Несмотря на регулярные сообщения о взломах чужих аккаунтов, многие пользователи социальных сетей продолжают думать, что их это не коснется, и игнорируют доступные меры безопасности. Как хакеры могут навредить бизнесу, и что нужно предпринять прямо сейчас, расскажем в статье.
Кому я нужен?
Злоумышленники могут преследовать разные цели: кто-то желает банально рассылать спам, а кто-то настроен серьезно и стремится заполучить информацию о финансовых операциях. Существуют и шантажисты, использующие взлом аккаунтов для сбора компрометирующих сведений. Соответственно, одни хакеры выбирают жертв, а другим, по большому счету, не важно, кому принадлежит аккаунт.
Поэтому пренебрежительно относиться к собственному аккаунту никому не следует. Чтобы убедиться в этом, достаточно вспомнить содержание переписки с близкими людьми и коллегами: наверняка найдется информация, которую можно использовать во вред вам или вашей компании (как минимум контактные данные, номера счетов и банковских карт и приватные сведения, отправленные родственнику). Еще более пристальное внимание безопасности должны уделять создатели и администраторы публичных страниц и сообществ бренда. Если хакер взломает аккаунт одного из таких людей, он сможет существенно навредить репутации компании, получив права редактирования контента.
Способы атаки
Долгое время одним из популярных методов был брутфорс – автоматический подбор паролей с помощью специальной программы. На сегодняшний день все популярные платформы достаточно успешно блокируют такую деятельность ботов, поэтому взлом этим способом если и проводится, то широко и наудачу. Избежать опасности поможет сложный пароль, который следует менять раз в три месяца.
Но чаще всего пользователи сами отдают логины и пароли злоумышленникам – случайно или по неосторожности. Благодаря невнимательности, любопытству и азарту людей, на свет появились такие способы получения личной информации:
- Фишинг. Хакеры подставляют вместо сайта, интересующего человека, страницу, на которой требуется ввести логин и пароль от аккаунта. При использовании открытой сети wi-fi в роли такой страницы может выступать приветственная. Задача злоумышленников – убедить посетителя сайта поделиться данными, а задача пользователя – распознать обман. Страницы могут быть искусно замаскированы под настоящие, но адрес у них будет другой.
- Социальная инженерия. Про этот метод можно написать отдельную статью, но вкратце суть такова: злоумышленники манипулируют чувствами пользователей с целью собрать добровольно отданные логины и пароли. Для этого организовываются розыгрыши призов, распространяются публикации с провокационными заголовками, рассылаются письма со ссылками. Рецепт противодействия один – быть внимательным и скептически относиться к предложениям выиграть последний iPhone или узнать новость в стиле «Ты не поверишь!». Кликать же по ссылкам в письмах, полученных неизвестно от кого, настоятельно не рекомендуется.
- «Помощь друга». При желании злоумышленник может наладить контакт с людьми, знающими жертву. Таким способом добывается информация, которую можно использовать для смены пароля без ведома владельца аккаунта. Чтобы избежать опасности, следует подключить двухфакторную авторизацию: sms-сообщение о попытке изменения пароля будет доставлено владельцу указанного телефона.
Получить информацию можно и с помощью вирусного программного обеспечения, установленного на компьютер пользователя. Так хакеры собирают данные о нажатых клавишах, скриншоты экрана, cookie и другие сведения о деятельности человека в сети. Антивирусы и firewall (файрвол) успешно блокируют большинство вредоносных программ, поэтому не стоит пренебрегать их установкой и обновлением на всех устройствах. И, конечно, не нужно скачивать сомнительные программы и приложения, потому что антивирусы противодействуют только известным атакам, а хакеры совершенствуют свои методы работы.
Безопасность личная и корпоративная
Итак, что же нужно делать, чтобы чувствовать себя, пусть и в относительной, но все же безопасности?
- Выбирать сложные пароли для каждого аккаунта и периодически их менять. При этом не следует вешать на монитор бумажку с записью пароля, особенно, если окружающие любят фотографироваться вблизи вашего компьютера.
- Использовать двухфакторную авторизацию для личных аккаунтов.
- Установить настройки конфиденциальности, не позволяющие посторонним людям просматривать вашу страницу. Так злоумышленники, если захотят, не получат доступ к информации, которую можно проанализировать и использовать против вас.
- По возможности избегать передачи конфиденциальных сведений через социальные сети.
- «Привязывать» корпоративные аккаунты к специально созданным почтовым ящикам и отдельным, никак более не использующимся, номерам телефонов. Так взлом личной почты или аккаунта руководителя или сотрудника не станет причиной проблем с работой сообщества.
- Безотлагательно удалять уволенных сотрудников из списка администраторов и редакторов группы, менять пароли к публичным страницам, которыми они занимались.
- Регулярно обновлять антивирусы на всех устройствах и не устанавливать программы, не посоветовавшись с системным администратором. Даже бесплатные.
- Не переходить по ссылкам на неизвестные сайты, не использовать открытые wi-fi сети без шифрования трафика или, по крайней мере, помнить об опасности такой деятельности.
- Следить за защитой сайта компании от атак хакеров, чтобы не подвергать опасности посетителей, использующих социальную авторизацию. О мерах безопасности для сайта мы рассказывали в этой статье: http://promoteh.ru/articles/_aview_b345
- При необходимости разработать корпоративную политику работы в социальных сетях, в том числе ограничивающую распространение информации через личные аккаунты сотрудников.
Эти меры могут показаться обременительными, но в случае «угона» аккаунта проблем возникнет гораздо больше.
В заключение
Нужно помнить: если хакер по какой-либо причине задался целью взломать конкретный аккаунт, он, скорее всего, найдет способ это сделать. Поэтому стоит заранее разработать план действий и следить за состоянием страницы или сообщества, чтобы вовремя обнаружить взлом.
