Как защитить свой аккаунт от взлома

Как защитить свой аккаунт от взлома

Очень часто в комментариях на нашем сайте встречается вопрос «Как обезопасить свой аккаунт на том или ином сайте от взлома?». Например, довольно часто нас спрашивают «Как защитить ВК от взлома?». Простого ответа на эти вопросы, к сожалению, нет. Однако мы можем предложить нашим читателям инструкцию, внимательно изучив которую, они смогут избежать потери личных данных.

Общие принципы защиты от взлома аккаунтов

• Самое главный принцип: используйте максимально сложный пароль ;

• Меняйте пароли как можно чаще;

• Пароли всегда должны быть уникальными для разных сервисов и не повторяться с течением времени;

• Не используйте в качестве пароля свои персональные данные (ФИО, дата рождения) или логин;

• Не пренебрегайте функцией секретного вопроса. Ответ на него понадобится при потере доступа, если ваш аккаунт все же взломают;

• Не входите в Интернет-сервисы с чужих, особенно общедоступных компьютеров и устройств;

• Не используйте общественные точки доступа Wi-F i, а если это все же необходимо, то подключайтесь к ним через VPN ;

• Устанавливайте на компьютер только лицензионное программное обеспечение, позволяющее повысить безопасность серфинга в Интернете: антивирус с актуальными базами и файервол.

Как защитить аккаунты в Windows

С приходом нового поколения операционных систем Windows участились взломы персональных компьютеров. И это не удивительно: начиная с Windows 8 в систему можно войти с учетной записью Microsoft. Это довольно удобно, потому что в единой учётке сохраняется большая часть настроек пользователя, в том числе и документы. Таким образом, можно зайти на рабочий компьютер с использованием персонального логина и мгновенно получить свои «домашние» данные.

Но в простоте таится угроза: стоит злоумышленникам завладеть логином и паролем от учетной записи, как тут же они смогут воспользоваться вашими персональными документами. Как же обезопасить себя от этого? В Windows защитить аккаунты от взлома довольно просто – используйте локальную учетную запись. Да, это не так удобно, ведь рабочий стол и документы будут храниться только на одном устройстве, зато взломать Windows с помощью e-mail точно не получится.

Кстати, одним из самых главных правил безопасности является принцип неразмещения в свободном доступе почтового адреса, который является логином к какому-либо аккаунту.

Как защитить страницу в ВК от взлома

Главная российская социальная сеть помимо общих правил предлагает в официальной инструкции следующие нормы поведения, помогающие защитить ВКонтакте от взлома:

• Регистрировать учетную запись ВК рекомендуется только на новый почтовый ящик, который в дальнейшем не стоит использовать для других интернет-сервисов.

• Привяжите к аккаунту в социальной сети номер телефона и никому не сообщайте коды доступа из смс-сообщений.

• Не используйте расширения для браузеров или программы для компьютеров и смартфонов, которые предлагают расширить возможности ВК. В них могут содержаться вирусы и шпионские скрипты.

• ВКонтакте официально не рекомендует вступать в группы, которые предлагают что-либо бесплатно или по заниженной цене. Такие группы могут задействовать спам-переходы по расположенным в них ссылках, что приводит к краже паролей пользователей.

Как защитить аккаунт в Инстаграм

Рассмотрим специфические особенности защиты Инстаграма.

• Не рекомендуем пользоваться сайтами, которые позволяют работать с соц сетью через браузер. Такие сервисы помогают сохранять фотографии или автоматически комментировать и репостить новости. К услугам таких сайтов прибегают, когда хотят максимально быстро и не прилагая усилий раскрутить свой аккаунт. Да, это удобно, однако стоит ли доверять тому или иному сервису? Полученная от Вас информация вполне может быть использована в корыстных и мошеннических целях. В общем, советуем сто раз подумать, стоит ли отдавать учетные данные сторонним разработчикам.

• Сделайте свой профиль закрытым. Таким образом, Вы избавитесь от утечки информации.

• Не подписывайтесь на незнакомые аккаунты, особенно на пользователей, которые в подписи к профилю публикуют адреса неизвестных Вам сайтов. Вполне возможно, это ссылка-вирус.

Как защитить почту (защита Гугл аккаунта)

• Настройте и используйте в Гугл-почте двухфакторную аутентификацию (читайте статью в нашем блоге на эту тему);

• Не открывайте письма с подозрительной темой;

• Если в письмах от ваших друзей и коллег Вы видите подозрительные ссылки, не переходите по ним!

При соблюдении перечисленных выше правил Вы можете быть уверены, что ваши аккаунты полностью защищены от взлома.

Не утекай: 6 главных правил защиты аккаунта Instagram от взлома

Есть пословица – «у семи нянек дитя без глазу». Вот примерно то же с защитой данных в Instagram. В последнее время он чаще и чаще просит подтвердить аккаунт по SMS или электронной почте, даже если заходить с одного и того же устройства. Для инста-менеджеров, которые ведут клиентские проекты, это настоящий головняк – нужно каждый раз теребить владельцев аккаунтов просьбами назвать код. Временные блокировки, о которых уже была статья в блоге TexTerra, и овеянные мифами теневые баны – это головная боль многих SMM-щиков.

Казалось бы, при таком строгом подходе к безопасности аккаунтов «Инстаграм» должен быть защищен не хуже Форт-Нокса, но увы. На минувшей неделе «Известия», ссылаясь на данные IT-компании DeviceLock, написали о вопиющем с точки зрения информационной безопасности случае. На неком закрытом форуме продавалась база данных о пользователях Instagram из разных стран. Там было ни много, ни мало 20 миллионов профилей, что сопоставимо с населением Румынии или Шри-Ланки. Большинство аккаунтов в базе были «пустышками», в которых указана общедоступная информация – описание профиля, количество лайков и комментариев и т. п. Но примерно 0,1 % от базы, а это почти 20 тысяч аккаунтов, содержали и приватную информацию о владельцах – ФИО, номера телефонов, email-адреса.

Facebook не верит в утечку

В DeviceLock заявили, что источником утечки могла стать некая индийская маркетинговая компания (слово «некий» вообще часто фигурирует в этой таинственной истории), которая в мае этого года оставила свой сервер открытым, чем и воспользовались злоумышленники. Также DeviceLock отправила данные расследования в Facebook, Inc. Там отреагировали, но очень по-тихому. Ответ пресс-секретаря компании Стефани Отвэй приводят только российские СМИ и итальянский онлайн-журнал Sputnik.

Мы начали расследование, касающееся этой базы данных на прошлой неделе. На данном этапе мы считаем, что доступ к персональной информации не был получен. Способ скрапинга, который был использован для сбора данных, уже невозможен после изменений, которые мы внесли ранее в этом году.

Параллельно DeviceLock направил данные об утечке в Роскомнадзор, чтобы там проверили соблюдение права на приватность информации конкретно российских пользователей. В ведомстве сигнал приняли, но пока ничего серьезного не нашли. ТАСС приводит ответ пресс-службы РКН:

Роскомнадзор анализирует информацию, опубликованную в СМИ. В случае необходимости будут приняты необходимые меры. Жалоб от российских пользователей сети Instagram в связи с возможной утечкой их персональных данных на сегодняшний день не поступало.

Поскольку информации об инциденте мало и пруфов в виде хотя бы скринов с таинственного закрытого форума нет, у многих могут возникнуть резонные сомнения – а был ли мальчик? Эксперты DeviceLock могли ошибиться или, что греха таить, просто хайпануть на актуальной теме. Но проблема утечки данных из крупных компаний существует, что доказал относительно недавний случай с Google. В июне IT-гигант признал факт нарушения правил пользовательской безопасности в отношении голосовых команд, уже тогда, когда об инциденте написали в ряде европейских СМИ.

Вообще, Instagram – настоящая кладезь информации для охотников за персональными данными. Только недавно соцсеть отключила функцию «Подписки» (Following), которая показывала все действия друзей: что лайкали, репостили, куда подписывались. Проблема защиты данных важна для всех пользователей инсты: и для тех, кто просто постит фоточки, и для тех, кто продвигает бизнес. Личная информация не должна попасть в руки спамеров, сталкеров, мошенников всех мастей или просто сетевых хулиганов, которые «бомбят» аккаунты просто ради развлечения. Вот несколько советов по защите своего аккаунта Instagram, которые актуальны и для личных, и для бизнес-профилей.

Запретите доступ сторонним приложениям к вашему аккаунту

Мобильные приложения облегчают нашу жизнь, но они же могут стать каналами утечки данных. Ведь мало кто контролирует обновления установленных на свой смартфон программ – обновляется там что-то в фоновом режиме потихоньку, ну и пусть. Между тем, у многих приложений предусмотрена связь с профилем «Инстаграм» для быстрого перехода, заказа или скачивания. Лучше обрубить эту связь для приложений, которыми вы пользуетесь редко или вообще не пользуетесь.

«Настройки» → «Безопасность» → «Приложения и сайты». В этой вкладке отобразится список связанных с профилем приложений. Отключите все ненужное

Отвяжите аккаунты бывших от вашего бизнес-профиля

Под «бывшими» мы имеем в виду менеджеров соцсетей, с которыми вы уже не работаете. Совет из разряда «капитан очевидность», но на практике многие забывают это сделать. Например, у автора этой статьи есть доступы к 6 бизнес-страницам «ВКонтакте», с которыми он уже сто лет, как не работает.

Если менеджер работал только с Instagram под вашими учетными данными, достаточно будет просто поменять пароль. Если же у него есть доступ к инста-аккаунту через связанную страницу компании на Facebook, отмените его через вкладку «Роли на странице» (спрятана она хорошо, ничего не скажешь).

Включите двухфакторную идентификацию

Если вы часто заходите в Instagram с разных устройств, включите двухфакторную идентификацию. Помимо логина и пароля соцсеть запросит код. Он приходит на телефон или e-mail (в зависимости от того, что вы указывали при регистрации). Для тех, у кого часто бывают проблемы с мобильной сетью, Instagram предлагает альтернативу в виде сторонних приложений для идентификации. Скачиваете их на смартфон и горя не знаете.

«Настройки» → «Безопасность» → «Двухфакторная аутентификация»

Проверяйте, кто шлет вам электронные письма

Пользователям, которые регистрировались через почту, часто приходят письма от техподдержки Instagram – как правило, с целью сверки данных об авторизации. Этим пользуются веб-фишеры, которые маскируют письма со ссылками-ловушками под официальную корреспонденцию Instagram. Подлинность писем от техподдержки можно проверить через вкладку «Электронные письма». Это можно сделать, зайдя в Instagram из мобильного браузера, а не через приложение.

1. Выберите вкладку «Электронные письма от Instagram»

1. Все «левые» письма будут во вкладке «Прочее»

Периодически проверяйте авторизации

Instagram показывает географические данные по местам входа в аккаунт (в пределах населенного пункта, но и то хорошо). Поэтому не забывайте время от времени проверять вкладку «Авторизация». Это удобнее делать в десктопной версии. Если вы увидите в списке непонятные локации, срочно меняйте пароль – возможно, вашим аккаунтом пользуется кто-то еще. Информация неактуальна, если при авторизации вы пользуетесь VPN-сервисом.

Спрячьте свой сетевой статус

Недавний онлайн – красная тряпка для спамеров, которые готовы бомбить ваш директ 24 часа 7 дней в неделю. Хорошо, что в Instagram есть функция скрытия сетевого статуса. Отключите ее, если не хотите, чтобы подписчики и ваши контакты в Direct видели, когда вы были онлайн. Функция работает в обе стороны – при скрытом сетевом статусе вы не сможете следить за онлайном других пользователей.

«Настройки» → «Конфиденциальность» → «Сетевой статус»

Если же в один прекрасный день вы обнаружили, что ваш профиль заблокирован, не паникуйте – возможно, вас не взламывали, а Instagram просто перестраховывается. На всякий случай напомним, что у нас есть подробная инструкция по спасению «Инстаграма».

Кроме того, мы даже сняли видеоролик о причинах бана в Инстаграме и способах быстро вернуть свой аккаунт.

Ну а если вы хотите эсэмемить как профи, записывайтесь на новый поток курса «SMM-специалист» – самого ходового в нашем учебном центре. 2 месяца концентрированных знаний от крутых практиков обеспечены.

Как защитить аккаунты от взлома: гид по настройке двухфакторной авторизации

Даже не выдумывая пароль из 20 символов, вы эффективно обезопасите себя от хакеров — если, конечно, будете пользоваться двухфакторной защитой через SMS, приложение или USB-накопитель.

Попробуем угадать, как выглядит ваш пароль. 123ABC? Тот, кто защищает свои учетные записи подобным образом, распахивает дверь шпионам. Согласно данным TNS Infratest, лишь половина опрошенных раз в год меняет пароль к своему почтовому аккаунту. Ситуация усложняется тем, что, как выяснила компания PayPal, каждый четвертый вставляет в шифр собственную фамилию или никнейм.

Но даже с таким халатным подходом и примитивными данными вы все равно можете изолировать свои аккаунты от атак хакеров — с помощью двухфакторной аутентификации. Изначально внедренная в онлайн-банкинге, теперь эта защита доступна для входа в различные веб-службы, в том числе Google, Facebook и др. Наряду с вводом такой персональной информации, как имя пользователя и пароль, вы получаете одноразовый код каким-то дополнительным способом: по SMS, напрямую через приложение или же посредством специального USB-накопителя.

Защита аккаунта — это важно. Мы расскажем, как настроить отдельные опции и оптимизировать процесс, в первую очередь с точки зрения технической безопасности. Ведь только при правильной конфигурации новые методы защиты эффективно справляются с хакерскими атаками. Кроме того, вы узнаете, какие устройства следует использовать и какие сервисы поддерживают данную технологию. SMS и двухэтапная аутентификация работают для входа в сервисы со смартфонов и стационарных компьютеров. Для регистрации исключительно с ПК вам нужны варианты протокола U2F.

SMS-коды для входа в систему

Самый простой способ двухфакторной проверки работает всегда, поскольку с задачей справляется любой телефон: нужно просто принять SMS. Одноразовый код отправляется вам напрямую сервисом в коротком сообщении — точно так же, как и при онлайн-банкинге. Но и у этого варианта есть недостаток: он уязвим для хакерских атак типа «человек посередине».

Несмотря на простоту интеграции, опция проверки по SMS у многих российских почтовых сервисов до сих пор недоступна. Пользователи же американских служб, в том числе Google и Facebook, уже могут активировать такую аутентификацию. Список крупных сетевых сервисов, предлагающих SMS-про­верку, вы найдете в в правом нижнем углу страницы.

Одноразовый пароль отправляется на ваш телефон в SMS в виде кода. В этом случае вам не понадобится специальное приложение или дополнительное устройство.

Надежных устройств не существует

Настройка SMS-токена у большинства служб работает схожим образом. На примере онлайн-магазина Amazon мы покажем, что нужно делать. Первым делом авторизуйтесь под своим аккаунтом, а затем в меню «Account & Lists» выберите пункт «Your Account». В разделе «Login & Security Settings | Advanced Security Settings» нажмите на кнопку «Get Started». В следующем окне введите свой номер телефона, выбрав в выпадающем списке страну «Russian Federation», и щелкните по «Send code».

Полученный в SMS код введите в поле ниже и задействуйте функцию проверки по SMS нажатием на «Verify code and continue». Теперь при каждом заходе на сервис с компьютера или смартфона вам придется дополнительно к паролю вводить одноразовый код. Многие службы, в том числе и Amazon, позволяют отметить устройство как надежное — однако мы все же не рекомендуем активировать эту опцию, поскольку она полностью отключает двухфакторную защиту для данного устройства.
На большинстве смартфонов входящие SMS-сообщения отображаются непосредственно на экране заставки, даже когда установлена блокировка экрана.

Поэтому если ваш телефон украдут, злоумышленники все равно смогут узнать код. Впрочем, это целесообразно только в том случае, если у них уже есть доступ к паролю от вашего аккаунта. И все же лучше всего отключить отображение каких бы то ни было уведомлений в заблокированном состоянии. При этом о появлении новых уведомлений вас по-прежнему будет извещать звук и вибрации. В Android зайдите в «Настройки | Звуки и уведомления» и нажмите на «На заблокированном экране». Выберите вариант «Не показывать уведомления». Пользователи iOS найдут данную функцию в «Настройках». Здесь нажмите на «Уведомления | Сообщения» и отключите опцию «На заблокированном экране».

Опасность таит в себе и слабая защита от прослушки. Национальный институт стандартов и технологий США (NIST) предостерегает от использования SMS для генерации одноразовых паролей. Если злоумышленники знают ваш номер, они могут получить доступ к вашим сообщениям следующим образом: запустить вредоносное ПО на вашем смартфоне, такое как Trojan.SMS.Agent, и считать входящие SMS.

Эксперты компании Malwarebytes утверждают, что такие вирусы чаще всего попадают на устройство через взломанные приложения. Для их установки достаточно нажатия на ссылку. Чтобы обезопасить себя, загружайте приложения только из официальных магазинов приложений Apple и Google, а также отключите в настройках установку ПО из неизвестных источников.

Оптимальная защита с помощью второй SIM-карты

Другую возможность для SMS-шпионажа предлагает протокол SS7, с помощью которого взаимодействуют мобильные сети по всему миру. Опытные хакеры способны использовать уязвимости в SS7 и полностью перехватить разговоры и содержание SMS. Однако против них есть свой прием: для получения кодов в сообщениях приобретите вторую SIM.

У оператора МТС имеется тариф «Супер МТС», в котором нет абонентской платы, при этом, имея небольшую сумму на счету, на этот номер можно спокойно получать SMS. Для работы номера нужно лишь раз в два месяца осуществлять платные операции (например, отсылку SMS). Разумеется, для второй SIM вам понадобится дополнительный телефон. Лучше всего подойдет недорогая кнопочная «трубка». Хакерам невероятно сложно их заразить, поскольку у них отсутствуют функции смартфона.

Доступ через приложение на смартфоне

Кроме SMS-токенов существует технология 2FA, это двухфакторная аутентификация. В этом случае вы получаете одноразовый код через приложение, так называемый клиент Time-based One-time Password Algorithm (TOTP). Сервис генерирует ключ длиной 80 бит, который попадает на смартфон через QR-код. Разумеется, вам понадобится установить TOTP-приложение на свое устройство и считать QR-код встроенной камерой.

Для аутентификации сервер службы и смартфон независимо друг от друга рассчитывают из 80-битных ключей и текущего времени одноразовый пароль. Его вам нужно ввести отдельно при заходе в службу. Если результаты вычислений совпадают, доступ предоставляется. TOTP-приложения гораздо надежнее кодов по SMS, поскольку эти программы можно отдельно защитить паролем или проверкой отпечатка пальца. Лучшие приложения для Android и iOS вы найдете в блоке слева.

Дополнительная защита через приложение

Надежнее SMS действует получение паролей через спецприложение. В нем реализовано шифрование, и его можно заблокировать от несанкционированного доступа PIN-кодом или сканером отпечатка пальца.

Активируем приложение — отключаем телефонный номер

Принцип настройки двухфакторной аутентификации схож во всех сервисах. Мы поясним конфигурацию на примере служб Google. Этот метод одновременно служит и для блокировки доступа в Play Market, поскольку Google после активации 2FA защищает запросом одноразового кода все свои сервисы. Для этого зайдите в свою учетную запись Gmail и щелкните по иконке аккаунта в правом верхнем углу.

Здесь выберите «Мой аккаунт» и в следующем окне в разделе «Безопасность и вход» щелкните по строчке «Вход в аккаунт Google». По нажатию на «Двухэтапная аутентификация | Приступить» запустится Мастер конфигурации. На первом этапе Google настроит SMS-токен, то есть двухэтапную защиту по SMS. А уже на сле­дующем этапе вы можете активировать аутентификацию через приложение. Для этого под опцией «Приложение Authenticator» нажмите на «Создать».

В завершение удалите сохраненный номер телефона в целях безопасности. В меню «Двухэтапная конфигурация» щелкните по значку карандаша рядом со строчкой «Голосовое сообщение или SMS» и выберите «Удалить номер». С этого момента аутентификация будет производиться только через приложение. В этом же меню вам необходимо задействовать функцию «Резервные коды». При потере телефона вы сможете воспользоваться одним из восьмизначных шифров вместо двухфакторного кода. Не следует хранить такую информацию в электронном виде. Лучше записать ее на листок и спрятать его дома в надежном месте.

Защита приложения сканером отпечатка пальца

Большинство сервисов, поддерживающих двухфакторную аутентификацию через приложение, предлагают также возможность обозначить отдельные устройства как надежные. Если вы заходите с него в свой аккаунт, вам нужно будет ввести только свое имя пользователя и пароль, но не одноразовый код. Мы не рекомендуем пользоваться данной функцией, поскольку, если злоумышленник заразит, к примеру, такой «надежный» ноутбук, двухэтапная защита будет снята.

Кроме того, стоит считывать QR-код не обычным приложением «Камера», а напрямую из TOTP-приложения. Рекомендованные нами программы оснащены защитой доступа. Частично обезопасить себя вы также можете с помощью архивирования кодов. В обоих приложениях данная функция работает без изъянов.

USB ключ в качестве второго фактора

Максимальную защиту учетной записи обеспечивает USB-на­копитель в качестве электронного ключа U2F (Universal Second Factor), который можно приобрести примерно за 700 рублей (см. справа). Если при использовании технологий проверки по SMS и 2FA хакеры способны считать код посредством атаки «человек посередине», то в случае с U2F даже это исключено. Во время конфигурации сервис создает пару открытый/закрытый ключ.

Когда впоследствии пользователь попытается зайти в свой аккаунт, ему придется подключить USB-ключ безопасности. В ответ на это сервер отправляет последовательность битов клиенту, которые на основании этих данных, а также информации об источнике сигнала, к примеру, расположения сервера, вычисляет код. Клиент шифрует его закрытым ключом и отправляет сведения на сервер, где тот снова расшифровывается с помощью открытого ключа. Доступ предоставляется, только когда вся информация совпадает.

Надежная защита USB-ключом

Самым надежным вариантом является особый USB-накопитель для безопасного входа в аккаунты. До сих пор не было известно ни об одной удачной атаке на U2F.

Оптимальная комбинация всех методов

Активацию U2F, как и две другие опции двухфакторной аутентификации, вы найдете в настройках учетной записи конкретного сервиса. На примере Facebook мы представим вам оптимальную конфигурацию. В первую очередь необходимо зайти под своими данными в аккаунт и нажать на маленькую стрелку в правом верхнем углу окна. Через пункт «Настройки» перейдите к разделу «Безопасность» в левой части экрана.

Нажмите на опцию «Подтверждения входа» и в следующем окне рядом с записью «Ключи безопасности» щелкните по «Добавить ключ» и снова — по «Добавить ключ».
Как и в случае с вариантом 2FA, вам понадобится деактировать SMS-токен, если он был задействован. Имейте в виду, что после этого вы сможете зайти на сервис только при наличии USB-ключа. Кроме того, для входа вам потребуется компьютер с Windows или Mac.

Для служб, которыми вы пользуетесь только со стационарного компьютера, рекомендуем активировать аутентификацию посредством U2F. Если же вам приходится пользоваться и мобильными устройствами, следует дополнительно активировать 2FA, поскольку в них вариант проверки электронным ключом исключается.

Защита приложением собственной разработки

Такие компании, как Google и Facebook, предлагают еще один, более безопасный вариант: аутентификацию через собственные приложения. Такие программы действуют наподобие модели U2F. Как только вы соберетесь зайти на сервис с какого-то устройства, в приложении появится соответствующий запрос. Его вы можете принять или отклонить. В случае одобрения входа приложение передает данные сведения в зашифрованном виде, что исключает возможность атаки типа «человек посередине».

Этот вариант и модель U2F на данный момент считаются самыми безопасными и удобными способами обеспечения безопасности вашего аккаунта. Но даже когда вы используете только SMS-токены, вы все равно защищены лучше по сравнению с обычным вводом имени пользователя и пароля.

ФОТО: компании-производители; ShutterStock/Fotodom.ru

Что необходимо сделать, чтобы вашу учетную запись Google не украли

Корпорация Google опубликовала исследование «Насколько эффективна базовая гигиена учетной записи для предотвращения её кражи» о том, что может сделать владелец учетной записи, чтобы её не украли злоумышленники. Представляем вашему вниманию перевод этого исследования.
Правда самый эффективный способ, который используется в самой Google, в отчет не включили. Пришлось мне самому написать об этом способе в конце.

Фишинговая атака — попытка обмануть пользователя таким образом, чтобы он добровольно передал злоумышленнику информацию, которая будет полезна в процессе взлома. Например, путем копирования интерфейса легального приложения.

Атаки с помощью автоматических ботов — массовые попытки взлома не направленные на конкретных пользователей. Обычно осуществляются с помощью общедоступного программного обеспечения и доступны для использования даже неподготовленным «взломщикам». Злоумышленники ничего не знают об особенностях конкретных пользователей — они просто запускают программу и «ловят» все плохо защищенные ученые записи вокруг.

Целевые атаки — взломы конкретных учетных записей, при которых о каждой учётке и её владельце собирается дополнительная информация, возможны попытки перехвата и анализа трафика, а также применение более сложных инструментов взлома.

Мы объединились с исследователями из New York University и University of California, чтобы выяснить, насколько эффективно базовая гигиена учетных записей предотвращает их «угоны».

Годовое исследование о широкомасштабных и целевых атаках было представлено в среду на собрании экспертов, политиков и пользователей под названием The Web Conference.
Наши исследования показывают, что простое добавление номера телефона в вашу учетную запись Google может блокировать до 100% атак от автоматических ботов, 99% массовых фишинговых атак и 66% целевых атак, имевших место в ходе нашего расследования.

Автоматическая проактивная защита Google от «угона» учётной записи

Мы реализуем автоматическую проактивную защиту, чтобы лучше обезопасить всех наших пользователей от взлома аккаунта. Вот как это работает: если мы обнаружим подозрительную попытку входа (например, из нового места или устройства), мы попросим дополнительные доказательства того, что это действительно вы. Этим подтверждением может быть контроль того, что у вас есть доступ к доверенному телефону, или ответ на вопрос, на который только вы знаете правильный ответ.

Если вы вошли в свой телефон или указали номер телефона в параметрах учетной записи, мы можем обеспечить такой же уровень защиты, как и с помощью двухэтапной проверки. Мы обнаружили, что код SMS, отправленный на номер телефона для восстановления, помог заблокировать 100% автоматических ботов, 96% массовых фишинговых атак и 76% целевых атак. А запросы на устройстве с требованием подтвердить операцию, являющиеся более безопасной заменой SMS, помогли предотвратить 100% автоматических ботов, 99% массовых фишинговых атак и 90% целевых атак.

Защита, основанная как на владении определенными устройствами, так и на знании определенных фактов, помогает противостоять автоматическим ботам, а защита, основанная на владении определенными устройствами — для предотвращения фишинга и даже целевых атак.

Если у вас в учетной записи не настроен номер телефона, мы можем прибегнуть к более слабым методам защиты, основанным на знаниях о вас, таким как место вашего последнего входа в учетную запись. Это хорошо работает против ботов, но уровень защиты от фишинга может упасть до 10%, а от целевых атак защита практическ отсутствуют. Это происходит потому, что фишинговые страницы и злоумышленники при целевых атаках могут заставить вас раскрыть любую дополнительную информацию, которую может запросить Google для проверки.

Учитывая преимущества подобной защиты, можно было бы спросить, почему мы не требуем использовать её для каждого входа в систему. Ответ заключается в том, что это создало бы дополнительные сложности для пользователей (особенно для неподготовленных — прим. перев.) и повысило бы риск блокировки учетной записи. В ходе эксперимента выяснилось, что 38% пользователей не имели доступа к своему телефону при входе в учетную запись. Еще 34% пользователей не смогли вспомнить свой дополнительный адрес электронной почты.

Если вы потеряли доступ к своему телефону или не можете выполнить вход, вы всегда можете вернуться к доверенному устройству, с которого вы ранее входили, чтобы получить доступ к своей учетной записи.

Разбираемся в атаках «взломать по найму»

Там, где большинство автоматических средств защиты блокируют большинство ботов и фишинговых атак, более пагубными становятся целевые атаки. В рамках наших постоянных усилий по мониторингу угроз взлома, мы постоянно выявляем новые криминальные группы «взлома по найму», которые просят за взлом одного аккаунта за в среднем 750 долларов США. Эти злоумышленники часто полагаются на фишинговые электронные письма, которые выдают себя за членов семьи, коллег, правительственных чиновников или даже за Google. Если цель не сдается при первой попытке фишинга, последующие атаки продолжаются более месяца.

Пример фишинг-атаки «человек посередине», которая проверяет правильность пароля в режиме реального времени. После этого на фишинговой странице предлагается жертвам ввести коды аутентификации SMS для доступа к учетной записи жертвы.

По нашим оценкам, только один из миллиона пользователей подвергается столь высокому риску. Злоумышленники не нацелены на случайных людей. Хотя исследования показывают, что наша автоматическая защита может помочь задержать и даже предотвратить до 66% целевых атак, которые мы изучали, мы по-прежнему рекомендуем, чтобы пользователи с высоким уровнем риска регистрировались в нашей программе дополнительной защиты. Как было замечено во время нашего расследования, пользователи, которые используют исключительно ключи безопасности (то есть — двухэтапную аутентификацию с помощью присылаемых пользователям кодов — прим. перев.), стали жертвами целевого фишинга.

Потратьте немного времени, чтобы защитить свой аккаунт

Вы используете ремни безопасности для защиты жизни и здоровья во время поездок на автомобиле. И с помощью наших пяти советов вы сможете обеспечить безопасность своего аккаунта.

Как показывают наши исследования, одна из самых простых вещей, которые вы можете сделать для защиты своей учетной записи Google — это задать номер телефона. Для пользователей с высоким уровнем риска, таких как журналисты, общественные активисты, лидеры бизнеса и команды политических кампаний, наша программа Advanced Protection поможет обеспечить высочайший уровень безопасности. Вы также можете защитить свои учетные записи сторонних сервисов (не Google) от взломов паролей, установив расширение Chrome Password Checkup.

Интересно, что Google не следует тем советам, которые сам же даёт своим пользователям. Google использует аппаратные токены для двухфакторной аутентификации более чем 85 000 своих сотрудников. По сообщениям представителей корпорации с момента начала использования аппаратных токенов не было зафиксировано ни одной кражи учетной записи. Сравните с цифрами, представленными в этом отчете. Таким образом видно, что использование аппаратных токенов для двухфакторной аутентификации единственный надежный способ защиты как учетных записей, так и информации (а в ряде случаев еще и денег).

Для защиты учетных записей Google используются токены, созданные по стандарту FIDO U2F, например такой. А для двухфакторной аутентификации в операционных системах Windows, Linux и MacOS используются криптографические токены.

Как защитить аккаунт Instagram от взлома (9 простых правил)

Кто-нибудь сталкивался с проблемой взлома аккаунта? К сожалению, вернуть аккаунт в таком случае тяжело, а иногда практически невозможно. Так как же защитить свой аккаунт от взлома?

Привяжите аккаунт к актуальному мобильному телефону, электронной почте, личному аккаунту Facebook.

Включите двухфакторную аутентификацию. «Настройки» → «Безопасность» → «Двухфакторная аутентификация». После подключения этой функции для подтверждения действий вы будете получать коды через SMS или приложение.

Придумайте сложный пароль с помощью букв, чисел и символов.

Запретите доступ сторонним приложениям к вашему аккаунту. «Настройки» → «Безопасность» → «Приложения и сайты». В этой вкладке отобразится список связанных с профилем приложений. Отключите все ненужное.

Заберите доступ у бывших сотрудников, отвяжите их от вашего бизнес-профиля. Если SMM-менеджер работал только с Instagram под вашими учетными данными, достаточно будет просто поменять пароль. Если же у него есть доступ к инста-аккаунту через связанную страницу компании на Facebook, отмените его через вкладку «Роли на странице». Вкладка спрятана очень хорошо, не все ее могут с первого раза найти. Ловите погаговую инструкцию.

Шаг 1. Зайти в Facebook и открыть свою бизнес-страницу. Кликнуть «Настройки».

Шаг 2. В разделе «Настройки» кликнуть на «Роли на странице».

Шаг 3. Прокрутите страницу вниз.

Шаг 4. Изучить «Существующие роли на странице» и оставить только те, которые необходимы.

Шаг 5. Удалить выбранного человека.

Периодически проверяйте авторизации в разделе «Настройки» → «Безопасность» → «Входы в аккаунт». Если вы увидите в списке непонятные локации, срочно меняйте пароль – возможно, вашим аккаунтом пользуется кто-то еще.

Спрячьте свой сетевой статус. «Настройки» → «Конфиденциальность» → «Сетевой статус». Функция работает в обе стороны – при скрытом сетевом статусе вы не сможете следить за онлайном других пользователей.

Не используйте в продвижении сервисы масфоловинга, масслайкинга, маслукинга и тд. Это уже не работающие вещи!

Будьте бдительны! Не переходите по незнакомым ссылкам. Ни в почте, ни в директе!

С какими проблемами в Instagram вы сталкивались?

В моем аккаунте Instagram вы найдете больше полезной информации о копирайтинге, о ведении, оформлении, развитии и продвижении вашего Instagram (никаких серых схем, только чистый маркетинг). Присоединяйтесь!

Как защитить свой аккаунт от взлома

Статистика гласит, что владельцы 99,9% взломанных аккаунтов в интернете не использовали мультифакторную идентификацию, которая спасла бы их от вторжения хакеров и кражи информации. Причина кроется в элементарном незнании правил цифровой гигиены: какие пароли использовать и как защитить свой аккаунт.

В наглядных карточках объясняем, как обезопасить данные, чтобы спокойно бороздить бескрайние просторы интернета и не прослыть цифровым невежей.

Если вы до сих пор не знаете, что такое двухфакторная аутентификация, у нас плохие новости. Во-первых, проверьте почту и забытые странички соцсетей — не исключено, что их давно увели ушлые мошенники. Во-вторых, вы с треском провалили экзамен на цифровую грамотность, поскольку сегодня каждый пользователь интернета на автомате должен использовать эту защиту.

Двухфакторная аутентификация — это система, в которой используется два «ключа». Первый — ваш логин и пароль, которые вы должны запомнить, второй — устройство, которым вы владеете. Чаще всего это телефон, на который приходит SMS с кодом доступа, или электронная почта, привязанная к аккаунту.

Как только злоумышленник взламывает аккаунт, на вашу почту или телефон приходит оповещение о попытке входа и одноразовый код. Если это не вы пытаетесь зайти на свою страничку, то самое время менять взломанный пароль. Если все в порядке, то вам нужно будет вводить код доступа каждый раз, когда вы заходите в свой аккаунт с незнакомого устройства.

Разумеется, двухфакторная аутентификация не является 100% защитой. Однако даже если основной пароль будет взломан, мошенникам нужен будет доступ либо к смартфону жертвы, либо к почтовому ящику.

Обязательно используйте двухфакторную аутентификацию в социальных сетях, сервисах Google и Apple, приложениях банков и облачных хранилищ.

Приложения-аутентификаторы — более сложная альтернатива кодам из SMS, которые при желании можно перехватить. Принцип работы таких приложений прост: они создают уникальные коды доступа, которые меняются каждые 30 секунд. Этот код доступа и нужно ввести после логина и пароля, авторизуясь в своем аккаунте.

Самые известные приложения-аутентификаторы: Google Authenticator, Яндекс.Ключ и Authy.