Как мошенники обретают доступ к аккаунтам пользователей
Во-первых, следует ответить на вопрос, зачем мошенникам нужен доступ к аккаунту пользователя. Аккаунт представляет собой электронную учетную запись, позволяющую системе идентифицировать данного пользователя.
Если взять в качестве примера аккаунт на Яндексе или Майл ру, то учетная запись здесь состоит из адреса электронной почты и пароля к ней.
На некоторых сайтах в аккаунте, кроме e-mail и пароля, может присутствовать логин – то имя, которое придумает себе пользователь для входа на сайт.
Любой посетитель после регистрации (то есть, авторизации) на каком-либо сайте получает доступ к своему аккаунту.
Если к аккаунту пользователя получает доступ мошенник, он обретает все те же возможности. Как правило, интерес мошенников вызывают те ресурсы интернета, где вращаются деньги. Причем, закон прост: чем больше денег, тем выше интерес мошенника. Хотя, если честно, то они не брезгуют и копеечными счетами, делая ставку на количество взломанных аккаунтов.
Как эти «темные личности» получают доступ к аккаунтам пользователей?
Оказывается, зачастую сам пользователь принимает в этом непосредственное участие.
Начинается все с того, что на его электронный адрес приходит письмо с требованием срочной авторизации (то есть, войти на сайт под своим логином и паролем). Но для того чтобы авторизоваться, необходимо пройти на сайт при помощи приведенной в письме ссылки. Объяснение может быть самым банальным, например, в системе произошел сбой, или все аккаунты были заблокированы из-за атаки хакеров. Естественно, отправителем данного электронного сообщения будет администрация вашего любимого сервиса. Но это на самом деле совсем не так, письмо отправлено мошенниками, единственная цель которых заключается в том, чтобы узнать имя и пароль от вашего аккаунта.
Если Вы переходите по ссылке, то попадаете на фишинговый, то есть, поддельный, сайт, который находится полностью под контролем мошенников. Отличить поддельный сайт от настоящего бывает не так-то просто. Вам останется только авторизоваться здесь, чтобы вся конфиденциальная информация для доступа к вашему аккаунту попала прямо в лапы мошенников.
Для каких целей преступники будут использовать Ваш аккаунт пока неизвестно, но если это счет в какой-либо платежной системе, можете забыть о том, что у Вас там когда-то были деньги. Еще повезет, если мошенники не наберут кредитов на ваше имя, выплачивать которые придется лично Вам. Доказать свою правоту Вы вряд ли сможете, ведь преступники будут заходить на сайт под вашим именем и с вашими паролями.
Что же представляет собой фишинговый сайт и как он создается?
Фишинговый сайт должен создавать иллюзию настоящего, чтобы ни у кого не могло возникнуть никаких сомнений в подлинности.
Технически это выполняется очень легко, страница с авторизацией (там, где вводится логин, e-mail и пароль) копируется с настоящего ресурса в формате HTML и вставляется в созданный на одном из бесплатных хостингов сайт. Осталось только добавить скрипты, то есть команды, которые будут перенаправлять данные, необходимые для авторизации, на сайт преступников. Ну а для того, чтобы особых подозрений у пользователей не возникало, на этой же странице размещаются ссылки для перехода на настоящий сайт.
Кстати, не только платежные системы интересуют злоумышленников, но и другие ресурсы, например, почтовые ящики. Чужой почтовый ящик можно использовать для рассылок со спамом в Интернете, которые являются хоть и разновидностью теневого бизнеса, зато приносят немалый доход.
Как уберечь доступ к аккаунту от мошенников?
Необходимо соблюдать ряд простых правил.
Со временем компьютерные технологии станут более безопасными, потому мошенникам все сложнее будет получить доступ к чьим-то аккаунтам. А пока «на бога надейся, но и сам не плошай», внимательность – лучшая защита, будьте бдительны!
P.S. По интернет-грамотности можно еще прочитать:
Тест Безопасность в Интернет
?Кому можно сообщать адрес электронного почтового ящика?
Адрес электронного почтового ящика не относится к секретным данным, его можно сообщать всем, с кем нужно переписываться
?Какова роль паролей для доступа к персональным страницам веб-сайтов в системе интернет-безопасности?
пароли играют важнейшую роль, так как, если злоумышленник узнает пароль и имя пользователя, он сможет подключиться к персональной странице этого пользователя
?Ниже приведено несколько вариантов паролей. Какой из представленных паролей можно считать самым надежным?
?Если вы передаете кому-либо пароль, как надежнее всего его передать?
надежнее всего заранее договориться о пароле, не используя электронные средства связи
?Кому можно сообщать пароль для доступа к учетной записи в социальной сети?
?Как следует поступить, если вы можете войти в свою учетную запись в социальной сети, но подозреваете, что кто-то узнал пароль к ней?
нужно немедленно сменить пароль к учетной записи
?Если пользователь А, при работе в социальной сети Одноклассники, просмотрел страницу пользователя Б, как пользователь Б может об этом узнать?
он может узнать об этом, просмотрев раздел Гости на своей странице
?Как правильно завершать сеанс работы с сайтом, на котором вы авторизовались с помощью логина и пароля?
нужно выполнять процедуру выхода из учетной записи
?Как узнать, какие страницы были посещены с помощью браузера в предыдущих сеансах работы?
просмотреть журнал посещений
?В каком режиме работы Internet Explorer по умолчанию сохраняет историю посещений страниц и другие подобные данные?
в обычном режиме, в котором он работает после запуска
?В чем опасность сохранения браузером истории посещений страниц на чужих компьютерах?
тот, кто пользуется компьютером, может узнать, какие страницы посещали другие пользователи
?Как следует поступить, если у вас появилось подозрение, что кто-то узнал конфиденциальные сведения, необходимые для доступа к вашему счету в электронной платежной системе?
нужно немедленно войти на сайт платежной системы и поменять пароль. Если сделать этого не удается, нужно сообщить о происшествии администрации системы
?Как следует поступить, если у вас появилось подозрение, что кто-то узнал конфиденциальные сведения о вашей банковской карте?
нужно немедленно позвонить в банк и попросить заблокировать карту
?У вас имеется карточный счет, на котором хранится 10 000 рублей. Вы, используя систему интернет-банкинга, предоставляемую вашим банком, открываете виртуальную предоплаченную карту на 2000 рублей для покупок в интернет-магазинах. Если злоумышленникам удастся украсть данные виртуальной карты после того, как вы потратили с нее 1500 рублей на какие-либо покупки и получили заказ, какой суммой вы рискуете?
?Зачем при организации расчетов в Интернете с использованием электронных платежных систем используют одноразовые пароли?
для повышения безопасности расчетов
?Какова роль антивируса в системе интернет-безопасности компьютера?
он обнаруживает и обезвреживает опасные программы, которые попадают в компьютер из Интернета
?Какова основная причина необходимости регулярного обновления защитного программного обеспечения?
причина заключается в том, что постоянно появляются новые вредоносные программы, для успешной борьбы с ними защитное ПО нужно поддерживать в актуальном состоянии
?Какова роль межсетевого экрана в системе интернет-безопасности компьютера?
он предотвращает незаконный доступ к компьютеру при работе в Интернете
?Если на компьютере, на котором установлен программный комплекс ESET NOD32 Smart Security, нужно временно отключить защиту от вирусов и шпионских программ, как нужно поступить?
нужно воспользоваться командой Временно отключить защиту, доступной из меню значка программы в панели
?Какую защитную процедуру нужно периодически выполнять на компьютере, на котором установлен и постоянно работает комплекс ESET NOD32 Smart Security?
сканирование системы на наличие информационных угроз
?Как, работая в ESET NOD32 Smart Security, вручную запустить проверку системы на наличие вредоносных программ?
для этого нужно воспользоваться соответствующей командой в разделе «Сканирование ПК» главного окна программы
?Если на компьютере, на котором установлен программный комплекс ESET NOD32 Smart Security, нужно немедленно приостановить обмен данными с Интернетом, как нужно поступить?
нужно воспользоваться командой Блокировать сеть, доступной из меню значка программы в панели задач
?Как испытать ESET NOD32 Smart Security перед принятием решения о покупке?
для этого нужно воспользоваться пробной версией программы
?Если на компьютере установлена постоянно работающая защитная программа надежного разработчика, которая регулярно обновляется, что можно сказать об уровне безопасности такого компьютера?
такой компьютер защищен от большинства угроз, но есть вероятность, что защитное приложение не сможет определить некоторые из вредоносных программ
?Какая из нижеперечисленных причин с наибольшей долей вероятности может привести к выходу аппаратных компонентов компьютера из строя?перегрев вследствие недостаточной вентиляции
Безопасность бизнеса в соцсетях: как предупредить «угон» и блокировку аккаунта
Исчерпывающая инструкция о том, как сохранить свои сообщества и рекламные кабинеты, избежать мошенников и других неприятных ситуаций.
Компания очень уязвима, когда работает с фрилансерами и подрядчиками, ведущими SMM и таргетированную рекламу бренда. Недобросовестный исполнитель может исчезнуть и забрать с собой сообщества: поменять логины и пароли, удалить администраторов — представителей бренда. Часто так делают и обиженные сотрудники, когда их увольняют.
Потерять доступ к сообществу бренда — значит начать все сначала: придётся потратить ресурсы на привлечение подписчиков с нуля. Если компания ведёт рекламу в соцсетях, её тоже придется остановить на какое-то время — пустым сообществам люди не доверяют.
Разбираемся, как компания может обезопасить свои соцсети, чтобы не потерять деньги, время и репутацию. Сначала — о том, как предупредить «угон» аккаунта недобросовестными людьми. Затем — как избежать блокировки от самой соцсети.
Редактор, хозяйка интернет-магазина кофе. Пишет о SMM, электронной коммерции и блогосфере. Помогает предпринимателям разобраться с маркетингом.
Как настроить доступы к бизнес-страницам, чтобы их никто не «угнал»
Чтобы потери доступа не произошло, проверьте настройки бизнес-страниц. В каждой соцсети есть свои особенности, но общие правила для всех сообществ таковы:
1. У всех, кто имеет доступ к сообществу, должна быть включена двухфакторная авторизация (подтверждение входа по смс), чтобы исключить возможность «угона» через взлом аккаунта администратора.
2. Профиль владельца сообщества должен соблюдать правила соцсети: если он будет удалён за нарушение, сообщество останется без главного администратора (а в «Одноклассниках» и во «ВКонтакте» могут удалить группу вместе с аккаунтом владельца).
3. Никогда не давайте доступ администратора сотрудникам и подрядчикам, которых вы плохо знаете, — начните с доступа модератора или редактора.
4. Разместите ссылки на сообщества на сайте компании — это одно из подтверждений того, что они принадлежат бренду.
5. Совет от «Одноклассников»: заключите соглашение об отчуждении прав на сообщество с сотрудниками и подрядчиками. Так ваша страница будет защищена юридически, и справедливость можно будет восстановить в суде.
6. Список руководителей сообщества нужно своевременно обновлять — удалять уволенных сотрудников, фрилансеров и представителей агентств, с которыми компания больше не работает. Кстати, это универсальный совет для всех приложений и сервисов компании, таких как Яндекс.Метрика или Google Analytics, панель администрирования сайта, сервисы отложенного постинга и так далее.
«ВКонтакте» и «Одноклассники»
Главный в сообществе VK — владелец, он может удалить публичную страницу или группу. Удалить его из сообщества и лишить полномочий нельзя. Владелец может передать свой статус другому пользователю: в случае взлома страницы владельца можно будет отменить передачу прав в течение 14 дней.
В «Одноклассниках» похожая система ролей, только создатель сообщества имеет статус администратора. От супермодератора он отличается только возможностью удалить группу.
Уровни полномочий руководителей сообщества во « ВКонтакте» и в « Одноклассниках»
Часто сообщество для компании создаёт сотрудник или представитель digital-агентства, он же и становится владельцем/администратором страницы. Если он не передаст представителю бренда свои права после прекращения сотрудничества, безопасность сообщества будет под угрозой. Этого можно избежать, если сообщество будет создано от имени личной страницы собственника компании или служебного профиля, доступ к которому останется у бренда.
Facebook и Instagram
«Владельцем» страницы бренда в Facebook может быть только аккаунт в Business Manager — специальном инструменте для управления работой компании. В этом аккаунте можно добавлять сотрудников и назначать партнёров (фрилансеров и подрядчиков), открывая им доступ к нужным возможностям и страницам.
Как проверить, в безопасности ли страница бренда в Facebook
1. Посмотрите в настройках страницы компании, указан ли Business Manager как владелец в разделе «Роли».
2. Если владельца нет, то страница не привязана к «Бизнес-менеджеру». Создайте его, указав свою рабочую электронную почту.
3. Если владелец указан, у вас есть доступ к «Бизнес-менеджеру» и попасть в него можно на сайте business.facebook.com.
4. В разделе «Пользователи» Business Manager проверьте, чтобы права администратора были только у проверенных пользователей, а права сотрудника — только у тех, кто работает в компании.
С этими настройками вы не потеряете доступ к странице компании в Facebook, но, к сожалению, профиль в Instagram так не защитить.
В Instagram нет ролей, а значит, каждый, у кого есть доступ к аккаунту компании, может его «угнать»: поменять логин и пароль, даже если включена двухфакторная авторизация, или перевести аккаунт в личный, а затем привязать к другому «Бизнес-менеджеру». Если такое произойдёт, компании придётся подтверждать права на аккаунт в техподдержке — это долгий процесс, который не гарантирует восстановления доступа.
Чтобы не давать логин и пароль аккаунта сотрудникам и подрядчикам, можно использовать сервис отложенного постинга. К примеру, Amplifr и «Паразайт» умеют планировать публикации как в ленту, так и в сторис.
Правила безопасности для профиля в Instagram
Что делать, если вы потеряли доступ к сообществу
1. Сообщите об этом в поддержку соцсети:
2. Предоставьте поддержке необходимые документы для подтверждения ваших прав на сообщество. В «Одноклассниках» и во «ВКонтакте» это могут быть договоры с SMM-агентством или фрилансером, записи в трудовых книжках сотрудников. В Facebook и Instagram — нотариально заверенное заявление на английском языке с известной вам информацией о сообществе:
3. Запастись терпением и ждать разрешения ситуации.
Как обеспечить безопасность рекламных кабинетов, чтобы не было блокировок или «угона»
Вместе с доступом в рекламный аккаунт компания теряет время и деньги на его восстановление или настройку нового. Не всегда эти ресурсы есть: если нужно срочно запустить рекламу, компания несёт убытки.
Самое ценное, что может потерять бренд с рекламным кабинетом, — накопленные аудитории ретаргетинга из посетителей сайта или контактных данных клиента. Злоумышленник, захвативший доступ к кабинету компании, может использовать эти аудитории в своих целях, а сама компания лишится возможности возвращать на сайт или в сообщество заинтересованных пользователей.
«ВКонтакте» и «Одноклассники»
Если рекламный кабинет в VK/OK зарегистрирован на личную страницу сотрудника, передать его компании после увольнения будет невозможно. Проверить тип кабинета во «ВКонтакте» можно в настройках:
В ОК вход в кабинет должен быть по логину и паролю, к нему также должна быть привязана электронная почта. Проверить это можно по наличию возможности сменить пароль к аккаунту на платформе my.com: если она есть в разделе «Безопасность», значит всё в порядке.
Убедитесь только, что используете почту на корпоративном домене и она подтверждена, — так в случае чрезвычайного происшествия вы сможете восстановить доступ к кабинету.
Facebook и Instagram
Рекламный аккаунт в Facebook/Instagram должен быть привязан к Business Manager, это можно проверить в настройках компании:
Помимо этого, есть целый ряд правил, которые нужно соблюдать, пользуясь рекламным аккаунтом в Facebook:
1. Не привязывайте к аккаунту виртуальные карты. Если для вас это принципиальный вопрос, настройте оплату рекламы через профиль в PayPal — к нему можно привязать виртуальную карту.
2. Не заходите в рекламный кабинет одновременно с коллегами, если находитесь с ними в разных странах, — Facebook воспримет это как подозрительную активность.
3. Не заходите в рекламный кабинет, если приехали в отпуск в Крым (по понятным причинам).
4. Не рекламируйте подозрительные сайты — размещённые на бесплатных хостингах, со всплывающими окнами, редиректами.
5. Удаляйте отклонённые модерацией объявления из рекламного аккаунта и следите за его состоянием в разделе «Качество аккаунта»:
6. Не добавляйте в свой аккаунт других людей без особой надобности: ваш кабинет может пострадать от их «кармы» (нарушения ими политики Facebook), и наоборот.
Как защитить рекламный кабинет от блокировки или «угона»
1. Соблюдайте правила рекламной деятельности на платформах (есть запрет на рекламу товаров и услуг, противоречащих законодательству страны и внутренней рекламной политике каждой соцсети):
2. Убедитесь, что кабинет принадлежит компании, а не физическому лицу, а доступ администратора к нему имеют только надёжные сотрудники и партнёры.
3. Проверьте, чтобы личные страницы администраторов и редакторов сообщества не нарушали правила социальной сети и были защищены от взлома двухфакторной авторизацией.
Если вы обнаружили, что у вашей страницы в Facebook нет «Бизнес-менеджера», а в VK/OK рекламный кабинет оформлен на сотрудника:
1. Создайте для компании аккаунт в Business Manager, привяжите к нему страницы в Facebook, Instagram и рекламный кабинет.
2. Перенесите из действующего кабинета аудитории ретаргетинга:
3. Удалите с сайта пиксель ретаргетинга из старого рекламного кабинета и установите новый пиксель, созданный в новом кабинете. Собирать аудиторию придётся заново, но доступ к ней будет только у компании.
Что делать, если ваш рекламный кабинет заблокировали
В «Одноклассниках» и «ВКонтакте» заблокировать рекламный аккаунт можно только по вашей инициативе, если вам он больше не нужен. Если вы нарушите правила размещения рекламы, она просто не пройдёт модерацию и вам объяснят причины.
Facebook же может заблокировать весь кабинет, и, к сожалению, не всегда его решения справедливы. Чат с поддержкой в этом случае не поможет. Если вы считаете блокировку ошибкой (или хотите попробовать отстоять аккаунт несмотря на нарушение):
1. Напишите в поддержку из уведомления о блокировке:
2. В обращении опишите ситуацию, приведите доводы о том, почему вас заблокировали по ошибке, или признайтесь, что по неопытности нарушили правила (иногда это работает).
3. Поддержка ответит на почту, указанную в обращении, а также в раздел «Входящие сообщения от службы поддержки»; там же можно следить за статусом вашей заявки ( «Открыто»/«Закрыто» ) и общаться со специалистом, который с вами будет работать.
Если решение Facebook не подлежит обжалованию, поддержка об этом сообщит
Как публиковать контент, чтобы не бояться его удаления или блокировки сообщества
Бренды должны учитывать в своём контент-плане правила площадок, на которых работают. В первую очередь они ориентируются на законодательство, которое запрещает или накладывает ограничения на публикации, содержащие:
Кроме юридических требований, к контенту есть требования самих платформ:
Заботясь о комфорте пользователей, соцсети запрещают размещать контент, порочащий честь и достоинство людей и компаний, призывающий к насилию и жестокости; бранные слова и выражения, иллюстрации низкого качества; эстетически неприемлемые, пугающие и откровенные изображения.
За выполнением правил следят на трёх уровнях:
По наблюдениям модераторов и жалобам пользователей социальные сети принимают решение о санкциях:
Если вы планируете продвигать посты таргетированной рекламой, нужно учитывать и правила рекламной деятельности соцсетей:
Что делать, если сообщество компании заблокировали за контент
Чек-лист: обеспечиваем безопасность бизнеса в соцсетях
Сообщества и бизнес-аккаунты бренда в безопасности, если:
Хотите лучше разбираться в SMM и таргетированной рекламе, чтобы эффективно продвигать соцсети самому или контролировать подрядчиков, — приходите учиться на курс «Профессия SMM-маркетолог».
