Что будет, если ваш аккаунт в соцсетях взломают мошенники

Для некоторых компаний соцсети — один из главных каналов продаж: в директ сыпятся заявки, а менеджеры обрабатывают их и совершают сделки. Хакеры могут это заметить и взломать такой аккаунт, чтобы получить к нему доступ.

Мотивация для взлома может быть разной:

• конкурент захотел вывести предпринимателя из игры на время сезона продажи и нанял для этого хакера;
• хакер крадет аккаунт в обмен на выкуп;
• хакер хочет продать аккаунт на теневом форуме.

На теневом рынке продают раскрученные аккаунты с коротким и звучным названием — например Bitcoin или Love. Их можно использовать для другого бизнеса.

Мошенник может сделать все что угодно:

• украсть информацию — базу клиентов, номера телефонов — чтобы продать в даркнете или вымогать деньги за молчание;
• одобрять расизм или оскорблять президента от имени взломанного аккаунта, чтобы начались разбирательства из-за нарушения закона;
• узнать пароль, чтобы получить доступ к другим аккаунтам, если используете одинаковый пароль;
• опубликовать фото или видео с запрещенным контентом, чтобы испортить репутацию бизнеса или добиться блокировки аккаунта;
• собирать деньги от имени взломанного аккаунта у подписчиков: например, под видом продажи курса.

Если мошенники потребуют у подписчиков деньги, придется извиняться перед всеми и возвращать их, но уже из своего кармана.

Вот несколько историй похищения аккаунта.

Чтобы аккаунт не взломали, нужно соблюдать разные правила безопасности. Дальше разберем их на примере ВК и Телеграма.

Инструменты для защиты можно условно поделить на три уровня: необходимые, базовые и продвинутые.

Необходимая защита. Если ее не использовать, остальные уровни защиты бесполезны. Советуем следовать трем рекомендациям:

• никому не передавать логин и пароль;
• не переходить по подозрительным ссылкам;
• регулярно обновлять приложение.

Базовая защита. Она пригодится, если беспокоитесь о безопасности аккаунта, но времени на его защиту мало. В базовую защиту входит два инструмента:

• надежный пароль;
• двухфакторная аутентификация.

Продвинутая защита. Любой аккаунт с надежным паролем и двухфакторной аутентификацией могут взломать. Инструменты продвинутой защиты уберегут вас от взлома, если базовая защита не выдержит. Обратите на нее внимание, если соцсети — ваш единственный источник дохода и вы готовы на все ради безопасности. Чтобы снизить риски, советуем:

• проверять авторизации;
• завести отдельную почту для соцсети;
• скрыть сетевой статус;
• использовать VPN-сервис в кафе.

Признаемся: это не все уровни защиты, которые только бывают. Эксперты по кибербезопасности могут вам рассказать и о других действенных методах, но о них в этот раз мы говорить не будем — не всем они нужны, и не все смогут их себе позволить.

Расскажем о перечисленных способах подробнее.

Мошенники могут получить доступ к аккаунту, если владелец передает логин с паролем кому-то другому — например сотруднику или другу. Чтобы избежать кражи, советуем:

• не передавать логин и пароль сторонним приложениям;
• не передавать логин и пароль сотрудникам;
• не переходить по подозрительным ссылкам;
• регулярно обновлять приложение.

Не передавать логин и пароль сторонним приложениям. Есть разные приложения, которые облегчают работу с аккаунтом: например, публикуют посты в определенное время. Обычно для работы с ними нужно ввести логин и пароль от аккаунта.

Отдавать логин и пароль сторонним приложениям — это риск. Хакеры могут взломать серверы этих приложений и забрать себе все данные: логины, пароль, адрес электронной почты, номер телефона.

Особенно настороженно относитесь к непроверенным приложениям. Если у приложения нет рейтинга, отзывов или его выпустили пару недель назад, это подозрительно. Может, его специально сделали мошенники, чтобы получить персональные данные и продать их в даркнете.

Может быть, к вашему аккаунту уже подключены сторонние приложения. В ВК вы можете проверить, у кого есть доступ, и закрыть его. Перейдите в «Настройки» → «Настройки приложений»:

Не передавать логин и пароль сотрудникам. Передавать сотрудникам логин и пароль от аккаунта в соцсети — это риск. Они могут сделать с аккаунтом все что угодно. Вот два примера.

Сотрудники могут использовать небезопасные сервисы и случайно потерять данные.

Бывает, что нужно делегировать соцсети своему сотруднику. В таком случае тоже не обязательно давать логин и пароль. SMM-менеджеру или большой команде можно выдать ограниченные права на использование аккаунта. Например, в ВК это делается через настройки сообщества: «Управление» → «Участники» → «Руководители» → «Добавить руководителя».

Не переходить по подозрительным ссылкам. Если незнакомый человек прислал вам сообщение с запросом персональных данных, это подозрительно. А если рядом с сообщением стоит ссылка, это очень подозрительно. Вот пример.

Хакеру не обязательно просить данные. Он может представиться блогером или контрагентом и дать ссылку на свой ресурс.

Регулярно обновлять приложение. В каждом приложении есть уязвимости. Если не вдаваться в подробности, уязвимость — это дыра, через которую хакер может получить доступ к приложению. В приложениях соцсетей тоже есть уязвимости. Приведем пример.

Чтобы обезопасить пользователей, разработчики находят уязвимости, устраняют их и выкладывают новую версию приложения. Чем чаще вы будете обновлять приложение соцсети, тем меньше в нем будет уязвимостей и меньше риск, что хакер взломает аккаунт.

Это первый инструмент базовой защиты. Надежный пароль соответствует пяти критериям:

• уникален для каждого сервиса: если предприниматель использует один пароль и для бизнес-аккаунта, и для личного, хакер получит доступ ко всем, если взломает хоть один;
• представляет из себя набор случайных символов, а сами символы самые разные — «»:jhhK0%№_(1»;
• состоит как минимум из 12 символов;
• в нем нет чего-то личного, что о вас знают друзья или соцсети: имя дочки, бренд любимых кроссовок, название бара, в котором вы встретили супруга или супругу;
• он меняется каждые три месяца.

Надежный пароль может выглядеть так: «orfjk3*^$@frjk439_)82#e—». Запомнить его невозможно, но есть хорошая новость: эту работу за вас готовы сделать менеджеры паролей. Так называют специальные сервисы, которые хранят пароли и подставляют в нужную строку, когда вы куда-то входите. Они умеют генерировать случайные наборы символов, которые можно использовать в качестве паролей.

Если вы пользуетесь сервисами Google, у вас, скорее всего, уже есть менеджер паролей. Введите в поисковике «диспетчер паролей Google». Как только откроете, проверьте, какие пароли самые уязвимые, и поменяйте их на случайно сгенерированные — менеджер запомнит их и будет подставлять за вас.

Если придумываете пароль самостоятельно, чтобы запомнить его, избегайте популярных комбинаций символов.

Аутентификация — это подтверждение того, что это вы входите в сервис, а не кто-то другой. Однофакторная аутентификация — это подтверждение с помощью пароля и логина, а двухфакторная — это то же самое, но с еще одним подтверждением с помощью одноразового пароля.

Одноразовый пароль сложнее взломать и его нельзя забыть: его создает программа, вам не надо его запоминать. Он действует 30 секунд — за это время никто не успеет его определить перебором. Как только вы вошли в систему, он сразу деактивируется и злоумышленник не сможет им воспользоваться.

Есть много вариантов для второго подтверждения с помощью одноразового кода: через СМС-код, ссылку на почту, подтверждение на сайте, USB-токен, QR-код, NFC-карту или приложение-аутентификатор. Но не все из них надежные.

Дальше расскажем, как включить двухфакторную аутентификацию, на примере двух вариантов: СМС-кода и приложения-аутентификатора.

❌ СМС-код. Чтобы защищаться с помощью СМС-кода, нужно войти в настройки безопасности аккаунта, нажать на двухфакторную аутентификацию и выбрать СМС. Тогда всякий раз, когда вы будете заходить в аккаунт, вам будет приходить код СМС для входа.

Мы не рекомендуем защищаться с помощью СМС-кода. Хакеры могут перевыпустить сим-карту: попросить у оператора перенести номер на другую симку и получить доступ к соцсетям и банковским приложениям.

Хакеру достаточно узнать номер жертвы, купить себе сим-карту и паспортные данные жертвы в даркнете — они нужны, чтобы подделать доверенность или паспорт. Ему останется связаться с сервисным центром, выдать себя за владельца номера и сказать, что потерял сим-карту и хочет перевести номер телефона на новую. Может быть, сотрудник сразу перенесет номер, а может, и нет — все зависит от него.

Есть способ защититься от подделывания симки. Для этого нужно:

1. Купить сим-карту и использовать ее только для получения СМС-кодов.
2. Ни одному человеку никогда не показывать номер этой сим-карты.
3. Написать заявление на отказ от работы по доверенности, чтобы все работы с вашим номером велись только в вашем присутствии.

После этого можно использовать новую сим-карту для двухфакторной аутентификации. Но если у хакера будут подельники в компании, ничего не выйдет.

✅ Приложение-аутентификатор. Чтобы защищаться с помощью мобильного приложения, нужно скачать его и связать с соцсетью. Тогда если соцсеть зафиксирует попытку доступа с подозрительного устройства или браузера, она потребует ввести одноразовый пароль из приложения Google Authenticator. Это надежнее СМС-кода: для входа в приложение хакеру нужно раздобыть доступ к смартфону.

Дальше расскажем, как включить двухфакторную аутентификацию во Вконтакте и Телеграме. Если что-то из этого не ведете, просто пропустите раздел.

Процесс такой:

1. Скачайте приложение Google Authenticator: App Store или Google Play.
2. Перейдите на компьютере в ВК в «Настройки» → «Безопастность».
3. Нажмите «Подтверждение входа».
4. Свяжите Google Authenticator с ВК: через ключ или QR-код.

Теперь покажем, как все сделать в интерфейсе Вконтакте. Вот как добраться до вкладки «Безопасность» с кнопкой «Подтверждение входа»:

Откроется экран с описанием двухфакторной аутентификации и подтверждения входа. Кликните на «Продолжить». Затем нужно ввести пароль или пароль с одноразовым кодом из СМС — зависит от того, как у вас все было настроено.

После этого вам предложат связать Google Authenticator с ВК: через ключ или QR-код. Если ваш смартфон умеет считывать QR-код, откройте Google Authenticator, нажмите на иконку плюса и выберите «Сканирование QR-кода». Если так не получится, выберите в Google Authenticator «Ввести ключ настройки» и введите тот, что на экране.

В конце выпадет оповещение о том, что настройка завершена. Кликните на «Завершить». После этого вы автоматически выйдете из аккаунта ВК. Для повторного входа нужно скопировать код из приложении Google Authenticator и ввести его после логина и пароля.

Когда завершите настройку, сохраните резервные коды. Так называют числа, которые заменяют вторую аутентификацию. По ним вы восстановите доступ в аккаунт, если потеряете телефон. Они находятся на вкладке «Безопасность». Кликните на «Показать список», чтобы увидеть их. Советуем сохранить их в менеджере паролей.

Телеграм по-умолчанию запрашивает СМС-код при входе с незнакомого браузера или устройства. Заменить этот способ на Google Authenticator — нельзя. Но можно добавить к нему многоразовый пароль. Тогда получится, что хакеру сначала нужно узнать и ввести ваш логин, потом номер телефона, потом СМС-код и в конце — многоразовый пароль.

Чтобы подключить многоразовый пароль, перейдите в «Настройки» → «Конфиденциальность» → «Двухэтапная аутентификация».

Дальше нужно создать пароль. Рекомендуем сгенерировать случайный в менеджере паролей и сохранить его там. Когда введете его, Телеграм предложит ввести подсказку на случай, если вы забыли пароль. Можете пропустить этот этап.

Дальше приложение попросит привязать почту к аккаунту. Через нее будете восстанавливать доступ, если потеряете пароль.

Останется подтвердить почту — зайти в нее и кликнуть по ссылке из письма.

Есть еще четыре способа защитить аккаунт. Можете использовать любые из них или все сразу — так надежнее.

Проверять входы. Может быть такое, что аккаунт уже взломали, но еще ничего не предприняли. Чтобы проверить это и вовремя закрыть доступ мошенникам, заглядывайте в историю входов. Проверять вход можно и в Телеграме и в ВК.

Для проверки входов в ВК нужно перейти на вкладку «Безопасность». Там есть два раздела: «Последняя активность» и «Привязанные устройства».

Для проверки входов в Телеграме нужно перейти на вкладку «Конфиденциальность» → «Посмотреть все сеансы».

На что обращать внимание, когда проверяете входы:

• город и приблизительный адрес: например, подозрительно, если вход отмечен в Санкт-Петербурге, а вы там вообще не бываете;
• устройство: странно, если входили с Айфона, а он был в ремонте в это время;
• дату захода: если вчера не заходили в аккаунт, а кто-то входил — это не порядок.

Проверять входы нужно в двух случаях:

• если пользовались чужой техникой и не помните, выходили ли из своего аккаунта;
• при подозрительных действиях в аккаунте: например, кто-то комментировал от вашего имени.

Даже если ничего не произошло, советуем проверять входы раз в три месяца для профилактики.

Смотреть на город и приблизительный адрес бессмысленно, если вы пользуетесь VPN. В этом случае Вконтакте не определит город, в котором вы находитесь. Но выход есть: можно сверять даты и устройства — их VPN не меняет.

Завести отдельную почту для соцсети. Скорее всего, адрес вашей почты указан в описании профиля соцсети, чтобы клиенты, новые партнеры и инвесторы могли с вами связаться. От того, что он опубликован, увеличивается риск, что аккаунт взломают: хакеру не нужно искать почту, надо только подобрать пароль. Заведите отдельную почту для соцсети и не показывайте ее нигде и никому. Тогда шанс, что ее взломают, ниже.

Отдельную почту удобно использовать и для того, чтобы следить за письмами от администрации: о подозрительных входах, восстановлении или сбросе пароля. В общем потоке рабочих писем они могут потеряться.

Скрыть сетевой статус. Вы можете сделать так, чтобы никто не видел, когда вы были в сети в последний раз. Тогда хакер не узнает, когда вы вышли из сети, чтобы взломать аккаунт. В ВК сетевой статус нельзя отключить, а вот в Телеграме можно. Для этого перейдите в «Конфиденциальность» → «Последняя активность». Дальше можно выбрать, кто будет видеть ваш сетевой статус: ваши контакты или вообще никто.

Мы не советуем пользоваться бесплатными VPN-сервисами. Они могут красть ваши данные и продавать их на теневых форумах. Купите подписку на VPN, который прошел независимый аудит от известной компании вроде PricewaterhouseCoopers или Ernst & Young. Обычно это указано на сайте.