Как у нас украли Instagram на 200 000 подписчиков

4 часа утра. Вам приходит сообщение: “Я взломал твой аккаунт в Instagram, дай мне знать, будешь ли ты платить за возврат аккаунта”. Бизнес-аккаунт вашего клиента на 200 000 подписчиков. Вы еще спите, но декабрьский день у вас будет очень жаркий.

Меня зовут Евгений, занимаюсь маркетингом и управлением разработкой в магазине товаров для хобби, руковожу performance-маркетингом в Datmark.

Так было со мной почти месяц назад. Проснувшись, я даже не придал особого значения сообщению. У всех аккаунтов, где у меня был доступ, подключена 2-факторная авторизация. Казалось, беспокоиться не о чем.

Сообщение от нового владельца аккаунта
Сообщение от нового владельца аккаунта

Я стал проверять все аккаунты, к которым у меня был доступ, и в один из них действительно не смог войти.

Недавно уже была подобная ситуация с одним из клиентских аккаунтов - Instagram полностью убрал видимость аккаунта, якобы удалил. После обращения в поддержку аккаунт восстановили. Все заняло несколько часов. Facebook(Meta) заблокировал аккаунт по ошибке. Особой тревоги в текущей ситуации у меня не было. Зря.

Я стал проверять email, куда был привязан недоступный аккаунт… Тогда до меня дошел весь масштаб проблемы. В письме было указано, что в аккаунте включена 2-факторная авторизация. Только она и до этого работала, а письмо было на турецком.

Сообщение о подключении 2-факторной авторизации на турецком
Сообщение о подключении 2-факторной авторизации на турецком

Теперь уже сомнений не было. Аккаунт увели. Некий турок с американским номером.

Мне было сложно представить, сколько денег было вложено в подписную базу аккаунта. Ботов мы не крутили.

Что было дальше?

Был целый день переписки и созвонов с поддержкой Фейсбука.

Примерное содержание первого разговора: “Да, мы видим, что аккаунт был перепривязан к другому номеру телефона, но уже переведен в личный аккаунт. С личными аккаунтами поддержка не работает. Мы, конечно, посмотрим, что можно сделать, но скорее всего аккаунт утерян навсегда”.

Далее в переписке нам рекомендовали подключить нашего менеджера по рекламному аккаунту, возможно ее участие как-то поможет.

Не буду вдаваться во все детали переписки и звонков, но в итоге аккаунт нам вернули, перепривязав его к новой почте. Далее мы уже самостоятельно восстановили все функции. Взломщик не удалил подписчиков из аккаунта.

Факторы, которые повлияли на возврат аккаунта:

  • Подключенная 2-факторная авторизация. Да, если у она включена аккаунт могут украсть. Однако о ее наличии меня спросили несколько раз;
  • Рекламный аккаунт должен быть связан с Instagram-аккаунтом;
  • На рекламном аккаунте должен быть стабильный расход средств. Площадке невыгодно терять рекламодателя, поэтому вам помогут активнее;
  • Хотя бы раз в месяц переписывайтесь или созванивайтесь с вашим менеджером по рекламному аккаунту. Консультацию по телефону предлагают даже на низком расходе. Менеджер сможет лишний раз подтвердить, что Instagram-аккаунт был в вашем управлении;
  • Не паникуйте и всегда будьте на связи. В Facebook(Meta) нельзя позвонить, только написать, но почти все вопросы со мной решались по входящему звонку. Звонили с разных номеров из Великобритании, отвечайте на эти звонки.

Финал

Для меня это был очень жаркий день. Рад, что благополучно разрешилось.

Видимо 2-факторная авторизация уже не спасает аккаунт от взлома. Скачивайте и подключайте специальное приложение для аутентификации. Возможно оно надежнее.

Функция в разделе "Безопасность" настроек вашего Instagram
Функция в разделе "Безопасность" настроек вашего Instagram
Так выглядит включенное приложение
Так выглядит включенное приложение

Желаю вам не попадать в нашу ситуацию. Считаю, что нам просто повезло.

1414
29 комментариев

Вопрос знатокам: Как увели аккаунт?

5
Ответить

У него 2FA через смс стояла, при этом видим что сам номер от аккаунта у него торчит жопой на улицу (входящее в вацап на скриншоте).
Здесь вероятно перехват смс или шпион программа

Чувак был зациклен на названии “2FA”, а не на принципе действия

Подтверждение входа по смс уже давно считается ненадежным способом защиты.

4
Ответить

Классическая MITM-атака, которую предваряет фишинг.
Видимо заходили в веб-версию инстаграм. Там все и случилось.

2
Ответить

Да, может быть кто-то знает ответ)

Ответить

Почту мож вскрыли? Кукис угнали?

1
Ответить

Не, с этим нет проблем, чтобы почту угнать нужно еще через одну 2-факторную пройти. Исходя из комментариев скорее всего перехват смс для входа.

1
Ответить

Может быть, это просто самореклама автора темы как маркетолога и чего-то там ещё.

1
Ответить