В последнее время участились случаи кражи аккаунтов, а так как на днях постоянная клиентка, перевела 5тр за консультацию по этому поводу я решился написать полноценный пост в нем мы разберем основные способы украсть ваши пароли и доступы…
У меня есть несколько клиенток чей бизнес полностью завязан на Instagram(запрещенная в России организация), а так как бизнес приносит неплохие деньги, на них постоянно идут атаки, с целью завладеть и потребовать выкуп за возвращение или с целью сбора предоплаты с клиентов на левую карту… именно так монетизируются кражи аккаунтов, а учитывая, что сейчас с инстаграм в полицию заявление писать не пойдёшь ситуация для мошенников практически безопасна.
В одном из постов я писал об этом, но мои подписчики начали утверждать что HTTPS не взломать и не перехватить, ну а кто же вам сказал, что мы будем работать с HTTPS, если немного социальной инженерии и клиент сам перейдет на открытый HTTP
Кто часто путешествует по гостиницам или ходит в рестораны уже привык, что при первом подключении к публичному wi-fi вы видите сообщение о переходе на небезопасную страницу и многие жмут «все равно перейти» и там страница авторизации вводите номер телефона приходит смс, вводите смс и интернет работает, т.е. сейчас большинство это сообщение о переходе на небезопасную страницу не пугает. А теперь представьте, что в отеле\ресторане рядом\в соседнем номере сидит условный хакер, у которого с собой роутер, название сети которого такое же как у Отеля\Ресторана… а ваш телефон тупо подключится к сети с наиболее мощным сигналом и вы перейдете на небезопасную страницу и там будет сообщение, что авторизация по смс временно недоступна, но вы можете авторизоваться по учетной записи facebook\google\mail, если вам очень нужен интернет вы выберите один из этих способов, вас перекинет на фишинговую страницу и вы сами введёте и логин и пароль и ещё код подтверждения из смс))) и вот и всё… а представьте всё это происходит в другой стране где вы турист, пока вернетесь домой начете разбираться найдете специалиста, будет уже поздно… в этой схеме ещё бывает высший пилотаж, когда хакер завладев вашим аккаунтом и почтой, ставит переадресацию всех писем от инстаграм\фейсбук на свою почту, а с вашей почты они сразу удаляются… т.е. вы пишите в поддержку, а ответ не получаете ибо он сразу уходит взломщику, а у вас удаляется… когда такое случилось с одной из моих клиенток я долго не мог понять, что происходит…
А сейчас когда они официально ушли из России возврат аккаунта реально превращается в жуткий квест, где ты пишешь в американскую техподдержку, до тех пор пока не попадешься на сотрудника без русофобии, и начинается конструктивный диалог, ты скидываешь паспорт, документы на владение брендом, фото карт с которых оплачивали последний раз… хотя сразу повторюсь сейчас платежи в сторону инстаграма и фейсбука за рекламу – это финансирование экстремистской организации, так если кто не в курсе…
ПОЧЕМУ ДВУХ ФАКТОРНОЙ АУТЕНТИФИКАЦИИ НЕДОСТАТОЧНО
Конечно естественно ко всем аккаунтам стоит подключить 2FA, чтобы вход происходил кроме логина и пароля ещё по SMS подтверждению на номер телефона… но мы же живем в России, где можно по напечатанной на принтере доверенности, оформить замену сим карты любого человека… но это конечно если знать ФИО владельца… Поэтому следующая рекомендация все SMS коды, должны приходить на номер который стоит в обычной звонилке за 1000руб и в идеале этот номер не должен быть оформлен на вас и нигде не засвечен…Есть ещё вариант, оформить у оператора запрет на замену\восстановления сим-карты по доверенности… кто-то особо умный скажет что там при замене сим-карты сутки не приходят смски подтверждения, так можно выбрать время когда жертва будет например на отдыхе в другой стране или лететь в самолете с пересадками и просто решит, что у неё перестала работать сим-карта, по принципу потом приеду восстановлю… а за это время мошенник уже перепривяжет аккаунт магазина к своей почте и телефону или, что хуже к google аутентификатору.
СТАРАЯ ДОБРАЯ СОЦИАЛЬНАЯ ИНЖЕНЕРИЯ
Как получить код для входа от 2FA, надо его просто попросить, но сделать так, чтобы письмо выглядело как от администратора соц.сети, ну там дизайн подмена отправителя… ещё почему то клиенты сильно ведутся если запрос кода им приходит в iMessage, а если письмо содержит страшные слова о необходимости подтверждения владения и угрозу блокировки аккаунта в случаи не отправки кода в течение 12часов, то у людей мозг вообще выключается… Я поэтому всегда прошу клиенток сначала в случае сомнений мне скриншот и я скажу надо или не надо это делать…
ИТОГ. ПРАВИЛА ЦИФРОВОЙ ГИГЕНЫ:
Заводим номер телефона который никто не знает, которым вы не пользуйтесь в идеале оформлен на надежного друга, сим карту в обычную дешевую звонилку, на номере запрещаем замену сим карты по доверенности
На этот номер делаем двух факторную аутентификацию на вход на всех почтах и аккаунтах
Если вы код подтверждения сами не запрашивали, то и не надо его вводить, какие бы страшные письма и сообщения не приходили
В идеале не пользуемся чужим wi-fi, если прям очень надо, то если ваш браузер пишет страница не безопасна, сразу её закрываем ибо любые данные введенные там могут быть перехвачены.
P.S.: Надеюсь мои советы будут полезны и помогут сберечь ваши деньги
