По данным опроса, проведенного компанией «АльфаСтрахование», почти каждый второй житель России сталкивался со взломом личных страниц в социальных сетях. При этом, по статистике NordPass, к 2021 году РФ заняла первое место в мире по числу утечек паролей — в сумме было скомпрометировано около 2,87 миллиарда строк данных, то есть по 20 паролей на каждого жителя страны.

Если говорить о более осязаемых примерах, в I половине 2022-го InfoWatch зафиксировали утечку 187,6 млн строк данных россиян. По крайней мере, часть из них ассоциирована со взломами крупных сервисов. О них писали в новостях.

По мере роста числа пользователей в соцсетях (например, ВКонтакте в этом году увеличивал аудиторию на 1−2 млн человек каждый квартал, а Telegram смог всего за пару месяцев нарастить 200 млн) и эволюции методов взлома (скажем, с использованием ИИ) проблема будет еще актуальнее. Поэтому мы подготовили подробный гид о том, что делать при взломе вашего аккаунта, и как максимально себя обезопасить от мошенников. Узнаем, зачем (а главное как!) кто-то вообще взламывает страницы обычных юзеров, ведь хакерам интересны только известные персоны. Начнем от общего к частному.

Любые данные — это инвестиция, из которой можно извлечь дивиденды. Это касается как данных, которые используют сами соцсети в рекламе, так и связок логин/пароль, которые воруют хакеры. Взломать можно (почти) любого пользователя и устройство, причем сделать это нетривиально — например, через умные гаджеты (вот история о взломе казино через аквариум!) или, если речь о корпоративном хакинге, через обычный принтер (эта атака так и называется — «факсплойт»).

С корпоративными данными или перепиской медийных персон все более-менее ясно, они могут использоваться в политических целях и для шантажа. Такой взлом требует индивидуальной работы хакера и имеет конкретный ценник — до 12 тысяч ₽ за страницу ВК и до 170 тысяч ₽ за аккаунт в мессенджерах Telegram и WhatsApp (данные приводит BI.ZONE).

Рядовой пользователь тоже не застрахован от риска — он может стать случайной жертвой мошенников, у которых похищение данных поставлено на поток. Во-первых, имея доступ к переписке, есть шанс узнать вашу банковскую информацию и, соответственно, похитить деньги. Во-вторых, хотя это менее вероятно, вас тоже могут шантажировать, особенно если вы присылали кому-то «нюдсы». В-третьих, на вас можно косвенно заработать — рассылая с вашей страницы спам, выманивая деньги у ваших друзей и родственников, либо просто перепродав их в даркнете.

Разработчики антивируса ESET называют три основных способа:

Есть еще один способ, о котором мы говорили в начале и на который вы повлиять не можете — взлом базы данных самой социальной сети или другого сервиса.

Например, октябре 2022-го появилась информация об утечке 16 миллионов строк из базы магазина техники DNS. Конкретно в этой утечке паролей, вроде бы, не было — только адреса электронной почты, телефоны и имена. Но нередко так же утекают пароли, а если пользователь везде использует одну и ту же комбинацию, то и его соцсети могут быть скомпрометированы.

Важно соблюдать базовые правила безопасности (конечно, они бесконечное число раз перепечатывались, в том числе в нашем блоге, но от этого не перестали быть актуальными). Еще раз их повторим.

Поэтому будьте внимательны при вводе пароля и научитесь отличать поддельные страницы сайтов от настоящих. Обычно они скопированы не точь-в-точь, а с отличиями, урезанным функционалом, часто — с ошибками. У некоторых может не быть замочка в адресной строке браузера, другие могут «пушить» всплывающими окнами или формами с предложением ввести данные — это должно настораживать. Также не игнорируйте предупреждения браузера: например, о попытках перехвата трафика.

Особенно обращайте внимание на сокращенные ссылки — невозможно понять, что скрывается за ними. Например, вам могут прислать их в личные сообщения (частый предлог — предложение заработать легкие и большие деньги, забрать выигрыш в конкурсе и так далее).

Для установки мобильных приложений пользуйтесь официальными сервисами, такими как Google Play, App Store, Huawei AppGallery и NashStore. Впрочем, даже эти площадки могут пропускать зараженные программы, поэтому при установке смотрите, какие права они запрашивают у телефона, и когда что-то вызывает подозрение, ищите альтернативу. Если вам все-таки нужно установить APK для Android из стороннего источника, десять раз проверьте его и убедитесь, что кто-то реальный уже скачал файл, и с ним все в порядке.

Пароль длиной менее 11 символов, а тем более без букв в верхнем и нижнем регистрах, цифр и специальных знаков одновременно можно взломать почти мгновенно. Чтобы составить надежный пароль, используйте специальные программы для его генерации или шифруйте любимые фразы (кстати, мы делились рукотворным генератором паролей в Telegram-канале).

Это пробел в безопасности как всего мира, так и России. По статистике, которую приводит AVAST, 55% россиян используют одинаковые наборы символов для разных сервисов, хотя 94% из них знают, что это опасно. Собственно, в этой статье мы пытаемся не просто укрепить ваше знание, а объяснить важность следования правилам.

Нет более надежного способа защиты от брутфорса, фишинга, вишинга и остальных атак. Вариантов «двухфакторки» несколько: например, при входе в аккаунт вам будет приходить второй пароль по SMS, почте или вообще в отдельном приложении. Еще можно использовать биометрию (мы подробно писали о ней в этом материале — говорят, за ней будущее).

Финальная рекомендация, которой тоже не стоит пренебрегать: регулярно обновляйте мобильные приложения, браузеры и операционную систему. Не самый релевантный, но актуальный пример: в начале 2022-го исследователи обнаружили очень опасную уязвимость в ядре Linux. С ее помощью без ведома пользователей злоумышленники могли переписывать содержимое файлов, в том числе для интеграции вредоносного ПО. Такую уязвимость может закрыть только обновление.

Далее переходим к конкретным инструкциям. Если хотите поделиться с кем-то набором действий при взломе, скиньте эту статью. Также вы можете расшерить лаконичные карточки, которые мы делали в сообществах Интерсвязи в ВК, ОК и Telegram.

Сначала завершите все активные сеансы, кроме текущего. Для этого откройте «Настройки» ➝ «Конфиденциальность». Если находитесь в ПК-клиенте, далее нужно перейти во вкладку «Показать все сеансы», если в мобильном приложении, то в «Устройства». Затем — «Завершить все другие сеансы».

Теперь задача: защитить аккаунт от новых попыток входа. По умолчанию в Telegram можно авторизоваться по номеру телефона, либо попасть в аккаунт на устройстве, которое уже авторизовано. Но дополнительно можно настроить двухфакторную аутентификацию, используя в качестве второго фактора код-пароль или обычный пароль:

При необходимости вы можете изменить номер телефона в настройках аккаунта Telegram на новый. Все чаты при этом сохранятся. Чтобы изменить номер через мобильное приложение, откройте «Настройки» и кликните на первую же строку с номером телефона. Чтобы сделать то же через ПК-клиент, откройте «Настройки» ➝ «Изменить профиль» ➝ «Номер телефона». Далее укажите номер и введите код подтверждения из SMS, отправленный на старый номер.

Сначала обратитесь с паспортом в офис оператора мобильной связи и получите новую SIM-карту с тем же номером, а заодно попросите заблокировать старую симку. После этого зайдите в Telegram с нового устройства и повторите шаги из инструкции а).

В этом мессенджере все чуть проще — он позволяет работать только на одном мобильном устройстве. Поэтому для сброса активности в приложении достаточно либо остановить его в настройках смартфона, либо очистить все его данные (предварительно сделав резервное копирование), либо совсем удалить его.

С другой стороны, WhatsApp позволяет привязывать компьютеры и ноутбуки для работы в браузерной версии приложения, причем с 2022 года достаточно разовой авторизации по QR-коду. Если из ПК-клиента после этого не выйти правильно, пользоваться им сможет любой, у кого есть доступ к вашему компьютеру или ноутбуку. Чтобы проверить список связанных устройств и закрыть лишние сессии, нажмите на три точки в правом углу мобильного приложения WhatsApp и выберете «Связанные устройства». Вручную выйдете из других устройств.

Чтобы подключить в WhatsApp двухфакторную аутентификацию для более надежной защиты аккаунта, откройте в мобильном приложении «Настройки» ➝ «Аккаунт» ➝ «Двухшаговая проверка». Придумайте и введите PIN-код, который программа будет запрашивать при авторизации.

Вполне вероятно, что после взлома вашего аккаунта в соцсетях мошенники могут получить данные от вашей почты, поэтому на всякий случай инструкции о том, что делать, если взломали e-mail: