Безопасность учетных данных: как защитить аккаунт компании от взлома и кражи наемными специалистами

Полина Ежова
2 августа 2020
6 006

По данным компании ESET, международного разработчика антивирусных решений, около 60 процентов пользователей Интернета как минимум однажды теряли доступ к своему аккаунту в социальной сети вследствие действий злоумышленников. Количество пользователей Рунета, которые теряли доступ к какой-либо иной учетной записи (электронная почта, доступ к банковскому счету, сайт, аккаунт на форуме или портале и т.д.), еще больше.

Потеря рабочего аккаунта – это риск для репутации, потеря коммерческой выгоды от остановки лидогенерации из одного канала (иногда существенного по обороту), а также дополнительные затраты на восстановление работоспособности потерянного канала продвижения. Поэтому любая учетная запись, связанная с продвижением вашего салона и коммуникацией с клиентами, должна быть защищена от взлома.

Каким способом обычно злоумышленники получают доступ к данным вашего аккаунта?

  • Фейковые письма/сайты, которые похожи на официальные и запрашивают ваш логин и пароль.
  • Вирус, который попадает на компьютер/телефон и крадет пароль в момент ввода или из памяти компьютера/телефона.
  • Подбор паролей с помощью специального ПО.

Кто и для чего может взломать ваш аккаунт?

  • Мошенники, которые требуют деньги за возврат аккаунта.
  • Мошенники и профессиональные хакеры, которые взламывают «на заказ» (заказ может идти от конкурентов, обиженных клиентов и т.д.).
  • Профессиональные хакеры, которые используют чужие активные профили для иных целей (например, продажа крупного блога с аудиторией, использование рекламной кампании для рекламы несанкционированных товаров, профиля для пропаганды и т.д.).
  • Профессионалы, которым нужны данные, получаемые вами на той или иной площадке в Интернете.

От профессионалов, которые работают на черный рынок несанкционированных товаров или на крупные структуры, в том числе государственные, вы не сможете защититься, поскольку их техники сложные, с которыми не всегда могут справиться даже другие профессионалы. Техники их взлома гораздо сложнее, чем подбор пароля и рассылка вам вредоносных программ. Однако вероятность попасть на такой взлом не так велика.

Гораздо чаще владельцы аккаунтов сталкиваются с простыми взломщиками первых категорий, которые используют как раз техники подбора паролей, имитаций ваших действий, манипулятивные техники (типа отсылки вам писем от имени администрации социальных сетей) и т.д. И от них можно полностью защититься, следуя следующим правилам безопасности.

Стандартные правила безопасности

  1. Пароль от учетной записи должен состоять не менее чем из девяти символов: буквы разного регистра, спецсимволы, цифры. Пароли не должны повторяться, не должны содержать реальные слова и не должны быть никак связаны с общедоступной информацией о вас (день рождения (ваш или родственников) и т.д.). Такой пароль невозможно взломать ресурсами стандартного домашнего компьютера.
  2. Если у вас не хватает фантазии, воспользуйтесь онлайн-генератором паролей: http://www.onlinepasswordgenerator.ru/

  3. Заведите отдельный номер телефона, к которому будут привязаны ваши учетные записи. Этот номер телефона должен быть известен только вам, вы не должны использовать его ни при каких-либо еще регистрациях, ни при оформлении каких бы то ни было документов (чтобы он не попал в базы).
  4. Включите двойную аутентификацию там, где есть такая возможность.
  5. По аналогии с секретным номером телефона заведите секретный e-mail. Именно к этой почте следует привязывать все ваши учетные записи.

    Примечание: в последнее время российский сервис Mail.ru имеет проблемы с безопасностью аккаунтов своих пользователей. Из популярных сервисов предпочтительнее использовать Yandex.Почта и Gmail. Если вас очень интересует конфиденциальность переписки, стоит взглянуть на альтернативные сервисы, например Protonmail.com.

  6. Ответ на секретный вопрос – это, по сути, такой же пароль. Поэтому и взламывается он так же, как и пароль, и защищенным он будет только в том случае, если соответствует всем тем же требованиям, что и пароль.
  7. Не сохраняйте пароли в браузере. Не храните пароли в компьютере или телефоне в электронном виде. Лучшее место хранения – в вашей голове. Второе хорошее место – листок бумаги, но не обычный, а тот, который никогда не попадет в руки других людей. А если и попадет, то они не смогут понять, к чему эти пароли. Например, просто написанные пароли, без их связи с учетными записями.
  8. Телефон, на котором выполнен вход в ваши учетные записи, должен быть запаролен.
  9. Компьютер, на котором есть доступ в ваши учетные записи, также должен быть запаролен. Если компьютером пользуетесь не только вы, заведите отдельную учетную запись на самом компьютере и запарольте ее.
  10. Установите антивирус на ваш компьютер (примечание: лучше использовать платные версии антивирусов, так как бесплатные могут пропустить часть угроз; потратьте пару тысяч рублей в год на безопасность и установку серьезных антивирусов типа ESET, Kaspresky, Norton, Bitdefender и т.д.). Кстати, ведущие антивирусные компании за скромную доплату предлагают менеджеры паролей. Плюс у них, как правило, есть версии для защиты смартфонов.
  11. Кроме этого, не игнорируйте актуальные правила безопасности:
    • не открывайте сомнительные ссылки и не скачивайте материалы от незнакомых людей;
    • избегайте пользования сайтами с отсутствующим/недоверенным сертификатом (в адресной строке браузера не будет зеленого или просто закрытого замочка или будет сообщение о проблемах с безопасностью);
    • не запускайте неизвестные программы на компьютере;
    • не передавайте логин и пароль другим людям, даже если они представляются администрацией интернет-сервисов;
    • если вы попадаете на страницу с формой запроса логина и пароля от вашей учетной записи, проверьте, что url-адрес страницы соответствует официальной (что это точно instagram.com, а не 1com, instagam.com или instagram.info);
    • если вы получаете письмо от имени администрации сервиса, где расположена ваша учетная запись, проверьте, что отправитель – действительно администрация сервиса, а не мошенники (проверьте написание, напишите сами в техподдержку сервиса и т.д.).

Если вы потеряли телефон, на котором выполнен вход в рабочие учетные записи, то ваши действия:

  1. Удаленно сделайте сброс настроек вашего телефона и удалите с него все данные, если это возможно на вашем устройстве. Проверьте и настройте эту возможность заранее:
    • для Android https://support.google.com/accounts/answer/6160491
    • для iPhone через iCloud; нюансы удаленной блокировки и удаленных данных описаны, например, здесь: https://inewscast.ru/instruktsii/chto-budet-esli-nazhat-steret-iphone-na-sayte-icloud/ и здесь https://iphonegeek.me/instructions/dlya-chajnikov/1059-ukrali-iphone-chto-delat-kuda-bezhat.html
  2. Если нет возможности удалить все данные с телефона удаленно, тут же меняйте все пароли на всех учетных записях.
  3. Если в потерянном телефоне была сим-карта с секретным номером, сразу же блокируйте его.

Примеры организации доступа сотрудников (SMM-специалиста, дизайнера, таргетолога и т.д.) к вашим учетным записям по разным каналам продвижения

Ключевое правило: никогда не передавайте ваш логин и пароль удаленному сотруднику, если у вас отсутствует с ним договор, где прописаны правила доступа в ваши учетные записи и оговорены полномочия. Доказать ваше владение аккаунтом и вернуть его в случае, если сотрудник окажется недобропорядочным и не захочет по каким-то причинам вернуть вам доступ или удалит важную информацию, будет крайне сложно. Например, Facebook, Instagram и WhatsApp принадлежат зарубежным компаниям. По внутренним правилам Сети вы сами ответственны за сохранность данных и владельцем аккаунта признается тот, кто имеет доступ к логину, паролю и привязанным к профилю телефону и почте. В случае утери доступа к аккаунту вашей компании максимум, что вы сможете сделать официально, – это добиться блокировки украденного аккаунта как дезинформирующего ваших клиентов.

Многие сервисы и социальные сети позволяют дать разрешение вашим сотрудникам управлять аккаунтом вашей компании (назначение администраторов, модераторов, редакторов ваших групп и сообществ, а также рекламных кабинетов) со своей учетной записи. При этом вы можете ограничивать уровень их прав, то есть разрешать или запрещать делать конкретные действия в аккаунте.

Также непрямой доступ сотрудника возможен опосредованно, через использование сторонних сервисов. Такие сервисы в большинстве своем платные, однако их стоимость невысока и однозначно стоит сохранения безопасности вашего аккаунта. Потери, которые понесет ваш проект в случае недобросовестного поведения удаленного сотрудника, будут в десятки раз выше стоимости сервисов, которые обеспечат вам безопасность.

  1. Сайты-конструкторы позволяют подключать сотрудника с разными уровнями доступа. Если же у вас сайт не на конструкторе, то ваши отношения с разработчиками также должны быть урегулированы договором, ведь код, который пишется сотрудником для сайта, а также дизайн сайта, текстовое наполнение и т.д. являются объектами авторского права и интеллектуальной собственности.

Добавление сотрудника для редактирования сайта на конструкторе Tilda

  1. Рекламные кабинеты в Яндекс.Директ, Google AdWords, а также аккаунты в Яндекс.Метрика, Google Analytics, Google.Tags дают возможность подключения сотрудника с разными правами доступа.

Добавление сотрудника для настройки рекламной кампании в Яндекс.Директ

  1. Группы и сообщества, а также рекламные кабинеты в «ВКонтакте», Facebook, «Одноклассниках» предоставляют вам возможность дать доступ вашему сотруднику, используя его учетную запись. В зависимости от уровней доступа сотрудник будет иметь разные ограничения в своих действиях, но он никогда не сможет удалить ваш аккаунт или получить доступ к вашей конфиденциальной информации (в частности, к секретному номеру телефона и почте).

  1. Аккаунт в Instagram не позволяет подключать сотрудников. Однако существует множество сторонних сервисов, с помощью которых возможно передать ключевые функции ведения аккаунта, не передавая логин и пароль от самого аккаунта:
    • постинг в ленту и Stories возможен через сервисы отложенного постинга: SMMplanner, SMMbox, Amplifr и другие. Вы создаете учетную запись, привязываете к ней свой аккаунт в Instagram и дальше или добавляете сотрудника, или передаете ему учетную запись от сервиса (даже в этом случае доступ к логину и пароль от Instagram не передается);
    • модерация комментариев возможна через сообщество вашей компании в Facebook. Для этого вам необходимо привязать Instagram-аккаунт к сообществу и дать сотруднику права администратора или модератора;
    • вести переписку в «Директе» вашего аккаунта в Instagram возможно также через сервисы Instamessage, Okogram, Directbulksender, Idirect и их аналоги. Такая же функция доступна в крупных CRM-системах (например, у Bitrix24 есть приложения с интеграцией с Instagram).

Внутренняя реклама в Instagram (продвижение постов) может быть настроена и запущена только через авторизацию в вашем профиле. Это можно обойти следующим образом.

Вариант 1: попросить вашего таргетолога расписать вам все шаги настройки (например, записать скринкаст) и выполнить настройку самостоятельно.

Вариант 2: запустить рекламу с рандомными настройками и тут же поставить ее на паузу. Таргетолог, имея доступ администратора к вашему рекламному кабинету в Facebook, через ваш рекламный кабинет сможет изменить параметры рекламы и перезапустить ее. Минус такого способа – необходимость Facebook перенастраивать свои механизмы и, как следствие, снижение ее эффективности.

  1. Доступ к чату с клиентом в мессенджерах (WhatsApp, Telegram, Viber, Яндекс.Диалоги и т.д.) также возможен через CRM-систему. Плюс этого метода также в возможности перенести функцию ответа на входящие сообщения на весь отдел продаж в целом, а не только на конкретного сотрудника.

Еще некоторые важные правила безопасности:

  1. Присутствуйте на максимальном количестве площадок в Сети. Даже если вашей целевой аудитории нет в какой-то социальной сети (на какой-то площадке) или у вас нет ресурсов на ее развитие, базовое оформление профиля вашей компании и фиксация вашего присутствия на нескольких площадках повысят вероятность, что часть клиентов вас найдет, если вы неожиданно пропадете из своего основного канала (например, ваш профиль в Instagram заблокируют).
  2. Обязательно читайте и знайте правила каналов продвижения, которые вы используете. Косметология, медицина, медицинское оборудование, лекарственные препараты и добавки – это ниши, которые имеют ограничения в рекламе на всех рекламных площадках. Ваш специалист по продвижению, безусловно, обязан их знать, но в случае если вы его непосредственный руководитель, то вы должны быть уверены, что действия сотрудника не приведут к блокировке аккаунта.
  3. В вопросах кибербезопасности лучше перестраховаться, чем потом сожалеть. Игнорирование базовых правил безопасности – это все равно что держать дверь в ваш дом нараспашку.

Согласно решению Тверского районного суда города Москвы от 21 марта 2022 года деятельность американской транснациональной холдинговой компании Meta Platforms Inc. по реализации продуктов-социальных сетей Facebook и Instagram запрещена на территории Российской Федерации по основаниям осуществления экстремистской деятельности. Данный материал опубликован на нашем сайте до принятия Тверским районным судом города Москвы данного решения.

Блогер всемогущий
Оставить комментарий

Нажимая кнопку, Вы даете согласие на обработку персональных данных