Co zrobić po włamaniu na Facebooka — praktyczny poradnik „krok po kroku”

Dodano dnia przez Dawid Sobieraj

Gdy zauważysz przejęcie konta, liczy się czas. Poniżej dostajesz prosty, praktyczny scenariusz działań: od natychmiastowej zmiany haseł, przez zabezpieczenie dowodów, po zgłoszenia do odpowiednich instytucji. Na końcu znajdziesz też krótką instrukcję dla skrzynki e-mail.

TL;DR (dla pośpiechu)

  1. Od razu zmień hasło i wyloguj wszystkie sesje.
  2. Zabezpiecz ślady: zrzuty ekranu + pełny eksport danych.
  3. Zgłoś incydent do CSIRT NASK (CERT Polska).
  4. Spakuj dowody dla Policji.
  5. Włącz 2FA (MFA) i usuń nieznane urządzenia/aplikacje.
  6. Zrób to samo dla e-maila.

1) Natychmiast: zmiana hasła i wylogowanie wszystkich

  • Ścieżka w aplikacji / WWW:
    Menu → Ustawienia i prywatnośćUstawieniaCentrum kont (Accounts Center)Hasło i zabezpieczenia.
  • Zmień hasło na mocne i unikalne (min. 12 znaków, małe/duże litery, cyfry, znak specjalny).
  • W „Miejsca logowania” / „Sesje” wyloguj się ze wszystkich urządzeń (lub przynajmniej usuń podejrzane sesje).
  • Jeśli zarządzasz Stronami / Menedżerem reklam: sprawdź Role / Użytkownicy i usuń nieznane osoby (administratorzy, analitycy, menedżerzy reklam).
  • Zmień też hasło do powiązanego e-maila (to często wektor przejęcia).

Tip: jeżeli nie możesz się zalogować, użyj „Nie pamiętam hasła” i odzyskiwania konta. Zapisuj po drodze wszystkie komunikaty i daty.

2) Zabezpieczenie dziennika zdarzeń i śladów (dowody)

Zrób to zanim cokolwiek posprzątasz — chodzi o nieedytowalne kopie:

  • Zrzuty ekranu z:
    • Dziennika aktywności (posty, komentarze, zmiany profilu, logowania),
    • Miejsc logowania / Aktywnych sesji (urządzenia, lokalizacje, daty/godziny),
    • Użytkowników/rol w Stronach/Menedżerze firmy (jeśli dotyczy),
    • Ewentualnych kampanii reklamowych (kto dodał, kiedy, budżety).
  • Eksport pełnych danych: „Twoje informacje na Facebooku → Pobierz informacje
    Zaznacz co najmniej: logowania/urządzenia, aktywności, reklamy/płatności, ustawienia.
  • Zachowaj e-maile powiadomień (logowania, zmiana hasła, nowe urządzenie) z pełnymi nagłówkami.
  • Jeśli były płatności/reklamy: faktury, historia obciążeń, metody płatności.

Jak nazwać pliki?
2025-09-26_FB_logowania_zrzuty.pdf
2025-09-26_FB_eksport_danych.zip
2025-09-26_FB_roles_pages.pdf

3) Zgłoszenie incydentu do CSIRT NASK (CERT Polska)

  • Kanał: formularz online (incydent.cert.pl) lub e-mail ([email protected]).
  • W treści podaj:
    • Daty i godziny zdarzeń (z czasem lokalnym),
    • Opis co się stało (np. nieautoryzowane logowanie, publikacje, reklamy),
    • Co już zrobiłeś (zmiana hasła, wylogowanie, eksport danych),
    • Dowody w załącznikach (zrzuty, eksporty, nagłówki e-mail),
    • Wpływ (spam do kontaktów, starty finansowe, ryzyko RODO),
    • Dane do kontaktu, informacja, czy sprawa została zgłoszona na Policję.
  • Zachowaj numer zgłoszenia i dopisz go do osi czasu incydentu.

4) Co przygotować dla Policji (paczka dowodowa)

Przygotuj ZIP z materiałami + wydruk najważniejszych ekranów:

  • Zrzuty: Dziennik aktywności, Miejsca logowania, alerty o logowaniu, lista administratorów, zmiany w reklamach/płatnościach.
  • Pełny eksport „Twoje informacje na Facebooku” (oryginalne pliki, bez przeróbek).
  • Nagłówki e-mail („Internet headers”) z powiadomień bezpieczeństwa.
  • Logi płatności/reklam (jeżeli uruchomiono kampanie lub dodano metody płatności).
  • Krótka oś czasu zdarzeń (kto/co/kiedy, z numerami zgłoszeń do FB/CSIRT/Policji).
  • (Dodatkowo) kontakt do lokalnych komórek ds. cyberprzestępczości.

Minimalna oś czasu (wzór do skopiowania):

  • 2025-09-26 08:15 — Alert o logowaniu z nowego urządzenia (Android, Warszawa).
  • 2025-09-26 08:20 — Publikacja nieautoryzowanego posta (zrzut_01.png).
  • 2025-09-26 08:25 — Zmiana hasła, wylogowanie wszystkich sesji.
  • 2025-09-26 08:40 — Eksport danych z „Twoje informacje na Facebooku”.
  • 2025-09-26 09:00 — Zgłoszenie do CSIRT NASK (ID: NASK-2025-XXXX).
  • 2025-09-26 10:30 — Zgłoszenie na Policję (sygn. sprawy, jednostka).

5) Włączenie i utwardzenie MFA (2FA)

  • Ścieżka:
    Menu → Ustawienia i prywatnośćUstawieniaCentrum kontHasło i zabezpieczeniaUwierzytelnianie dwuskładnikowe.
  • Wybierz metodę (zalecana kolejność):
    1. Aplikacja uwierzytelniająca (TOTP) — np. Microsoft/Google Authenticator.
    2. SMStylko jako opcja awaryjna (mniej bezpieczna).
  • Zapisz kody zapasowe i schowaj offline.
  • Cofnij zaufanie wszystkim nieznanym urządzeniom w „Rozpoznane/Zaufane urządzenia”.
  • Odłącz aplikacje, których nie rozpoznajesz, w sekcji połączonych aplikacji/serwisów.

Dodatkowe utwardzenie i higiena bezpieczeństwa

  • E-mail powiązany z Facebookiem: zmień hasło, włącz 2FA, sprawdź filtry i przekierowania (czy napastnik nie dodał reguł ukrywających maile z Facebooka).
  • Sprzęt i przeglądarki: przeskanuj antywirusem/EDR, zaktualizuj system i przeglądarki, usuń podejrzane rozszerzenia.
  • Zespół i znajomi: poinformuj o incydencie, poproś o ignorowanie nietypowych wiadomości z Twojego konta.
  • Polityki firmowe: jeżeli to konto firmowe, zaktualizuj procedury IR (incident response), listę administratorów i sposób zatwierdzania zmian w reklamach.

To samo zrób dla swojej skrzynki e-mail (konieczne!)

  1. Zmień hasło na mocne i unikalne.
  2. Włącz dwuskładnikowe logowanie (MFA/2FA) w Gmail/Outlook/innym dostawcy.
  3. Sprawdź filtry i przekierowania (usuń obce reguły).
  4. Wyloguj wszystkie sesje (zakończ aktywne logowania na innych urządzeniach).
  5. Odłącz nieznane aplikacje i sprawdź uprawnienia (OAuth, dostęp IMAP/POP).
  6. Zapisz kody zapasowe i skonfiguruj numer/klucz bezpieczeństwa (jeśli obsługiwane).

Podsumowanie

  • Reaguj natychmiast: hasło + wylogowanie + 2FA.
  • Zabezpiecz dowody przed jakąkolwiek naprawą.
  • Zgłoś sprawę do CSIRT NASK i Policji.
  • Utwardź konto i pocztę (2FA, czyszczenie uprawnień, przegląd urządzeń).

Dodaj komentarz