Зарегистрируйте ИП в Тинькофф и получите бонусы до 500 000 ₽

Подробнее

Что будет, если ваш аккаунт в соцсетях взломают мошенники


Каждые 11 секунд в мире происходит атака хакеров, в том числе и на аккаунты в соцсетях. Рассказываем, чем это опасно и как защитить свой аккаунт от взлома


Юлия Ряховская

Юлия Ряховская

Аналитик по безопасности в Тинькофф

Поделитесь статьей

Каждые 11 секунд в мире происходит атака хакеров, в том числе и на аккаунты в соцсетях. Рассказываем, чем это опасно и как защитить свой аккаунт от взлома


Юлия Ряховская

Юлия Ряховская

Аналитик по безопасности в Тинькофф

Поделитесь статьей

Для некоторых компаний соцсети — один из главных каналов продаж: в директ сыпятся заявки, а менеджеры обрабатывают их и совершают сделки. Хакеры могут это заметить и взломать такой аккаунт, чтобы получить к нему доступ.

Мотивация для взлома может быть разной:

  • конкурент захотел вывести предпринимателя из игры на время сезона продажи и нанял для этого хакера;
  • хакер крадет аккаунт в обмен на выкуп;
  • хакер хочет продать аккаунт на теневом форуме.

На теневом рынке продают раскрученные аккаунты с коротким и звучным названием — например Bitcoin или Love. Их можно использовать для другого бизнеса.

Каждые 11 секунд в мире происходит атака хакеров. Так говорится в отчете Cybersecurity Ventures за 2019 год. Кто-то взламывает аккаунт в соцсетях, кто-то — сервер компании конкурента. В этой статье расскажем, чем опасен взлом аккаунта и как от этого защититься.


Какие соцсети чаще всего взламывают

Есть данные о том, какие соцсети и мессенджеры взламывают в России чаще всего и за какую сумму. Их собрала компания по стратегическому управлению цифровыми рисками BI.ZONE. Для этого они посмотрели объявления взломщиков в даркнете с мая 2020 года по август 2021 года.

Среди мессенджеров:

  1. Телеграм: 30 000—170 000 ₽.
  2. Вотсап: 20 000—130 000 ₽.

Среди соцсетей на первом месте Вконтакте. Стоимость: 700—12 000 ₽.

Взлом почтового ящика — тоже популярная услуга. Стоимость: 3000—110 000 ₽.

Исследование BI.ZONE


Что будет, если ваш аккаунт взломают

Мошенник может сделать все что угодно:

  • украсть информацию — базу клиентов, номера телефонов — чтобы продать в даркнете или вымогать деньги за молчание;
  • одобрять расизм или оскорблять президента от имени взломанного аккаунта, чтобы начались разбирательства из-за нарушения закона;
  • узнать пароль, чтобы получить доступ к другим аккаунтам, если используете одинаковый пароль;
  • опубликовать фото или видео с запрещенным контентом, чтобы испортить репутацию бизнеса или добиться блокировки аккаунта;
  • собирать деньги от имени взломанного аккаунта у подписчиков: например, под видом продажи курса.

Если мошенники потребуют у подписчиков деньги, придется извиняться перед всеми и возвращать их, но уже из своего кармана.

Вот несколько историй похищения аккаунта.

В 2021 году взломали аккаунт психолога Альбины Сиразиевы. У нее было 500 подписчиков. Через соцсеть она записывала клиентов на консультации, публиковала отзывы клиентов и привлекала новых. Мошенники захватили аккаунт и попросили подписчиков от имени Альбины перевести деньги. Альбина добилась блокировки аккаунта и завела новый.

В 2021 году взломали группу Яндекс Go во Вконтакте. Хакеры получили доступ к рассылке группы. Они предложили подписчикам ввести банковские данные, чтобы поучаствовать в конкурсе с призом 3000 долларов. Некоторые подписчики ввели свои данные и лишились денег на своих счетах.

В 2022 году взломали соцсети продавца Wildberries Анастасии Павловой — бренд LeoHome. Там она давала советы начинающим продавцам на маркетплейсах. Мошенники требовали 20 000 ₽ и просили деньги у подписчиков от имени Анастасии.

Чтобы аккаунт не взломали, нужно соблюдать разные правила безопасности. Дальше разберем их на примере ВК и Телеграма.

Как защитить аккаунт от взлома

Инструменты для защиты можно условно поделить на три уровня: необходимые, базовые и продвинутые.

Необходимая защита. Если ее не использовать, остальные уровни защиты бесполезны. Советуем следовать трем рекомендациям:

  • никому не передавать логин и пароль;
  • не переходить по подозрительным ссылкам;
  • регулярно обновлять приложение.

Базовая защита. Она пригодится, если беспокоитесь о безопасности аккаунта, но времени на его защиту мало. В базовую защиту входит два инструмента:

  • надежный пароль;
  • двухфакторная аутентификация.

Продвинутая защита. Любой аккаунт с надежным паролем и двухфакторной аутентификацией могут взломать. Инструменты продвинутой защиты уберегут вас от взлома, если базовая защита не выдержит. Обратите на нее внимание, если соцсети — ваш единственный источник дохода и вы готовы на все ради безопасности. Чтобы снизить риски, советуем:

  • проверять авторизации;
  • завести отдельную почту для соцсети;
  • скрыть сетевой статус;
  • использовать VPN-сервис в кафе.

Признаемся: это не все уровни защиты, которые только бывают. Эксперты по кибербезопасности могут вам рассказать и о других действенных методах, но о них в этот раз мы говорить не будем — не всем они нужны, и не все смогут их себе позволить.

Расскажем о перечисленных способах подробнее.

Необходимая защита

Мошенники могут получить доступ к аккаунту, если владелец передает логин с паролем кому-то другому — например сотруднику или другу. Чтобы избежать кражи, советуем:

  • не передавать логин и пароль сторонним приложениям;
  • не передавать логин и пароль сотрудникам;
  • не переходить по подозрительным ссылкам;
  • регулярно обновлять приложение.

Не передавать логин и пароль сторонним приложениям. Есть разные приложения, которые облегчают работу с аккаунтом: например, публикуют посты в определенное время. Обычно для работы с ними нужно ввести логин и пароль от аккаунта.

Отдавать логин и пароль сторонним приложениям — это риск. Хакеры могут взломать серверы этих приложений и забрать себе все данные: логины, пароль, адрес электронной почты, номер телефона.

В 2019 году база данных сервиса по продвижению Instasoft попала в свободный доступ. В ней были 237 логинов и текстовых паролей от аккаунтов соцсетей.

В 2021 году база данных сервиса по продвижению Tiktopers оказалась в свободном доступе. В ней было пять тысяч адресов электронной почты, телефонов и зашифрованных паролей от разных соцсетей.

Особенно настороженно относитесь к непроверенным приложениям. Если у приложения нет рейтинга, отзывов или его выпустили пару недель назад, это подозрительно. Может, его специально сделали мошенники, чтобы получить персональные данные и продать их в даркнете.

Может быть, к вашему аккаунту уже подключены сторонние приложения. В ВК вы можете проверить, у кого есть доступ, и закрыть его. Перейдите в «Настройки» → «Настройки приложений»:

Не передавать логин и пароль сотрудникам. Передавать сотрудникам логин и пароль от аккаунта в соцсети — это риск. Они могут сделать с аккаунтом все что угодно. Вот два примера.

Маркетолог высмеял контент-план SMM-менеджера, а тот обиделся и уволился. Менеджер в отместку отдал логин с паролем конкурентам. Во время сезона продаж конкуренты вошли в аккаунт и удалили его.

Сотрудники могут использовать небезопасные сервисы и случайно потерять данные.

SMM-менеджер подключился к сервису по накрутке подписчиков. Чтобы сервис заработал, менеджер заплатил 3000 ₽ и ввел логин и пароль от аккаунта. Сервис накрутил полторы тысячи ботов и тайно продал логин с паролем в даркнете. А через полгода аккаунт взломали и попросили выкуп.

Бывает, что нужно делегировать соцсети своему сотруднику. В таком случае тоже не обязательно давать логин и пароль. SMM-менеджеру или большой команде можно выдать ограниченные права на использование аккаунта. Например, в ВК это делается через настройки сообщества: «Управление» → «Участники» → «Руководители» → «Добавить руководителя».

Не переходить по подозрительным ссылкам. Если незнакомый человек прислал вам сообщение с запросом персональных данных, это подозрительно. А если рядом с сообщением стоит ссылка, это очень подозрительно. Вот пример.

Хакер представляется сотрудником службы безопасности соцсети. Говорит, что готов верифицировать аккаунт. Просит для этого логин и пароль. Предприниматель радуется, что у него теперь будет синяя галочка, и отдает данные. Хакер входит в аккаунт, меняет адрес электронной почты и пароль, закрывает владельцу доступ к странице.

Хакеру не обязательно просить данные. Он может представиться блогером или контрагентом и дать ссылку на свой ресурс.

Хакер присылает письмо на почту или сообщение в соцсети. В нем он предлагает сотрудничество и оставляет ссылку на свой профиль. Ссылка ведет на фальшивую стартовую страницу во Вконтакте. Предприниматель думает, что его случайно выбросило из аккаунта, и вводит логин и пароль, а хакер их присваивает себе. Он входит в аккаунт, меняет адрес электронной почты и пароль, закрывает владельцу доступ к странице.

Регулярно обновлять приложение. В каждом приложении есть уязвимости. Если не вдаваться в подробности, уязвимость — это дыра, через которую хакер может получить доступ к приложению. В приложениях соцсетей тоже есть уязвимости. Приведем пример.

В 2020 году исследователи из компании Check Point нашли уязвимость в приложении соцсети на андроиде. Хакер отправляет жертве вредоносное изображение в формате JPEG по электронной почте или в Вотсапе. Когда получатель сохранит изображение и запустит соцсеть, хакер автоматически получает контроль над аккаунтом. Он может делать все что угодно: писать в чаты просьбы занять денег, публиковать непристойные фотографии, удалять рекламные посты.

Чтобы обезопасить пользователей, разработчики находят уязвимости, устраняют их и выкладывают новую версию приложения. Чем чаще вы будете обновлять приложение соцсети, тем меньше в нем будет уязвимостей и меньше риск, что хакер взломает аккаунт.

Надежный пароль

Это первый инструмент базовой защиты. Надежный пароль соответствует пяти критериям:

  • уникален для каждого сервиса: если предприниматель использует один пароль и для бизнес-аккаунта, и для личного, хакер получит доступ ко всем, если взломает хоть один;
  • представляет из себя набор случайных символов, а сами символы самые разные — «»:jhhK0%№_(1»;
  • состоит как минимум из 12 символов;
  • в нем нет чего-то личного, что о вас знают друзья или соцсети: имя дочки, бренд любимых кроссовок, название бара, в котором вы встретили супруга или супругу;
  • он меняется каждые три месяца.

Надежный пароль может выглядеть так: «orfjk3*^$@frjk439_)82#e—». Запомнить его невозможно, но есть хорошая новость: эту работу за вас готовы сделать менеджеры паролей. Так называют специальные сервисы, которые хранят пароли и подставляют в нужную строку, когда вы куда-то входите. Они умеют генерировать случайные наборы символов, которые можно использовать в качестве паролей.

Если вы пользуетесь сервисами Google, у вас, скорее всего, уже есть менеджер паролей. Введите в поисковике «диспетчер паролей Google». Как только откроете, проверьте, какие пароли самые уязвимые, и поменяйте их на случайно сгенерированные — менеджер запомнит их и будет подставлять за вас.

Необязательно пользоваться именно менеджером паролей от Google. Например, если вы пользуйтесь устройствами Apple, можно пользоваться менеджером паролей Keychain — от этой же компании.

Если вы работаете на Windows, попробуйте KeePass — бесплатный менеджер паролей с открытым кодом.

«Рекомендую Kaspersky Password Manager, 1Password, KeePass, Keychain. Эти менеджеры проверены временем, коллегами и экспертами».

Юлия Ряховская

Юлия Ряховская

Аналитик по безопасности в Тинькофф

Если придумываете пароль самостоятельно, чтобы запомнить его, избегайте популярных комбинаций символов.


Какими паролями точно нельзя пользоваться

В 2021 году российский сервис разведки утечек данных даркнета DLBI провел исследование: какие пароли чаще всего используют в интернете. Для этого специалисты проанализировали базы данных на теневых форумах в открытом доступе. Среди них нашлось 5,36 млрд уникальных пар логин-пароль, принадлежавшим людям, а не ботам.

Вот пять самых популярных паролей:

  • qwerty123;
  • qwerty1;
  • 123456;
  • a11111;
  • 123456789.

А вот самые популярные кириллические пароли:

  • йцукен;
  • пароль;
  • любовь;
  • привет;
  • наташа.

Подробнее об исследовании


Двухфакторная аутентификация

Аутентификация — это подтверждение того, что это вы входите в сервис, а не кто-то другой. Однофакторная аутентификация — это подтверждение с помощью пароля и логина, а двухфакторная — это то же самое, но с еще одним подтверждением с помощью одноразового пароля.

Одноразовый пароль сложнее взломать и его нельзя забыть: его создает программа, вам не надо его запоминать. Он действует 30 секунд — за это время никто не успеет его определить перебором. Как только вы вошли в систему, он сразу деактивируется и злоумышленник не сможет им воспользоваться.

Есть много вариантов для второго подтверждения с помощью одноразового кода: через СМС-код, ссылку на почту, подтверждение на сайте, USB-токен, QR-код, NFC-карту или приложение-аутентификатор. Но не все из них надежные.

Дальше расскажем, как включить двухфакторную аутентификацию, на примере двух вариантов: СМС-кода и приложения-аутентификатора.

СМС-код. Чтобы защищаться с помощью СМС-кода, нужно войти в настройки безопасности аккаунта, нажать на двухфакторную аутентификацию и выбрать СМС. Тогда всякий раз, когда вы будете заходить в аккаунт, вам будет приходить код СМС для входа.

Мы не рекомендуем защищаться с помощью СМС-кода. Хакеры могут перевыпустить сим-карту: попросить у оператора перенести номер на другую симку и получить доступ к соцсетям и банковским приложениям.

Хакеру достаточно узнать номер жертвы, купить себе сим-карту и паспортные данные жертвы в даркнете — они нужны, чтобы подделать доверенность или паспорт. Ему останется связаться с сервисным центром, выдать себя за владельца номера и сказать, что потерял сим-карту и хочет перевести номер телефона на новую. Может быть, сотрудник сразу перенесет номер, а может, и нет — все зависит от него.

Есть способ защититься от подделывания симки. Для этого нужно:

  1. Купить сим-карту и использовать ее только для получения СМС-кодов.
  2. Ни одному человеку никогда не показывать номер этой сим-карты.
  3. Написать заявление на отказ от работы по доверенности, чтобы все работы с вашим номером велись только в вашем присутствии.

После этого можно использовать новую сим-карту для двухфакторной аутентификации. Но если у хакера будут подельники в компании, ничего не выйдет.


Хакеры могут получить доступ к сим-карте с помощью подельника в компании сотового оператора

В компании «ВымпелКом» группа сотрудников связалась с неким человеком. Он предложил пробивать мобильные телефоны: переносить номера абонентов на другие сим-карты. Сотрудники согласились. За каждый номер получали по 2000 ₽. Суд доказал четыре случая.

Постановление Ленинского районного суда города Новосибирск от 16.01.2020 № 1-104/2020


Приложение-аутентификатор. Чтобы защищаться с помощью мобильного приложения, нужно скачать его и связать с соцсетью. Тогда если соцсеть зафиксирует попытку доступа с подозрительного устройства или браузера, она потребует ввести одноразовый пароль из приложения Google Authenticator. Это надежнее СМС-кода: для входа в приложение хакеру нужно раздобыть доступ к смартфону.

Дальше расскажем, как включить двухфакторную аутентификацию во Вконтакте и Телеграме. Если что-то из этого не ведете, просто пропустите раздел.

Как включить двухфакторную аутентификацию в ВК

Процесс такой:

  1. Скачайте приложение Google Authenticator: App Store или Google Play.
  2. Перейдите на компьютере в ВК в «Настройки» → «Безопастность».
  3. Нажмите «Подтверждение входа».
  4. Свяжите Google Authenticator с ВК: через ключ или QR-код.

Теперь покажем, как все сделать в интерфейсе Вконтакте. Вот как добраться до вкладки «Безопасность» с кнопкой «Подтверждение входа»:

Откроется экран с описанием двухфакторной аутентификации и подтверждения входа. Кликните на «Продолжить». Затем нужно ввести пароль или пароль с одноразовым кодом из СМС — зависит от того, как у вас все было настроено.

После этого вам предложат связать Google Authenticator с ВК: через ключ или QR-код. Если ваш смартфон умеет считывать QR-код, откройте Google Authenticator, нажмите на иконку плюса и выберите «Сканирование QR-кода». Если так не получится, выберите в Google Authenticator «Ввести ключ настройки» и введите тот, что на экране.

В конце выпадет оповещение о том, что настройка завершена. Кликните на «Завершить». После этого вы автоматически выйдете из аккаунта ВК. Для повторного входа нужно скопировать код из приложении Google Authenticator и ввести его после логина и пароля.

Когда завершите настройку, сохраните резервные коды. Так называют числа, которые заменяют вторую аутентификацию. По ним вы восстановите доступ в аккаунт, если потеряете телефон. Они находятся на вкладке «Безопасность». Кликните на «Показать список», чтобы увидеть их. Советуем сохранить их в менеджере паролей.

Как включить двухфакторную аутентификацию в Телеграме

Телеграм по-умолчанию запрашивает СМС-код при входе с незнакомого браузера или устройства. Заменить этот способ на Google Authenticator — нельзя. Но можно добавить к нему многоразовый пароль. Тогда получится, что хакеру сначала нужно узнать и ввести ваш логин, потом номер телефона, потом СМС-код и в конце — многоразовый пароль.

Чтобы подключить многоразовый пароль, перейдите в «Настройки» → «Конфиденциальность» → «Двухэтапная аутентификация».

Дальше нужно создать пароль. Рекомендуем сгенерировать случайный в менеджере паролей и сохранить его там. Когда введете его, Телеграм предложит ввести подсказку на случай, если вы забыли пароль. Можете пропустить этот этап.

Дальше приложение попросит привязать почту к аккаунту. Через нее будете восстанавливать доступ, если потеряете пароль.

Останется подтвердить почту — зайти в нее и кликнуть по ссылке из письма.

Продвинутая защита

Есть еще четыре способа защитить аккаунт. Можете использовать любые из них или все сразу — так надежнее.

Проверять входы. Может быть такое, что аккаунт уже взломали, но еще ничего не предприняли. Чтобы проверить это и вовремя закрыть доступ мошенникам, заглядывайте в историю входов. Проверять вход можно и в Телеграме и в ВК.

Для проверки входов в ВК нужно перейти на вкладку «Безопасность». Там есть два раздела: «Последняя активность» и «Привязанные устройства».

Для проверки входов в Телеграме нужно перейти на вкладку «Конфиденциальность» → «Посмотреть все сеансы».

На что обращать внимание, когда проверяете входы:

  • город и приблизительный адрес: например, подозрительно, если вход отмечен в Санкт-Петербурге, а вы там вообще не бываете;
  • устройство: странно, если входили с Айфона, а он был в ремонте в это время;
  • дату захода: если вчера не заходили в аккаунт, а кто-то входил — это не порядок.

Проверять входы нужно в двух случаях:

  • если пользовались чужой техникой и не помните, выходили ли из своего аккаунта;
  • при подозрительных действиях в аккаунте: например, кто-то комментировал от вашего имени.

Даже если ничего не произошло, советуем проверять входы раз в три месяца для профилактики.

Смотреть на город и приблизительный адрес бессмысленно, если вы пользуетесь VPN. В этом случае Вконтакте не определит город, в котором вы находитесь. Но выход есть: можно сверять даты и устройства — их VPN не меняет.

Завести отдельную почту для соцсети. Скорее всего, адрес вашей почты указан в описании профиля соцсети, чтобы клиенты, новые партнеры и инвесторы могли с вами связаться. От того, что он опубликован, увеличивается риск, что аккаунт взломают: хакеру не нужно искать почту, надо только подобрать пароль. Заведите отдельную почту для соцсети и не показывайте ее нигде и никому. Тогда шанс, что ее взломают, ниже.

Отдельную почту удобно использовать и для того, чтобы следить за письмами от администрации: о подозрительных входах, восстановлении или сбросе пароля. В общем потоке рабочих писем они могут потеряться.

Скрыть сетевой статус. Вы можете сделать так, чтобы никто не видел, когда вы были в сети в последний раз. Тогда хакер не узнает, когда вы вышли из сети, чтобы взломать аккаунт. В ВК сетевой статус нельзя отключить, а вот в Телеграме можно. Для этого перейдите в «Конфиденциальность» → «Последняя активность». Дальше можно выбрать, кто будет видеть ваш сетевой статус: ваши контакты или вообще никто.

Использовать VPN-сервис в кафе. В публичных заведениях есть бесплатный Wi-Fi. Если к нему подключиться, шифровать ваш трафик не будут. Любой, кто подключится к этой сети, может увидеть, какие сайты вы посещаете и какие данные на них вводите. Если в кафе войти в соцсеть — пароль с логином могут перехватить. Если часто работаете в кофейнях, подключите VPN-сервис. Он скроет ваш трафик от тех, кто подключился к той же сети.

Мы не советуем пользоваться бесплатными VPN-сервисами. Они могут красть ваши данные и продавать их на теневых форумах. Купите подписку на VPN, который прошел независимый аудит от известной компании вроде PricewaterhouseCoopers или Ernst & Young. Обычно это указано на сайте.


Больше по теме