Актуальное

Школа Бизнеса для начинающих предпринимателей

Школа Бизнеса для начинающих предпринимателей

Учиться бесплатно →

Будьте в курсе событий бизнеса

Получайте первыми приглашения на вебинары, анонсы курсов и подборки статей, которые помогут сделать бизнес сильнее

Подписываясь на рассылку, вы соглашаетесь с политикой конфиденциальности
Безопасность бизнеса Редактор: Олег Денисов

Что будет, если ваш аккаунт в соцсетях взломают мошенники

Каждые 11 секунд в мире происходит атака хакеров, в том числе и на аккаунты в соцсетях. Рассказываем, чем это опасно и как защитить свой аккаунт от взлома

Юлия Ряховская

Юлия Ряховская

Аналитик по безопасности в Тинькофф

Для некоторых компаний соцсети — один из главных каналов продаж: в директ сыпятся заявки, а менеджеры обрабатывают их и совершают сделки. Хакеры могут это заметить и взломать такой аккаунт, чтобы получить к нему доступ.

Мотивация для взлома может быть разной:

  • конкурент захотел вывести предпринимателя из игры на время сезона продажи и нанял для этого хакера;
  • хакер крадет аккаунт в обмен на выкуп;
  • хакер хочет продать аккаунт на теневом форуме.

На теневом рынке продают раскрученные аккаунты с коротким и звучным названием — например Bitcoin или Love. Их можно использовать для другого бизнеса.

Каждые 11 секунд в мире происходит атака хакеров. Так говорится в отчете Cybersecurity Ventures за 2019 год. Кто-то взламывает аккаунт в соцсетях, кто-то — сервер компании конкурента. В этой статье расскажем, чем опасен взлом аккаунта и как от этого защититься.

Отчет о киберпреступности

Какие соцсети чаще всего взламывают

Есть данные о том, какие соцсети и мессенджеры взламывают в России чаще всего и за какую сумму. Их собрала компания по стратегическому управлению цифровыми рисками BI.ZONE. Для этого они посмотрели объявления взломщиков в даркнете с мая 2020 года по август 2021 года.

Среди мессенджеров:

  1. Телеграм: 30 000—170 000 ₽.
  2. Вотсап: 20 000—130 000 ₽.

Среди соцсетей на первом месте Вконтакте. Стоимость: 700—12 000 ₽.

Взлом почтового ящика — тоже популярная услуга. Стоимость: 3000—110 000 ₽.

Исследование BI.ZONE

Что будет, если ваш аккаунт взломают

Мошенник может сделать все что угодно:

  • украсть информацию — базу клиентов, номера телефонов — чтобы продать в даркнете или вымогать деньги за молчание;
  • одобрять расизм или оскорблять президента от имени взломанного аккаунта, чтобы начались разбирательства из-за нарушения закона;
  • узнать пароль, чтобы получить доступ к другим аккаунтам, если используете одинаковый пароль;
  • опубликовать фото или видео с запрещенным контентом, чтобы испортить репутацию бизнеса или добиться блокировки аккаунта;
  • собирать деньги от имени взломанного аккаунта у подписчиков: например, под видом продажи курса.

Если мошенники потребуют у подписчиков деньги, придется извиняться перед всеми и возвращать их, но уже из своего кармана.

Вот несколько историй похищения аккаунта.

В 2021 году взломали аккаунт психолога Альбины Сиразиевы. У нее было 500 подписчиков. Через соцсеть она записывала клиентов на консультации, публиковала отзывы клиентов и привлекала новых. Мошенники захватили аккаунт и попросили подписчиков от имени Альбины перевести деньги. Альбина добилась блокировки аккаунта и завела новый.
В 2021 году взломали группу Яндекс Go во Вконтакте. Хакеры получили доступ к рассылке группы. Они предложили подписчикам ввести банковские данные, чтобы поучаствовать в конкурсе с призом 3000 долларов. Некоторые подписчики ввели свои данные и лишились денег на своих счетах.
В 2022 году взломали соцсети продавца Wildberries Анастасии Павловой — бренд LeoHome. Там она давала советы начинающим продавцам на маркетплейсах. Мошенники требовали 20 000 ₽ и просили деньги у подписчиков от имени Анастасии.

Чтобы аккаунт не взломали, нужно соблюдать разные правила безопасности. Дальше разберем их на примере ВК и Телеграма.

Как защитить аккаунт от взлома

Инструменты для защиты можно условно поделить на три уровня: необходимые, базовые и продвинутые.

Необходимая защита. Если ее не использовать, остальные уровни защиты бесполезны. Советуем следовать трем рекомендациям:

  • никому не передавать логин и пароль;
  • не переходить по подозрительным ссылкам;
  • регулярно обновлять приложение.

Базовая защита. Она пригодится, если беспокоитесь о безопасности аккаунта, но времени на его защиту мало. В базовую защиту входит два инструмента:

  • надежный пароль;
  • двухфакторная аутентификация.

Продвинутая защита. Любой аккаунт с надежным паролем и двухфакторной аутентификацией могут взломать. Инструменты продвинутой защиты уберегут вас от взлома, если базовая защита не выдержит. Обратите на нее внимание, если соцсети — ваш единственный источник дохода и вы готовы на все ради безопасности. Чтобы снизить риски, советуем:

  • проверять авторизации;
  • завести отдельную почту для соцсети;
  • скрыть сетевой статус;
  • использовать VPN-сервис в кафе.

Признаемся: это не все уровни защиты, которые только бывают. Эксперты по кибербезопасности могут вам рассказать и о других действенных методах, но о них в этот раз мы говорить не будем — не всем они нужны, и не все смогут их себе позволить.

Расскажем о перечисленных способах подробнее.

Необходимая защита

Мошенники могут получить доступ к аккаунту, если владелец передает логин с паролем кому-то другому — например сотруднику или другу. Чтобы избежать кражи, советуем:

  • не передавать логин и пароль сторонним приложениям;
  • не передавать логин и пароль сотрудникам;
  • не переходить по подозрительным ссылкам;
  • регулярно обновлять приложение.

Не передавать логин и пароль сторонним приложениям. Есть разные приложения, которые облегчают работу с аккаунтом: например, публикуют посты в определенное время. Обычно для работы с ними нужно ввести логин и пароль от аккаунта.

Отдавать логин и пароль сторонним приложениям — это риск. Хакеры могут взломать серверы этих приложений и забрать себе все данные: логины, пароль, адрес электронной почты, номер телефона.

В 2019 году база данных сервиса по продвижению Instasoft попала в свободный доступ. В ней были 237 логинов и текстовых паролей от аккаунтов соцсетей.
В 2021 году база данных сервиса по продвижению Tiktopers оказалась в свободном доступе. В ней было пять тысяч адресов электронной почты, телефонов и зашифрованных паролей от разных соцсетей.

Особенно настороженно относитесь к непроверенным приложениям. Если у приложения нет рейтинга, отзывов или его выпустили пару недель назад, это подозрительно. Может, его специально сделали мошенники, чтобы получить персональные данные и продать их в даркнете.

Может быть, к вашему аккаунту уже подключены сторонние приложения. В ВК вы можете проверить, у кого есть доступ, и закрыть его. Перейдите в «Настройки» → «Настройки приложений»:

Как запретить доступ сторонних приложений к данным во Вконтакте
Если кликнуть на крестик, выбранное приложение потеряет данные о вас

Не передавать логин и пароль сотрудникам. Передавать сотрудникам логин и пароль от аккаунта в соцсети — это риск. Они могут сделать с аккаунтом все что угодно. Вот два примера.

Маркетолог высмеял контент-план SMM-менеджера, а тот обиделся и уволился. Менеджер в отместку отдал логин с паролем конкурентам. Во время сезона продаж конкуренты вошли в аккаунт и удалили его.

Сотрудники могут использовать небезопасные сервисы и случайно потерять данные.

SMM-менеджер подключился к сервису по накрутке подписчиков. Чтобы сервис заработал, менеджер заплатил 3000 ₽ и ввел логин и пароль от аккаунта. Сервис накрутил полторы тысячи ботов и тайно продал логин с паролем в даркнете. А через полгода аккаунт взломали и попросили выкуп.

Бывает, что нужно делегировать соцсети своему сотруднику. В таком случае тоже не обязательно давать логин и пароль. SMM-менеджеру или большой команде можно выдать ограниченные права на использование аккаунта. Например, в ВК это делается через настройки сообщества: «Управление» → «Участники» → «Руководители» → «Добавить руководителя».

Не переходить по подозрительным ссылкам. Если незнакомый человек прислал вам сообщение с запросом персональных данных, это подозрительно. А если рядом с сообщением стоит ссылка, это очень подозрительно. Вот пример.

Хакер представляется сотрудником службы безопасности соцсети. Говорит, что готов верифицировать аккаунт. Просит для этого логин и пароль. Предприниматель радуется, что у него теперь будет синяя галочка, и отдает данные. Хакер входит в аккаунт, меняет адрес электронной почты и пароль, закрывает владельцу доступ к странице.

Хакеру не обязательно просить данные. Он может представиться блогером или контрагентом и дать ссылку на свой ресурс.

Хакер присылает письмо на почту или сообщение в соцсети. В нем он предлагает сотрудничество и оставляет ссылку на свой профиль. Ссылка ведет на фальшивую стартовую страницу во Вконтакте. Предприниматель думает, что его случайно выбросило из аккаунта, и вводит логин и пароль, а хакер их присваивает себе. Он входит в аккаунт, меняет адрес электронной почты и пароль, закрывает владельцу доступ к странице.

Регулярно обновлять приложение. В каждом приложении есть уязвимости. Если не вдаваться в подробности, уязвимость — это дыра, через которую хакер может получить доступ к приложению. В приложениях соцсетей тоже есть уязвимости. Приведем пример.

В 2020 году исследователи из компании Check Point нашли уязвимость в приложении соцсети на андроиде. Хакер отправляет жертве вредоносное изображение в формате JPEG по электронной почте или в Вотсапе. Когда получатель сохранит изображение и запустит соцсеть, хакер автоматически получает контроль над аккаунтом. Он может делать все что угодно: писать в чаты просьбы занять денег, публиковать непристойные фотографии, удалять рекламные посты.

Чтобы обезопасить пользователей, разработчики находят уязвимости, устраняют их и выкладывают новую версию приложения. Чем чаще вы будете обновлять приложение соцсети, тем меньше в нем будет уязвимостей и меньше риск, что хакер взломает аккаунт.

Надежный пароль

Это первый инструмент базовой защиты. Надежный пароль соответствует пяти критериям:

  • уникален для каждого сервиса: если предприниматель использует один пароль и для бизнес-аккаунта, и для личного, хакер получит доступ ко всем, если взломает хоть один;
  • представляет из себя набор случайных символов, а сами символы самые разные — «":jhhK0%№_(1»;
  • состоит как минимум из 12 символов;
  • в нем нет чего-то личного, что о вас знают друзья или соцсети: имя дочки, бренд любимых кроссовок, название бара, в котором вы встретили супруга или супругу;
  • он меняется каждые три месяца.

Надежный пароль может выглядеть так: «orfjk3*^$@frjk439_)82#e—». Запомнить его невозможно, но есть хорошая новость: эту работу за вас готовы сделать менеджеры паролей. Так называют специальные сервисы, которые хранят пароли и подставляют в нужную строку, когда вы куда-то входите. Они умеют генерировать случайные наборы символов, которые можно использовать в качестве паролей.

Если вы пользуетесь сервисами Google, у вас, скорее всего, уже есть менеджер паролей. Введите в поисковике «диспетчер паролей Google». Как только откроете, проверьте, какие пароли самые уязвимые, и поменяйте их на случайно сгенерированные — менеджер запомнит их и будет подставлять за вас.

Как проверить пароли в Google
У автора этой статьи — большие проблемы. 24 пароля повторяются, а 31 — слишком простые. Надо войти в 55 аккаунтов и поменять там пароли

Необязательно пользоваться именно менеджером паролей от Google. Например, если вы пользуйтесь устройствами Apple, можно пользоваться менеджером паролей Keychain — от этой же компании.

Менеджер паролей Apple

Если вы работаете на Windows, попробуйте KeePass — бесплатный менеджер паролей с открытым кодом.

Обзор на KeePass

«Рекомендую Kaspersky Password Manager, 1Password, KeePass, Keychain. Эти менеджеры проверены временем, коллегами и экспертами».

Юлия Ряховская

Юлия Ряховская

Аналитик по безопасности в Тинькофф

Если придумываете пароль самостоятельно, чтобы запомнить его, избегайте популярных комбинаций символов.

Какими паролями точно нельзя пользоваться

В 2021 году российский сервис разведки утечек данных даркнета DLBI провел исследование: какие пароли чаще всего используют в интернете. Для этого специалисты проанализировали базы данных на теневых форумах в открытом доступе. Среди них нашлось 5,36 млрд уникальных пар логин-пароль, принадлежавшим людям, а не ботам.

Вот пять самых популярных паролей:

  • qwerty123;
  • qwerty1;
  • 123456;
  • a11111;
  • 123456789.

А вот самые популярные кириллические пароли:

  • йцукен;
  • пароль;
  • любовь;
  • привет;
  • наташа.

Подробнее об исследовании

Двухфакторная аутентификация

Аутентификация — это подтверждение того, что это вы входите в сервис, а не кто-то другой. Однофакторная аутентификация — это подтверждение с помощью пароля и логина, а двухфакторная — это то же самое, но с еще одним подтверждением с помощью одноразового пароля.

Одноразовый пароль сложнее взломать и его нельзя забыть: его создает программа, вам не надо его запоминать. Он действует 30 секунд — за это время никто не успеет его определить перебором. Как только вы вошли в систему, он сразу деактивируется и злоумышленник не сможет им воспользоваться.

Есть много вариантов для второго подтверждения с помощью одноразового кода: через СМС-код, ссылку на почту, подтверждение на сайте, USB-токен, QR-код, NFC-карту или приложение-аутентификатор. Но не все из них надежные.

Дальше расскажем, как включить двухфакторную аутентификацию, на примере двух вариантов: СМС-кода и приложения-аутентификатора.

СМС-код. Чтобы защищаться с помощью СМС-кода, нужно войти в настройки безопасности аккаунта, нажать на двухфакторную аутентификацию и выбрать СМС. Тогда всякий раз, когда вы будете заходить в аккаунт, вам будет приходить код СМС для входа.

Мы не рекомендуем защищаться с помощью СМС-кода. Хакеры могут перевыпустить сим-карту: попросить у оператора перенести номер на другую симку и получить доступ к соцсетям и банковским приложениям.

Хакеру достаточно узнать номер жертвы, купить себе сим-карту и паспортные данные жертвы в даркнете — они нужны, чтобы подделать доверенность или паспорт. Ему останется связаться с сервисным центром, выдать себя за владельца номера и сказать, что потерял сим-карту и хочет перевести номер телефона на новую. Может быть, сотрудник сразу перенесет номер, а может, и нет — все зависит от него.

Есть способ защититься от подделывания симки. Для этого нужно:

  1. Купить сим-карту и использовать ее только для получения СМС-кодов.
  2. Ни одному человеку никогда не показывать номер этой сим-карты.
  3. Написать заявление на отказ от работы по доверенности, чтобы все работы с вашим номером велись только в вашем присутствии.

После этого можно использовать новую сим-карту для двухфакторной аутентификации. Но если у хакера будут подельники в компании, ничего не выйдет.

Хакеры могут получить доступ к сим-карте с помощью подельника в компании сотового оператора

В компании «ВымпелКом» группа сотрудников связалась с неким человеком. Он предложил пробивать мобильные телефоны: переносить номера абонентов на другие сим-карты. Сотрудники согласились. За каждый номер получали по 2000 ₽. Суд доказал четыре случая.

Постановление Ленинского районного суда города Новосибирск от 16.01.2020 № 1-104/2020

Приложение-аутентификатор. Чтобы защищаться с помощью мобильного приложения, нужно скачать его и связать с соцсетью. Тогда если соцсеть зафиксирует попытку доступа с подозрительного устройства или браузера, она потребует ввести одноразовый пароль из приложения Google Authenticator. Это надежнее СМС-кода: для входа в приложение хакеру нужно раздобыть доступ к смартфону.

Дальше расскажем, как включить двухфакторную аутентификацию во Вконтакте и Телеграме. Если что-то из этого не ведете, просто пропустите раздел.

Как включить двухфакторную аутентификацию в ВК

Процесс такой:

  1. Скачайте приложение Google Authenticator: App Store или Google Play.
  2. Перейдите на компьютере в ВК в «Настройки» → «Безопастность».
  3. Нажмите «Подтверждение входа».
  4. Свяжите Google Authenticator с ВК: через ключ или QR-код.

Теперь покажем, как все сделать в интерфейсе Вконтакте. Вот как добраться до вкладки «Безопасность» с кнопкой «Подтверждение входа»:

Как поставить двухфакторную аутентификацию в ВК
Кликните на «Подключить»

Откроется экран с описанием двухфакторной аутентификации и подтверждения входа. Кликните на «Продолжить». Затем нужно ввести пароль или пароль с одноразовым кодом из СМС — зависит от того, как у вас все было настроено.

Ввод кода или пароля в ВК для подтверждения действия
Введите пароль и код, если нужно

После этого вам предложат связать Google Authenticator с ВК: через ключ или QR-код. Если ваш смартфон умеет считывать QR-код, откройте Google Authenticator, нажмите на иконку плюса и выберите «Сканирование QR-кода». Если так не получится, выберите в Google Authenticator «Ввести ключ настройки» и введите тот, что на экране.

Как связать Google Authenticator с ВК
Это и есть окно, через которое можно связать Google Authenticator с ВК

В конце выпадет оповещение о том, что настройка завершена. Кликните на «Завершить». После этого вы автоматически выйдете из аккаунта ВК. Для повторного входа нужно скопировать код из приложении Google Authenticator и ввести его после логина и пароля.

Когда завершите настройку, сохраните резервные коды. Так называют числа, которые заменяют вторую аутентификацию. По ним вы восстановите доступ в аккаунт, если потеряете телефон. Они находятся на вкладке «Безопасность». Кликните на «Показать список», чтобы увидеть их. Советуем сохранить их в менеджере паролей.

Вконтакте: список резервных кодов
Так выглядит список резервных кодов

Как включить двухфакторную аутентификацию в Телеграме

Телеграм по-умолчанию запрашивает СМС-код при входе с незнакомого браузера или устройства. Заменить этот способ на Google Authenticator — нельзя. Но можно добавить к нему многоразовый пароль. Тогда получится, что хакеру сначала нужно узнать и ввести ваш логин, потом номер телефона, потом СМС-код и в конце — многоразовый пароль.

Чтобы подключить многоразовый пароль, перейдите в «Настройки» → «Конфиденциальность» → «Двухэтапная аутентификация».

Настройка двухэтапной аутентификации в Телеграме
Вам нужна именно двухэтапная аутентификация, а не код-пароль

Дальше нужно создать пароль. Рекомендуем сгенерировать случайный в менеджере паролей и сохранить его там. Когда введете его, Телеграм предложит ввести подсказку на случай, если вы забыли пароль. Можете пропустить этот этап.

Почему не стоит использовать подсказку для пароля
Если будете пользоваться подсказкой, это только поможет хакеру вас взломать

Дальше приложение попросит привязать почту к аккаунту. Через нее будете восстанавливать доступ, если потеряете пароль.

Как добавить почту в Телеграме
Введите почту, на нее придет письмо с кодом подтверждения. Когда введете его, почта привяжется

Останется подтвердить почту — зайти в нее и кликнуть по ссылке из письма.

Продвинутая защита

Есть еще четыре способа защитить аккаунт. Можете использовать любые из них или все сразу — так надежнее.

Проверять входы. Может быть такое, что аккаунт уже взломали, но еще ничего не предприняли. Чтобы проверить это и вовремя закрыть доступ мошенникам, заглядывайте в историю входов. Проверять вход можно и в Телеграме и в ВК.

Для проверки входов в ВК нужно перейти на вкладку «Безопасность». Там есть два раздела: «Последняя активность» и «Привязанные устройства».

Как проверить входы в ВК
Если кликнуть на «Показать историю активности», выйдет список со всеми последними входами в ваш аккаунт. Увидите что-то чужое — отключайте. Так же можно поступить с устройствами, которые вы не привязывали

Для проверки входов в Телеграме нужно перейти на вкладку «Конфиденциальность» → «Посмотреть все сеансы».

Как посмотреть устройства аккаунта в ВК
Перейдите в активные сеансы, чтобы проверить, какие устройства были в аккаунте

На что обращать внимание, когда проверяете входы:

  • город и приблизительный адрес: например, подозрительно, если вход отмечен в Санкт-Петербурге, а вы там вообще не бываете;
  • устройство: странно, если входили с Айфона, а он был в ремонте в это время;
  • дату захода: если вчера не заходили в аккаунт, а кто-то входил — это не порядок.

Проверять входы нужно в двух случаях:

  • если пользовались чужой техникой и не помните, выходили ли из своего аккаунта;
  • при подозрительных действиях в аккаунте: например, кто-то комментировал от вашего имени.

Даже если ничего не произошло, советуем проверять входы раз в три месяца для профилактики.

Смотреть на город и приблизительный адрес бессмысленно, если вы пользуетесь VPN. В этом случае Вконтакте не определит город, в котором вы находитесь. Но выход есть: можно сверять даты и устройства — их VPN не меняет.

Завести отдельную почту для соцсети. Скорее всего, адрес вашей почты указан в описании профиля соцсети, чтобы клиенты, новые партнеры и инвесторы могли с вами связаться. От того, что он опубликован, увеличивается риск, что аккаунт взломают: хакеру не нужно искать почту, надо только подобрать пароль. Заведите отдельную почту для соцсети и не показывайте ее нигде и никому. Тогда шанс, что ее взломают, ниже.

Отдельную почту удобно использовать и для того, чтобы следить за письмами от администрации: о подозрительных входах, восстановлении или сбросе пароля. В общем потоке рабочих писем они могут потеряться.

Скрыть сетевой статус. Вы можете сделать так, чтобы никто не видел, когда вы были в сети в последний раз. Тогда хакер не узнает, когда вы вышли из сети, чтобы взломать аккаунт. В ВК сетевой статус нельзя отключить, а вот в Телеграме можно. Для этого перейдите в «Конфиденциальность» → «Последняя активность». Дальше можно выбрать, кто будет видеть ваш сетевой статус: ваши контакты или вообще никто.

Как посмотреть устройства аккаунта в ВК
Если у вас много контактов и вы не доверяете кому-то из них, можно скрыть сетевой статус от всех

Использовать VPN-сервис в кафе. В публичных заведениях есть бесплатный Wi-Fi. Если к нему подключиться, шифровать ваш трафик не будут. Любой, кто подключится к этой сети, может увидеть, какие сайты вы посещаете и какие данные на них вводите. Если в кафе войти в соцсеть — пароль с логином могут перехватить. Если часто работаете в кофейнях, подключите VPN-сервис. Он скроет ваш трафик от тех, кто подключился к той же сети.

Выбрать VPN-сервис

Мы не советуем пользоваться бесплатными VPN-сервисами. Они могут красть ваши данные и продавать их на теневых форумах. Купите подписку на VPN, который прошел независимый аудит от известной компании вроде PricewaterhouseCoopers или Ernst & Young. Обычно это указано на сайте.

Бесплатно зарегистрируем ИП Предложение Тинькофф

Бесплатно зарегистрируем ИП

  • Без походов в налоговую и пошлин
  • Поможем выбрать коды ОКВЭД и систему налогообложения
  • Даем до 500 000 ₽ на сервисы партнеров
Подробнее

Сейчас читают

Будьте в курсе событий бизнеса

Получайте первыми приглашения на вебинары, анонсы курсов и подборки статей, которые помогут сделать бизнес сильнее

Подписываясь на рассылку, вы соглашаетесь с политикой конфиденциальности