Дайджест
Получайте первыми приглашения на вебинары, анонсы курсов и подборки статей
Подписываясь на дайджест, вы соглашаетесь с политикой конфиденциальности
Зарегистрируйте ИП в Тинькофф и получите бонусы до 500 000 ₽
ПодробнееПолучайте первыми приглашения на вебинары, анонсы курсов и подборки статей
Подписываясь на дайджест, вы соглашаетесь с политикой конфиденциальности
Каждые 11 секунд в мире происходит атака хакеров, в том числе и на аккаунты в соцсетях. Рассказываем, чем это опасно и как защитить свой аккаунт от взлома
Аналитик по безопасности в Тинькофф
Каждые 11 секунд в мире происходит атака хакеров, в том числе и на аккаунты в соцсетях. Рассказываем, чем это опасно и как защитить свой аккаунт от взлома
Аналитик по безопасности в Тинькофф
Для некоторых компаний соцсети — один из главных каналов продаж: в директ сыпятся заявки, а менеджеры обрабатывают их и совершают сделки. Хакеры могут это заметить и взломать такой аккаунт, чтобы получить к нему доступ.
Мотивация для взлома может быть разной:
На теневом рынке продают раскрученные аккаунты с коротким и звучным названием — например Bitcoin или Love. Их можно использовать для другого бизнеса.
Каждые 11 секунд в мире происходит атака хакеров. Так говорится в отчете Cybersecurity Ventures за 2019 год. Кто-то взламывает аккаунт в соцсетях, кто-то — сервер компании конкурента. В этой статье расскажем, чем опасен взлом аккаунта и как от этого защититься.
Есть данные о том, какие соцсети и мессенджеры взламывают в России чаще всего и за какую сумму. Их собрала компания по стратегическому управлению цифровыми рисками BI.ZONE. Для этого они посмотрели объявления взломщиков в даркнете с мая 2020 года по август 2021 года.
Среди мессенджеров:
Среди соцсетей на первом месте Вконтакте. Стоимость: 700—12 000 ₽.
Взлом почтового ящика — тоже популярная услуга.
Мошенник может сделать все что угодно:
Если мошенники потребуют у подписчиков деньги, придется извиняться перед всеми и возвращать их, но уже из своего кармана.
Вот несколько историй похищения аккаунта.
В 2021 году взломали аккаунт психолога Альбины Сиразиевы. У нее было 500 подписчиков. Через соцсеть она записывала клиентов на консультации, публиковала отзывы клиентов и привлекала новых. Мошенники захватили аккаунт и попросили подписчиков от имени Альбины перевести деньги. Альбина добилась блокировки аккаунта и завела новый.
В 2021 году взломали группу Яндекс Go во Вконтакте. Хакеры получили доступ к рассылке группы. Они предложили подписчикам ввести банковские данные, чтобы поучаствовать в конкурсе с призом 3000 долларов. Некоторые подписчики ввели свои данные и лишились денег на своих счетах.
В 2022 году взломали соцсети продавца Wildberries Анастасии Павловой — бренд LeoHome. Там она давала советы начинающим продавцам на маркетплейсах. Мошенники требовали 20 000 ₽ и просили деньги у подписчиков от имени Анастасии.
Чтобы аккаунт не взломали, нужно соблюдать разные правила безопасности. Дальше разберем их на примере ВК и Телеграма.
Инструменты для защиты можно условно поделить на три уровня: необходимые, базовые и продвинутые.
Необходимая защита. Если ее не использовать, остальные уровни защиты бесполезны. Советуем следовать трем рекомендациям:
Базовая защита. Она пригодится, если беспокоитесь о безопасности аккаунта, но времени на его защиту мало. В базовую защиту входит два инструмента:
Продвинутая защита. Любой аккаунт с надежным паролем и двухфакторной аутентификацией могут взломать. Инструменты продвинутой защиты уберегут вас от взлома, если базовая защита не выдержит. Обратите на нее внимание, если соцсети — ваш единственный источник дохода и вы готовы на все ради безопасности. Чтобы снизить риски, советуем:
Признаемся: это не все уровни защиты, которые только бывают. Эксперты по кибербезопасности могут вам рассказать и о других действенных методах, но о них в этот раз мы говорить не будем — не всем они нужны, и не все смогут их себе позволить.
Расскажем о перечисленных способах подробнее.
Мошенники могут получить доступ к аккаунту, если владелец передает логин с паролем кому-то другому — например сотруднику или другу. Чтобы избежать кражи, советуем:
Не передавать логин и пароль сторонним приложениям. Есть разные приложения, которые облегчают работу с аккаунтом: например, публикуют посты в определенное время. Обычно для работы с ними нужно ввести логин и пароль от аккаунта.
Отдавать логин и пароль сторонним приложениям — это риск. Хакеры могут взломать серверы этих приложений и забрать себе все данные: логины, пароль, адрес электронной почты, номер телефона.
В 2019 году база данных сервиса по продвижению Instasoft попала в свободный доступ. В ней были 237 логинов и текстовых паролей от аккаунтов соцсетей.
В 2021 году база данных сервиса по продвижению Tiktopers оказалась в свободном доступе. В ней было пять тысяч адресов электронной почты, телефонов и зашифрованных паролей от разных соцсетей.
Особенно настороженно относитесь к непроверенным приложениям. Если у приложения нет рейтинга, отзывов или его выпустили пару недель назад, это подозрительно. Может, его специально сделали мошенники, чтобы получить персональные данные и продать их в даркнете.
Может быть, к вашему аккаунту уже подключены сторонние приложения. В ВК вы можете проверить, у кого есть доступ, и закрыть его. Перейдите в «Настройки» → «Настройки приложений»:
Не передавать логин и пароль сотрудникам. Передавать сотрудникам логин и пароль от аккаунта в соцсети — это риск. Они могут сделать с аккаунтом все что угодно. Вот два примера.
Маркетолог высмеял контент-план SMM-менеджера, а тот обиделся и уволился. Менеджер в отместку отдал логин с паролем конкурентам. Во время сезона продаж конкуренты вошли в аккаунт и удалили его.
Сотрудники могут использовать небезопасные сервисы и случайно потерять данные.
SMM-менеджер подключился к сервису по накрутке подписчиков. Чтобы сервис заработал, менеджер заплатил 3000 ₽ и ввел логин и пароль от аккаунта. Сервис накрутил полторы тысячи ботов и тайно продал логин с паролем в даркнете. А через полгода аккаунт взломали и попросили выкуп.
Бывает, что нужно делегировать соцсети своему сотруднику. В таком случае тоже не обязательно давать логин и пароль. SMM-менеджеру или большой команде можно выдать ограниченные права на использование аккаунта. Например, в ВК это делается через настройки сообщества: «Управление» → «Участники» → «Руководители» → «Добавить руководителя».
Не переходить по подозрительным ссылкам. Если незнакомый человек прислал вам сообщение с запросом персональных данных, это подозрительно. А если рядом с сообщением стоит ссылка, это очень подозрительно. Вот пример.
Хакер представляется сотрудником службы безопасности соцсети. Говорит, что готов верифицировать аккаунт. Просит для этого логин и пароль. Предприниматель радуется, что у него теперь будет синяя галочка, и отдает данные. Хакер входит в аккаунт, меняет адрес электронной почты и пароль, закрывает владельцу доступ к странице.
Хакеру не обязательно просить данные. Он может представиться блогером или контрагентом и дать ссылку на свой ресурс.
Хакер присылает письмо на почту или сообщение в соцсети. В нем он предлагает сотрудничество и оставляет ссылку на свой профиль. Ссылка ведет на фальшивую стартовую страницу во Вконтакте. Предприниматель думает, что его случайно выбросило из аккаунта, и вводит логин и пароль, а хакер их присваивает себе. Он входит в аккаунт, меняет адрес электронной почты и пароль, закрывает владельцу доступ к странице.
Регулярно обновлять приложение. В каждом приложении есть уязвимости. Если не вдаваться в подробности, уязвимость — это дыра, через которую хакер может получить доступ к приложению. В приложениях соцсетей тоже есть уязвимости. Приведем пример.
В 2020 году исследователи из компании Check Point нашли уязвимость в приложении соцсети на андроиде. Хакер отправляет жертве вредоносное изображение в формате JPEG по электронной почте или в Вотсапе. Когда получатель сохранит изображение и запустит соцсеть, хакер автоматически получает контроль над аккаунтом. Он может делать все что угодно: писать в чаты просьбы занять денег, публиковать непристойные фотографии, удалять рекламные посты.
Чтобы обезопасить пользователей, разработчики находят уязвимости, устраняют их и выкладывают новую версию приложения. Чем чаще вы будете обновлять приложение соцсети, тем меньше в нем будет уязвимостей и меньше риск, что хакер взломает аккаунт.
Это первый инструмент базовой защиты. Надежный пароль соответствует пяти критериям:
Надежный пароль может выглядеть так: «orfjk3*^$@frjk439_)82#e—». Запомнить его невозможно, но есть хорошая новость: эту работу за вас готовы сделать менеджеры паролей. Так называют специальные сервисы, которые хранят пароли и подставляют в нужную строку, когда вы куда-то входите. Они умеют генерировать случайные наборы символов, которые можно использовать в качестве паролей.
Если вы пользуетесь сервисами Google, у вас, скорее всего, уже есть менеджер паролей. Введите в поисковике «диспетчер паролей Google». Как только откроете, проверьте, какие пароли самые уязвимые, и поменяйте их на случайно сгенерированные — менеджер запомнит их и будет подставлять за вас.
Необязательно пользоваться именно менеджером паролей от Google. Например, если вы пользуйтесь устройствами Apple, можно пользоваться менеджером паролей Keychain — от этой же компании.
Если вы работаете на Windows, попробуйте KeePass — бесплатный менеджер паролей с открытым кодом.
«Рекомендую Kaspersky Password Manager, 1Password, KeePass, Keychain. Эти менеджеры проверены временем, коллегами и экспертами».
Аналитик по безопасности в Тинькофф
Если придумываете пароль самостоятельно, чтобы запомнить его, избегайте популярных комбинаций символов.
В 2021 году российский сервис разведки утечек данных даркнета DLBI провел исследование: какие пароли чаще всего используют в интернете. Для этого специалисты проанализировали базы данных на теневых форумах в открытом доступе. Среди них нашлось 5,36 млрд уникальных пар логин-пароль, принадлежавшим людям, а не ботам.
Вот пять самых популярных паролей:
А вот самые популярные кириллические пароли:
Аутентификация — это подтверждение того, что это вы входите в сервис, а не кто-то другой. Однофакторная аутентификация — это подтверждение с помощью пароля и логина, а двухфакторная — это то же самое, но с еще одним подтверждением с помощью одноразового пароля.
Одноразовый пароль сложнее взломать и его нельзя забыть: его создает программа, вам не надо его запоминать. Он действует 30 секунд — за это время никто не успеет его определить перебором. Как только вы вошли в систему, он сразу деактивируется и злоумышленник не сможет им воспользоваться.
Есть много вариантов для второго подтверждения с помощью одноразового кода: через СМС-код, ссылку на почту, подтверждение на сайте, USB-токен, QR-код, NFC-карту или приложение-аутентификатор. Но не все из них надежные.
Дальше расскажем, как включить двухфакторную аутентификацию, на примере двух вариантов: СМС-кода и приложения-аутентификатора.
❌ СМС-код. Чтобы защищаться с помощью СМС-кода, нужно войти в настройки безопасности аккаунта, нажать на двухфакторную аутентификацию и выбрать СМС. Тогда всякий раз, когда вы будете заходить в аккаунт, вам будет приходить код СМС для входа.
Мы не рекомендуем защищаться с помощью СМС-кода. Хакеры могут перевыпустить сим-карту: попросить у оператора перенести номер на другую симку и получить доступ к соцсетям и банковским приложениям.
Хакеру достаточно узнать номер жертвы, купить себе сим-карту и паспортные данные жертвы в даркнете — они нужны, чтобы подделать доверенность или паспорт. Ему останется связаться с сервисным центром, выдать себя за владельца номера и сказать, что потерял сим-карту и хочет перевести номер телефона на новую. Может быть, сотрудник сразу перенесет номер, а может, и нет — все зависит от него.
Есть способ защититься от подделывания симки. Для этого нужно:
После этого можно использовать новую сим-карту для двухфакторной аутентификации. Но если у хакера будут подельники в компании, ничего не выйдет.
В компании «ВымпелКом» группа сотрудников связалась с неким человеком. Он предложил пробивать мобильные телефоны: переносить номера абонентов на другие сим-карты. Сотрудники согласились. За каждый номер получали по 2000 ₽. Суд доказал четыре случая.
Постановление Ленинского районного суда города Новосибирск от 16.01.2020 № 1-104/2020
✅ Приложение-аутентификатор. Чтобы защищаться с помощью мобильного приложения, нужно скачать его и связать с соцсетью. Тогда если соцсеть зафиксирует попытку доступа с подозрительного устройства или браузера, она потребует ввести одноразовый пароль из приложения Google Authenticator. Это надежнее СМС-кода: для входа в приложение хакеру нужно раздобыть доступ к смартфону.
Дальше расскажем, как включить двухфакторную аутентификацию во Вконтакте и Телеграме. Если что-то из этого не ведете, просто пропустите раздел.
Процесс такой:
Теперь покажем, как все сделать в интерфейсе Вконтакте. Вот как добраться до вкладки «Безопасность» с кнопкой «Подтверждение входа»:
Откроется экран с описанием двухфакторной аутентификации и подтверждения входа. Кликните на «Продолжить». Затем нужно ввести пароль или пароль с одноразовым кодом из СМС — зависит от того, как у вас все было настроено.
После этого вам предложат связать Google Authenticator с ВК: через ключ или QR-код. Если ваш смартфон умеет считывать QR-код, откройте Google Authenticator, нажмите на иконку плюса и выберите «Сканирование QR-кода». Если так не получится, выберите в Google Authenticator «Ввести ключ настройки» и введите тот, что на экране.
В конце выпадет оповещение о том, что настройка завершена. Кликните на «Завершить». После этого вы автоматически выйдете из аккаунта ВК. Для повторного входа нужно скопировать код из приложении Google Authenticator и ввести его после логина и пароля.
Когда завершите настройку, сохраните резервные коды. Так называют числа, которые заменяют вторую аутентификацию. По ним вы восстановите доступ в аккаунт, если потеряете телефон. Они находятся на вкладке «Безопасность». Кликните на «Показать список», чтобы увидеть их. Советуем сохранить их в менеджере паролей.
Телеграм по-умолчанию запрашивает СМС-код при входе с незнакомого браузера или устройства. Заменить этот способ на Google Authenticator — нельзя. Но можно добавить к нему многоразовый пароль. Тогда получится, что хакеру сначала нужно узнать и ввести ваш логин, потом номер телефона, потом СМС-код и в конце — многоразовый пароль.
Чтобы подключить многоразовый пароль, перейдите в «Настройки» → «Конфиденциальность» → «Двухэтапная аутентификация».
Дальше нужно создать пароль. Рекомендуем сгенерировать случайный в менеджере паролей и сохранить его там. Когда введете его, Телеграм предложит ввести подсказку на случай, если вы забыли пароль. Можете пропустить этот этап.
Дальше приложение попросит привязать почту к аккаунту. Через нее будете восстанавливать доступ, если потеряете пароль.
Останется подтвердить почту — зайти в нее и кликнуть по ссылке из письма.
Есть еще четыре способа защитить аккаунт. Можете использовать любые из них или все сразу — так надежнее.
Проверять входы. Может быть такое, что аккаунт уже взломали, но еще ничего не предприняли. Чтобы проверить это и вовремя закрыть доступ мошенникам, заглядывайте в историю входов. Проверять вход можно и в Телеграме и в ВК.
Для проверки входов в ВК нужно перейти на вкладку «Безопасность». Там есть два раздела: «Последняя активность» и «Привязанные устройства».
Для проверки входов в Телеграме нужно перейти на вкладку «Конфиденциальность» → «Посмотреть все сеансы».
На что обращать внимание, когда проверяете входы:
Проверять входы нужно в двух случаях:
Даже если ничего не произошло, советуем проверять входы раз в три месяца для профилактики.
Смотреть на город и приблизительный адрес бессмысленно, если вы пользуетесь VPN. В этом случае Вконтакте не определит город, в котором вы находитесь. Но выход есть: можно сверять даты и устройства — их VPN не меняет.
Завести отдельную почту для соцсети. Скорее всего, адрес вашей почты указан в описании профиля соцсети, чтобы клиенты, новые партнеры и инвесторы могли с вами связаться. От того, что он опубликован, увеличивается риск, что аккаунт взломают: хакеру не нужно искать почту, надо только подобрать пароль. Заведите отдельную почту для соцсети и не показывайте ее нигде и никому. Тогда шанс, что ее взломают, ниже.
Отдельную почту удобно использовать и для того, чтобы следить за письмами от администрации: о подозрительных входах, восстановлении или сбросе пароля. В общем потоке рабочих писем они могут потеряться.
Скрыть сетевой статус. Вы можете сделать так, чтобы никто не видел, когда вы были в сети в последний раз. Тогда хакер не узнает, когда вы вышли из сети, чтобы взломать аккаунт. В ВК сетевой статус нельзя отключить, а вот в Телеграме можно. Для этого перейдите в «Конфиденциальность» → «Последняя активность». Дальше можно выбрать, кто будет видеть ваш сетевой статус: ваши контакты или вообще никто.
Использовать VPN-сервис в кафе. В публичных заведениях есть бесплатный Wi-Fi. Если к нему подключиться, шифровать ваш трафик не будут. Любой, кто подключится к этой сети, может увидеть, какие сайты вы посещаете и какие данные на них вводите. Если в кафе войти в соцсеть — пароль с логином могут перехватить. Если часто работаете в кофейнях, подключите VPN-сервис. Он скроет ваш трафик от тех, кто подключился к той же сети.
Мы не советуем пользоваться бесплатными VPN-сервисами. Они могут красть ваши данные и продавать их на теневых форумах. Купите подписку на VPN, который прошел независимый аудит от известной компании вроде PricewaterhouseCoopers или Ernst & Young. Обычно это указано на сайте.
Получайте первыми приглашения на вебинары, анонсы курсов и подборки статей
Подписываясь на дайджест, вы соглашаетесь с политикой конфиденциальности