Dostali jste e-mail od Duolingo? Mohlo by se jednat o podvod – zvláště když hackerům unikla soukromá data. Ach jo!
E-maily od sovy Duolingo jsou v nejhorším případě obvykle na obtíž. Ale kyberzločinci mají nyní v rukou vaši e-mailovou adresu a data Duolingo, takže vám mohou posílat vysoce cílené e-maily, aby vás nalákali do phishingových pastí.
Zde je důvod, proč už nemůžete věřit e-mailům od Duolingo.
Jak útočníci získali vaše informace z Duolingo?
Věřte tomu nebo ne, většina vašich dat Duolingo je dostupná komukoli, kdo se zajímá a má nějaký čas. Základní údaje o profilu, jako je uživatelské jméno, profilové obrázky a jazyky, které se studují, můžete vidět při návštěvě https://www.duolingo.com/profile/[username]—ten uživatelské jméno je profil toho, kdo vás zajímá.
Pokud máte pár hodin na zabití, můžete prozkoumat několik desítek profilů, zkontrolovat, zda se uživatelská jména nepoužívají jinde nebo dokonce spustit zpětné vyhledávání obrázků na profilovém obrázku a podívejte se, kde jinde na internetu se objeví.
Je to zábavný způsob, jak trávit čas, ale neefektivní, pokud je vaším cílem shromáždit obrovské množství dat, a je poměrně jednoduché sestavení aplikace, která za vás bude získávat data z webových stránek.
Použití vlastní platformy Aplikační programovací rozhraní (API), je ještě snazší shromažďovat obrovské množství veřejných dat z platforem, jako je Facebook, Twitter, LinkedIn nebo Duolingo.
V lednu 2023 Záznam oznámili, že hackeři použili rozhraní API Duolingo k seškrábání veřejných dat 2,6 milionů uživatelů a zveřejnili data k prodeji na nyní již neexistujícím fóru broken.to.
Zatímco Duolingo uznalo, že data byla platná, společnost trvala na tom, že jde o veřejně dostupná profilová data a že nedošlo k žádnému hacknutí nebo úniku dat.
Dne 22. srpna 2023 trh s malwarem VX-Underground odhalil na X (platformě dříve známé jako Twitter), že tato seškrabovaná data obsahoval také e-mailové adresy uživatelů a že mohl a byl použit k získání dalších informací, včetně jména a telefonu číslo.
Jak lze data Duolingo použít proti vám?
E-maily od Duolingo jsou tak běžné, že se staly základním memem. Pokud zmeškáte jednodenní cvičení esperanta, objeví se ve vaší e-mailové schránce maskot Duolingo sovy, Duo, a řekne vám, že je smutný.
Krátce poté se objeví nejasně hrozivé e-maily spolu s e-maily, které vám říkají, že váš pruh byl zmrazen, pak rozbité, a že se propadáte po žebříčcích, pak nabádání, abyste si vzali tři minuty lekce.
Každý e-mail bude obsahovat informace o vašich nedávných aktivitách ve výuce jazyků a poskytne vám praktický odkaz, pomocí kterého se můžete přihlásit na stránku.
Nyní jsou vaše jméno, informace Duolingo a aktivita v rukou potenciálních zločinců, je triviálně snadné automaticky vytvářet phishingové e-maily, které vás přesvědčí, abyste klikli na odkaz.
Domníváme se, že je pravděpodobné, že vás odkaz požádá, abyste se přihlásili, což útočníkům poskytne také vaše heslo.
Podvodné e-maily se mohou jevit ještě autentičtější, pokud útočníci využijí mnoho dostupných domén Duolingo. Věřili byste e-mailu z duolingo.live, duolingo.tech, duolingo.world nebo duolingo.life? Všechny jsou v současné době k dispozici za méně než 10 dolarů, zatímco o něco přesvědčivější duolingo.club lze mít za poměrně vysokou cenu kolem 600 dolarů (v době psaní tohoto článku).
S vaší e-mailovou adresou a heslem mohou zločinci začít útočit na vaše další online účty.
Jak se chránit před phishingovými podvody Duolingo
Pokud se obáváte, že vaše data mohou být zahrnuta do 2,6 milionu vstupních dat, první věc, kterou byste měli udělat, je zamířit na haveibeenpwneda zadejte svou e-mailovou adresu. Pokud tam je, uvidíte narušení, při kterých byla vaše data vystavena.
Dále byste se měli odhlásit ze všech e-mailů Duolingo. Každopádně jsou iritující, a pokud se nějaké dostanou do vaší schránky, budete vědět, že jsou od podvodníků. Udělejte to však pomocí historické, pravdivé zprávy ze služby, jako dokonce i tlačítka pro odhlášení mohou být podvody!
Vždy je dobré vytvořit samostatné heslo pro každou službu, kterou používáte. Tímto způsobem, pokud je vaše heslo prozrazeno při úniku dat nebo je náhodně odhalíte při phishingovém útoku, nebude možné jej použít na žádném z vašich dalších účtů.
Pokud můžete, použijte pro každý web nebo aplikaci také jedinečnou e-mailovou adresu. Je to snadné zamaskovat svou e-mailovou adresua zabrání tomu, aby byl předán k použití v jiných podvodných nebo spamových kampaních. Doporučujeme jednoduché univerzální přeposílání e-mailů pro tohle.
Duolingo není jediný způsob, jak se naučit nový jazyk
Pokud nejste spokojeni s tím, jak Duolingo zpřístupňuje vaše veřejná a soukromá data prostřednictvím vlastního API, nebo možná jste frustrovaní jeho didaktickou taktikou a pedagogickou pedantrií, možná zvažujete opustit Duo dobrý.
Odchod z Duolinga neznamená, že se musíte vzdát studia, a existuje spousta skvělých stránek, které vám mohou pomoci s učením jazyků online.
