E-maile od sowy Duolingo są zwykle w najgorszym przypadku irytujące. Jednak cyberprzestępcy mają teraz w rękach Twój adres e-mail i dane Duolingo, więc mogą wysyłać Ci wysoce ukierunkowane e-maile, aby zwabić Cię w pułapki phishingowe.
Oto dlaczego nie można już ufać e-mailom z Duolingo.
Spis treści:
W jaki sposób atakujący zdobyli Twoje informacje z Duolingo?
Wierz lub nie, ale większość Twoich danych Duolingo jest dostępna dla każdego, kto ma chwilowe zainteresowanie i ma trochę wolnego czasu. Możesz zobaczyć podstawowe dane profilu, takie jak nazwa użytkownika, zdjęcia profilowe i języki, których się uczysz, odwiedzając https://www.duolingo.com/profile/[username]—nazwa użytkownika to profil osoby, którą jesteś zainteresowany.
Jeśli masz kilka godzin do zabicia, możesz przeszukać kilkadziesiąt profili, sprawdzić, czy nazwy użytkowników są używane gdzie indziej, a nawet przeprowadzić wyszukiwanie wsteczne zdjęcia profilowego i zobaczyć, gdzie jeszcze pojawia się ono w Internecie.
To fajny sposób na zabicie czasu, ale nieefektywny, jeśli Twoim celem jest gromadzenie ogromnych ilości danych, a zbudowanie aplikacji, która będzie za Ciebie pobierać dane ze stron internetowych, jest dość proste.
Korzystając z własnego interfejsu programowania aplikacji (API) platformy, gromadzenie ogromnych ilości danych publicznych z platform takich jak Facebook, Twitter, LinkedIn czy Duolingo jest jeszcze łatwiejsze.
W styczniu 2023 r. Rekord poinformował, że hakerzy wykorzystali interfejs API Duolingo do zeskrobania publicznych danych 2,6 miliona użytkowników i opublikowali dane na sprzedaż na nieistniejącym już forum naruszenia.to.
Choć Duolingo przyznało, że dane są prawidłowe, firma upierała się, że są to dane profilowe publicznie dostępne i że nie doszło do żadnego włamania ani naruszenia bezpieczeństwa danych.
22 sierpnia 2023 r. platforma handlowa złośliwego oprogramowania VX-Underground ujawniła na X (platforma wcześniej znana jako Twitter), że te pobrane dane zawierały również adresy e-mail użytkowników oraz że mogły i zostały wykorzystane do uzyskania dalszych informacji, w tym imienia i nazwiska oraz numeru telefonu .
W jaki sposób dane Duolingo mogą zostać wykorzystane przeciwko Tobie?
E-maile z Duolingo są tak powszechne, że stały się podstawowym memem. Jeśli opuścisz dzień ćwiczeń esperanto, w Twojej skrzynce odbiorczej pojawi się maskotka sowy Duolingo, Duo, aby poinformować Cię, że jest smutna.
Niedługo potem pojawiają się niewyraźnie groźne e-maile, a także e-maile informujące, że Twoja dobra passa została zatrzymana, a następnie przerwana i że spadasz w rankingach, a następnie nawołujące do wzięcia trzyminutowej lekcji.
Każdy e-mail będzie zawierał informacje o Twoich ostatnich działaniach związanych z nauką języków oraz wygodny link umożliwiający zalogowanie się do witryny.
Teraz Twoje imię i nazwisko, informacje o Duolingo i aktywność są w rękach potencjalnych przestępców, a automatyczne tworzenie e-maili phishingowych, które nakłonią Cię do kliknięcia linku, jest banalnie proste.
Uważamy za prawdopodobne, że link poprosi Cię o zalogowanie się, a także o podanie hasła atakującym.
Oszukańcze e-maile mogą wydawać się jeszcze bardziej autentyczne, jeśli napastnicy wykorzystają wiele dostępnych domen Duolingo. Czy zaufałbyś e-mailowi od duolingo.live, duolingo.tech, duolingo.world lub duolingo.life? Wszystkie są obecnie dostępne za mniej niż 10 dolarów, podczas gdy nieco bardziej atrakcyjny duolingo.club można kupić za stosunkowo wysoką cenę około 600 dolarów (w momencie pisania tego tekstu).
Dzięki Twojemu adresowi e-mail i hasłu przestępcy mogą zacząć atakować Twoje inne konta internetowe.
Jak chronić się przed oszustwami typu phishing w Duolingo
Jeśli obawiasz się, że Twoje dane mogą znaleźć się w zbiorze danych liczącym 2,6 miliona wpisów, pierwszą rzeczą, którą powinieneś zrobić, to udać się na stronę Haveibeenpwnedi wpisz swój adres e-mail. Jeśli tam jest, zobaczysz naruszenia, w wyniku których ujawniono Twoje dane.
Następnie powinieneś zrezygnować z subskrypcji wszystkich e-maili Duolingo. I tak są irytujące, a jeśli jakieś dotrą do Twojej skrzynki odbiorczej, będziesz wiedział, że pochodzą od oszustów. Zrób to, korzystając z historycznej, prawdziwej wiadomości z usługi, ponieważ nawet przyciski rezygnacji z subskrypcji mogą być oszustwem!
Zawsze dobrze jest utworzyć osobne hasło dla każdej usługi, z której korzystasz. Dzięki temu, jeśli Twoje hasło zostanie naruszone w wyniku naruszenia bezpieczeństwa danych lub przypadkowo ujawnisz je w wyniku ataku typu phishing, nie będzie można go użyć na żadnym innym koncie.
Jeśli możesz, użyj unikalnego adresu e-mail dla każdej witryny lub aplikacji. Łatwo jest ukryć swój adres e-mail i zapobiec jego przekazywaniu w celu wykorzystania w innych oszustwach lub kampaniach spamowych. W tym celu zalecamy proste przekazywanie wiadomości e-mail typu catch-all.
Duolingo to nie jedyny sposób na naukę nowego języka
Jeśli nie podoba Ci się sposób, w jaki Duolingo udostępniło Twoje dane publiczne i prywatne poprzez własne API, a może frustruje Cię jego taktyka dydaktyczna i pedanteria pedagogiczna, być może rozważasz porzucenie Duo na dobre.
Opuszczenie Duolingo nie oznacza, że musisz zrezygnować ze studiów. Istnieje wiele wspaniałych witryn, które mogą pomóc odciążyć Cię z nauki języków online.