22 июня 2021 г.
Эксперты «Информзащиты» рассказывают, как бороться с кражей аккаунта.
В 2020 году телефонные и онлайн-мошенники украли у российских граждан около 150 млрд рублей. Об этом свидетельствует исследование BrandMonitor на основе данных ВЦИОМ. В августе того же года специалисты из отдела киберзащиты британской исследовательской компании Comparitech обнаружили в открытом доступе базу данных из 235 млн аккаунтов Instagram, YouTube и TikTok. В ней были доступны логины, полные имена пользователей, контактная информация и изображения. Таким образом, каждому пользователю социальных сетей важно задуматься над собственной безопасностью. Только лишь по запросу «взлом Instagram» Google выдает около 3 млн результатов: встречаются как советы по защите самого аккаунта, так и способы его кражи.
«Попал в беду, займи несколько тысяч» — подобные сообщения может получить любой пользователь, просматривая социальные сети. Злоумышленники взламывают аккаунты для того, чтобы выпрашивать деньги от имени друзей или знакомых, похищать различные персональные данные или шантажировать жертву обнародованием личной переписки. Подобные действия попадают сразу под ряд статей УК РФ, однако данный факт не способствует снижению активности злоумышленников.
Далеко не все пользователи социальных сетей могут быстро обнаружить, что их страница оказалась в руках мошенников. Если ваш близкий друг публикует в ленте, например, информацию о сборе средств на что-либо, то вы, скорее всего, столкнулись с распространенным случаем кражи аккаунта. Ни в коем случае не переводите деньги. Принимая подобные посты или сообщения за чистую монету, вы финансово поддерживаете злоумышленников, а также способствуете укреплению их уверенности в своей безнаказанности. Необходимо срочно связаться с владельцем аккаунта (телефонный звонок, сообщение в мессенджере и т.д.) и предупредить его о нетипичной активности. Однако, общение в мессенджерах, тоже небезопасно. Для полной уверенности, что вы говорите со своим знакомым, задайте вопрос, ответ на который может знать только он. Такой перевод банки не возвращают, при этом мошенники используют карты, оформленные на подставных людей, деньги снимают в течение нескольких минут, а карту блокируют.
Зачастую пользователь осознает, что его взломали, когда не может зайти на свою страничку. Как правило, злоумышленники сначала взламывают аккаунты со слабыми паролями — их легко подобрать, используя популярные наборы символов или личную информацию из тех же соцсетей (имена детей, дата рождения, кличка собаки и т.д.). Если такой способ не удается, —взламывают почту и уже через нее меняют входные данные. Специалисты советуют привязывать данные аккаунта к телефону с возможностью восстановления через смс, а не только по электронной почте.
В любом случае важно не поддаваться панике и попытаться восстановить доступ. Действуйте оперативно, чтобы мошенники не успели отвязать электронную почту от вашей учетной записи и натворить дел посерьезней. Если восстановить аккаунт самостоятельно не получается, необходимо обратиться в техническую поддержку сервиса. Администрация поможет вернуть аккаунт законному владельцу или, в крайнем случае, заблокирует его, чтобы перекрыть доступ злоумышленнику к личной информации. При восстановлении доступа службы могут потребовать у пользователя прислать личное фото или фото паспорта, поэтому у реальных аккаунтов, с настоящим именем и фото, шансов вернуться к законному владельцу больше. Также необходимо предупредить как можно большее число друзей и знакомых о том, что вас взломали, и попросить ваших друзей также распространить эту информацию, так как злоумышленники «работают» не только среди вашего ближайшего окружения, но и среди друзей ваших друзей. Оповещение максимального количества людей снизит вероятность того, что они станут жертвами мошенников, которые будут от вашего имени рассылать сообщения с просьбой перевести деньги.
Потеря контроля над аккаунтами связана с двумя наиболее частыми причинами: использование простых паролей и социальная инженерия (фишинговые рассылки, поддельные сайты, телефонное мошенничество и прочее). Специалисты по кибербезопасности «Информзащиты» призывают соблюдать ряд мер, чтобы защитить свое виртуальное «Я».
1. Не используйте нелицензионное ПО
Скачанные, например, из торрентов или иных ресурсов «крякнутые» программы в комплекте с «лечением» могут содержать вирусы, которые нацелены на кражу данных с вашего компьютера. Довольно часто пароли могут перехватываться с помощью вредоносных программ. Очень важно использовать антивирус на любой операционной системе (будь то Windows, macOS и т.д.) и регулярно обновлять его базу для эффективной работы. Конечно, это не может гарантировать 100% защиту, но большинство угроз он точно не оставит без внимания.
2. Используйте антивирус
Запустите антивирус и проведите проверку на наличие вредоносных программ, используемых для кражи паролей. После проверки обязательно смените пароли на других ресурсах, привязав к наиболее ценным учетным записям номер мобильного телефона в качестве дополнительного средства защиты от взлома. При каждом входе на прикрепленный номер будет приходить одноразовый пароль.
3. Остерегайтесь фишинговых почтовых рассылок и поддельных сайтов
По данным специалистов компании «Информзащита», почти стопроцентный успех имеют атаки по методу социальной инженерии. Самой популярной техникой является фишинг. Этот способ направлен на получение конфиденциальной информации пользователей путем обмана и манипуляции. Злоумышленники могут подделывать сайты социальных сетей, организаций, банков, интернет-магазинов и т.д. Переходя по таким ссылкам, вы попадаете на ресурс, где вас под различным предлогом пытаются заставить ввести свой логин и пароль.
4. Откажитесь от простых паролей в пользу уникальных
Хакеры обычно взламывают не какой-то конкретный аккаунт, а тех пользователей, кто пренебрег защитой электронной почты, которая привязана к профилям социальных сетей, электронным кошелькам, AppStore и прочим сервисам. Доступ к почтовому ящику становится лакомым куском для киберпреступников. Чтобы защитить аккаунт, необходимо для начала отказаться от ненадежных паролей (слишком короткие; содержащие легко узнаваемую личную информацию; состоящие только из цифр, букв, одного слова, идущих подряд на клавиатуре символов, простого слова в другой раскладке). В зону риска попадают те, кто использует в качестве пароля свое имя или фамилию, имена родственников или домашних питомцев, дату рождения, номер машины. Кроме того, специалисты по кибербезопасности рекомендуют ознакомиться со списком самых распространенных паролей (qwerty, 123456, password и т.д.) и ни при каких обстоятельствах не пользоваться ими для авторизации. Самыми безопасными паролями являются бессмысленные сочетания длиной в 8 и более символов (QQlrfyTj, 6T7m~3fm, bhErZ}%J). Создать такие можно с помощью специальных генераторов паролей. Есть еще способ составить устойчивый, длинный и, при этом, легко-запоминающийся пароль — это написать, например, строку из вашего любимого стихотворения английской раскладкой («я_помню_чудное_мнгновение!» —- Z_gjvy_xelyjt_vyuyjdtybt!). Единственный нюанс —раскладки на телефоне и клавиатуре отличаются. И последнее: пароль должен быть уникальным, то есть не должен использоваться для авторизации на других сервисах. Используя один и тот же пароль для разных учетных записей, вы рискуете лишиться всего и сразу.
4. Привязывайте номер телефона к аккаунту и откажитесь от секретных вопросов
Привязка к номеру телефона — достаточно надежный способ вернуть себе почтовый ящик в случае взлома. Обязательно использовать привязку номера к почте, если она используется в качестве логина для ценных аккаунтов (AppStore, VK, Instagram, Facebook и прочее). Восстановление пароля с помощью ответов на секретные вопросы — устаревший метод. Подобную информацию злоумышленник может легко угадать. Гораздо надежнее восстанавливать пароль по SMS.
5. Включите двухфакторную аутентификацию
Данной функцией следует воспользоваться, если вы хотите дополнительно обезопасить вашу учетную запись. Помимо пароля надо будет вводить одноразовый код из SMS-сообщения. Даже если мошенник подберет ваш пароль, он не сможет авторизоваться в системе. Подключите двухфакторную аутентификацию не только к основному адресу электронной почты, но и к другим важным аккаунтам.
Источник: Пресс-служба компании «Информзащита»