích údajov používateľov, na čo si treba dávať pozor a ako zistiť, či bol váš účet kompromitovaný.
Phishing
Phishingové e‑maily sú základnou taktikou, avšak mnohé z týchto schém sa výrazne vyvinuli a podvodné e‑maily už neobsahujú očividné pravopisné chyby a iné varovné znaky. Mnohé z dnešných phishingových kampaní sa spoliehajú na pokročilé techniky sociálneho inžinierstva a presvedčivé vizuálne prvky, ktoré dokážu oklamať aj opatrných používateľov.
Vo všeobecnosti sa pokusy o phishing často začínajú e‑mailom o údajných vážnych problémoch s účtom, napríklad „Spôsob platby zamietnutý: predplatné bude zrušené“. Tieto správy vzbudzujú dojem naliehavosti, často zahmlievajú úsudok a zvyšujú pravdepodobnosť unáhlených krokov, najmä ak sú doplnené oficiálnymi logami Spotify a ich formátovanie je takmer identické s legitímnou komunikáciou tejto spoločnosti.
Phishingový e‑mail môže napríklad tvrdiť, že pre problém s platbou bude váš účet deaktivovaný. Následne by ste mali kliknúť na odkaz, kde môžete situáciu „vyriešiť“. Namiesto toho sa však ocitnete na podvodnej stránke, ktorá je navrhnutá tak, aby ukradla vaše prihlasovacie údaje a prípadne ďalšie citlivé informácie.
Obrázok č. 1. Príklad phishingového e‑mailu zneužívajúceho službu Spotify (zdroj: Spotify.com)
Phishingové odkazy zvyčajne presmerujú používateľov na podvodné webové stránky, ktoré často kopírujú prihlasovaciu stránku služby Spotify a dokonca aj ich názvy domén vyzerajú na prvý pohľad legitímne.
Vďaka týmto jednoduchým tipom zostanete v bezpečí:
- Nedôverujte žiadostiam o poskytnutie osobných údajov – Spotify od vás nikdy nebude žiadať vaše osobné údaje, ako sú spôsoby platby alebo heslo, ani nebude požadovať platbu prostredníctvom tretích strán či stiahnutie e‑mailových príloh.
- Pozorne skontrolujte adresu odosielateľa e‑mailu – legitímne e‑maily od spoločnosti Spotify prichádzajú z domén, ktoré sa končia na „@spotify.com“.
- Skontrolujte, či v nich nie sú pravopisné a gramatické chyby alebo iné príznaky toho, že niečo nie je v poriadku: legitímne e‑maily zvyčajne neobsahujú takéto chyby.
- Ak chcete zobraziť skutočnú cieľovú URL adresu, prejdite na ktorýkoľvek odkaz myšou, ale neklikajte naň.
- Namiesto klikania na e‑mailové odkazy prejdite na Spotify zadaním adresy do prehliadača.
- Chráňte svoj účet silným a jedinečným heslom uloženým v správcovi hesiel a aktivujte si preň dvojfaktorovú autentifikáciu, najlepšie prostredníctvom aplikácie na overovanie alebo hardvérového bezpečnostného kľúča.
Falošné aplikácie
Lákadlo v podobe vylepšených funkcií a bezplatného prémiového prístupu viedlo k rozšíreniu neautorizovaných aplikácií Spotify od tretích strán. Tieto neoficiálne aplikácie nemusia obsahovať len zdanlivo nevinné rozšírenia funkcií, ale dokonca aj zámerne škodlivý softvér určený na zbieranie prihlasovacích údajov.
Tieto aplikácie sa snažia prevziať kontrolu nad účtom ponúkaním atraktívnych funkcií, ako je blokovanie reklám a iné vylepšenia bezplatného zážitku zo služby Spotify.
Obrázok č. 2. Príklad reklamy propagujúcej podvodnú aplikáciu (zdroj: Volt.fm)
Ak sa chcete chrániť, používajte oficiálne obchody s aplikáciami a Spotify si sťahujte len z oficiálnych kanálov: Apple App Store pre zariadenia so systémom iOS, obchod Google Play pre zariadenia so systémom Android a spotify.com pre počítače.
Vyvarujte sa akýchkoľvek nástrojov tretích strán, ktoré sľubujú vylepšenie služby Spotify alebo bezplatné poskytovanie prémiových funkcií, pretože sú takmer vždy škodlivé. Okrem toho pravidelne kontrolujte aplikácie nainštalované v zariadeniach a odstráňte všetky, ktoré nepoznáte alebo už nepoužívate.
Príručka digitálnej bezpečnosti pre všetky generácie
Či už ide o ochranu osobných údajov, bezpečné heslá, alebo prevenciu pred podvodmi, naša príručka obsahuje tie najdôležitejšie tipy, ktoré vaši blízky potrebujú vedieť, aby mohli technológie využívať bez obáv.
Malvér
Malvér zameraný na získavanie prihlasovacích údajov k streamovacím službám je čoraz sofistikovanejší. Okrem základných keyloggerov môžu teraz kyberzločinci nasadiť malvér špeciálne navrhnutý tak, aby zbieral prihlasovacie údaje k zábavným službám, napríklad maskujúc sa ako rozšírenia prehliadača, ktoré sľubujú zlepšenie zážitku zo streamovania alebo umožňujú sťahovanie obsahu na prehrávanie offline. Malvér, ktorý kradne informácie, sa často šíri aj prostredníctvom kompromitovaného stiahnutého softvéru alebo škodlivých e‑mailových príloh.
Pravidelne svoj softvér aktualizujte, pretože aktualizácie často obsahujú bezpečnostné záplaty na známe zraniteľnosti. Používajte renomované bezpečnostné riešenie s funkciami rezidentnej ochrany. Pri udeľovaní povolení aplikáciám, najmä tým, ktoré požadujú prístup k citlivým funkciám, ako sú služby zjednodušenia ovládania alebo správcovia hesiel, postupujte opatrne.
Úniky údajov
Úniky údajov často vedú k zneužitiu účtu, a to aj preto, že ľudia radi používajú rovnaké heslá v rôznych službách. Vzhľadom na to, ako sú naše digitálne životy prepojené, môže únik údajov v jednej službe ohroziť účty na viacerých platformách. Vyskytli sa prípady, keď prihlasovacie údaje kompromitované pri veľkých únikoch údajov alebo bezpečnostných incidentoch boli použité pri útokoch typu credential‑stuffing na tisíce účtov Spotify (masívne testovanie už uniknutých prihlasovacích údajov).
Ak chcete zostať v bezpečí, implementujte stratégiu správy hesiel, ktorá eliminuje ich opakované používanie. Renomované nástroje na správu hesiel generujú jedinečné, komplexné heslá pre každú službu a bezpečne ich ukladajú, pričom si stačí pamätať len jedno hlavné heslo. Okrem toho pravidelne využívajte služby informujúce o únikoch údajov, ako je napríklad HaveIBeenPwned, ktoré vás upozornia, ak sa váš e‑mail objaví medzi uniknutými údajmi, aby ste mohli okamžite konať, kým nie je neskoro.
Komplexná ochrana vášho digitálneho života
Komplexná ochrana vášho digitálneho života. Vyberte si úroveň podľa svojich potrieb.
Ako zistím, či bol môj účet na Spotify hacknutý?
Najjasnejším signálom sú neočakávané zmeny nastavení vášho účtu alebo podrobností o predplatnom. Môže ísť napríklad o neoprávnené zvýšenie alebo zníženie úrovne plánu predplatného, zmenu vašej e‑mailovej adresy alebo úpravu vašich platobných údajov.
Nezvyčajná aktivita v histórii počúvania alebo zoznamoch skladieb môže byť tiež znakom kompromitácie účtu. Môže sa to prejaviť tak, že sa v nedávno prehrávaných skladbách objavia neznámi interpreti. V iných prípadoch sa môže stať, že nevysvetliteľne zmiznú vami vytvorené zoznamy skladieb alebo sa objavia nové, ktoré ste nevytvorili.
To isté platí aj pre nezvyčajné správanie aplikácie, ktoré tiež môžu byť znakom neoprávneného prístupu. Na stránke účtu Spotify sa zobrazujú všetky zariadenia, v ktorých je váš účet aktuálne aktívny. Neznáme zariadenia alebo polohy v tomto zozname jednoznačne svedčia o tom, že váš účet bol kompromitovaný. Ak sa vám často stáva, že vás neočakávane odhlási zo služby Spotify, môže to znamenať, že do vášho účtu pristupuje niekto iný a limituje ho.
Ak si všimnete niektorý z týchto varovných signálov, pozrite si túto stránku služby Spotify a okamžite vykonajte nasledujúce kroky:
- Najprv sa odhláste zo všetkých zariadení prostredníctvom stránky nastavení účtu.
- Potom okamžite zmeňte heslo a uistite sa, že nové heslo je silné a jedinečné.
- Ďalej skontrolujte a zrušte prístup aplikáciám tretích strán, ktoré nepoznáte alebo už nepoužívate.
- Nakoniec sa obráťte na zákaznícku podporu služby Spotify, nahláste neoprávnený prístup a požiadajte o vykonanie ďalších opatrení na zabezpečenie účtu.
Klepnite zlodejom po prstoch
Uistite sa, že je vaše digitálne kráľovstvo pod zámkou. Niekoľko minút strávených zabezpečením účtu dnes vám môže ušetriť hodiny frustrácie v budúcnosti. Keď budete poznať taktiky útočníkov a stratégie ochrany, môžete prípadným zlodejom účtov zabuchnúť dvere rovno pred nosom.
Nezabúdajte tiež, že zabezpečenie nie je niečo, čo stačí raz nastaviť a potom nechať tak. Je to živá prax, ktorá sa vyvíja rovnako rýchlo ako samotné hrozby. Udržiavajte si prehľad o najnovších nebezpečenstvách číhajúcich v online priestore.
Spracoval: tím ESET
Zdroj: Welivesecurity.com – Tomáš Foltýn: Don’t let cybercriminals steal your Spotify account
Nové epizódy, nové výzvy a stále viac záhad na obzore! Pripojte sa k Bajtovcom na ich ďalšej ceste, kde sa digitálny svet prelína s každodennými dobrodružstvami.
