Необычная попытка входа: как защитить свой Facebook/Instagram от взлома
Мошенники отбирают аккаунты для вымогания денег у подписчиков или у владельцев страниц. Это может произойти с каждым, даже если у вас не бизнес-аккаунт и точно не многомиллионная аудитория. Защитите себя и своих подписчиков с помощью этой инструкции.
Спойлер: даже если некоторые советы кажутся очевидными, не пренебрегайте ими – лучше перестраховаться!
И сначала давайте договоримся, что у вас сложный пароль и вы соблюдаете нормы поведения в интернете – используете уникальные для всех площадок пароли не из 6 цифр. Facebook тоже советует ставить разные пароли везде: и на почте, и в каждой соцсети.
Обезопасьте аккаунт заранее
Двухфакторная аутентификация
В чем ее смысл: при входе в аккаунт, вам будет приходить код подтверждения на телефон или на почту. Если соцсеть не заподозрит ничего, то пришлет код, если же вы (или кто-то другой) будете заходить с нового устройства или из другой страны, скорее всего площадка запросит смену пароля аккаунта (тоже только через почту). Таким образом, этап со взломом пароля для мошенника станет сложнее.
Как включить:
Кстати, двухфакторная аутентификация включается отдельно для аккаунтов в Facebook и отдельно для Business Manager. Если в вашем личном аккаунте она не будет включена, то у вас не будет доступа к тому BM, в котором она есть.
Опасные приложения
Проверьте в аккаунтах Facebook и Instagram бизнес-интеграции. На этой вкладке отображаются приложения, которые могут получать информацию о вас и от вашего имени управлять вашими активами – например, управлять Business Manager, рекламными аккаунтами и объявлениями.
Удалите доступы всех приложений, которым не доверяете (например, вы не добавляли эту интеграцию, не понятно, как она вообще оказалась активной), потому что бизнес-интеграция может стать причиной взлома Business Manager.
Как получается, что какие-то приложения получают доступ к интеграции? Обращайте внимание на все галочки, которые вы ставите при авторизации (и напомните об этом всем пользователям Business Manager). Некоторые приложения запрашивают доступ к данным, а некоторые – к управлению рекламой.
Например, распространена такая схема: вы видите рекламу приложения, кликаете на нее, и вам предлагают открыть приложение с помощью авторизации через Facebook.
Если приложение не проверено и вы не хотите использовать его для определенных задач, не проходите авторизацию и ни в коем случае не давайте ему доступ к вашим бизнес-активам и управлению рекламой (даже если приложение кажется надежным).
«Запомнить меня»
Почти любое устройство при авторизации предлагает запомнить логин и пароль, чтобы вам не приходилось их каждый раз заново вводить. Это удобно, но небезопасно. Особенно важно об этом помнить, если вы делитесь устройствами с другими людьми. Совет очевиден – не делайте так, или используйте дополнительные способы защиты (например, код блокировки телефона), чтобы никто не мог получить доступ к вашей учетной записи, если ваш телефон потерян.
Коллективные аккаунты
Если вы логинитесь в одном аккаунте всей командой – это не очень безопасно. Давайте доступ только тем, кому это необходимо. Так вы снижаете вероятность того, что мошенники доберутся до вашего бизнес-профиля через взлом одного из коллег. А у Facebook будет меньше причин заподозрить подозрительную активность (все входы с разных устройств подозрительны) в аккаунте и заблокировать его.
Пришло сообщение о подозрительном входе, взломе или блокировке – не спешите действовать
Если все подготовительные этапы по безопасности вы выполнили, но все равно кажется, что вас пытаются взломать, следуйте этим советам.
Instagram проводит автоматические проверки безопасности и предложит сменить пароль, если заподозрит взлом. На всякий случай: не проходите по ссылкам в SMS или Messenger, даже если они кажутся похожими на реальные. Откройте приложение и следуйте инструкции на экране или проверьте почту – все письма с предупреждением о взломах Facebook и Instagram присылают по email, на который зарегистрирован аккаунт (если только вы сами не включили в настройках дополнительные уведомления для других каналов).
Кстати, Instagram в сообщениях может присылать только код для двухфакторной аутентификации (а не всякие сбросы пароля в 4 утра).
Обратите внимание на почту, с которых вам прислали «сервисные письма». В них не должно быть набора цифр и сокращенных названий площадок. Например, Instagram отправляет все письма с почты security@mail.instagram.com. К тому же, можно легко проверить, какие именно письма вам присылала поддержка соцсети за последнее время, в самом приложении.
Обратите внимание на содержание сообщения. Например, если вы настроили дополнительные уведомления в Messenger, не попадитесь. Facebook предупреждает этим способом только о попытке вход (сообщение от Facebook Login Alerts с двумя кнопками), но не о возможной блокировке аккаунта по какой-то другой причине. И проверяйте ссылку по которой вам предлагают перейти: если домен не facebook.com, не переходите по ней, а если перешли – то ни в коем случае не вводите данные входа и сразу после подобного перехода смените пароль.
Пришло время разобрать на примерах. Вот какие подозрительные сообщения мы получили на прошлой неделе и что сделали для безопасности:
- Неожиданная ссылка для доступа в Instagram
Пароль никем не запрашивался, аккаунт работал в штатном режиме.
Что мы сделали:
- не прошли по ссылке (мало ли что);
- открыли приложение – все работает, никаких уведомлений о необходимости сбросить пароль;
- на всякий случай сменили пароль.
- Письмо от «поддержки» Facebook в Messenger
Пришло сообщение, в котором нас предупреждали о возможной блокировке страницы за необычную или незаконную деятельность. Угрожали удалением страницы, если мы ничего не предпримем.
Что мы сделали:
- проверили ссылку – много непонятных цифр, значит фейк;
- рискнули пройти по ссылке (но вы так лучше не делайте) – открылась страница, которая запрашивает повторную авторизацию;
- никаких паролей не вводили, вышли со страницы и пожаловались на сообщение в Messenger.
Если у вас так же – смело жалуйтесь и отправляйте письма в спам.
Итак, главное: если вас попытались взломать
Без паники, ни Instagram, ни Facebook не пропустят мошенников просто так.
- Обратите внимание на место уведомления. Если в приложении – все в порядке, если почта, проверяйте адрес отправителя, если ссылка в сообщении или Messenger – не оставляйте данные для входа в аккаунт по этой ссылке.
- Вошли в аккаунт, сбросив пароль? Самое время настроить двухфакторную аутентификацию (если не сделали раньше). Сначала в профилях Facebook и Instagram, а затем в Business Manager
- Проверьте авторизации и удалите все, кроме тех, которые настроили вы сами.
Готово! Мошенники вас не обманули ✅
Двухфакторная аутентификация не распространяется на описаный сразу ниже метод с приложениями.. А это сейчас самый популярный метод взлома и кражи аккаунтов.
Нажали войти через фб - никакой 2фа больше не поможет.
Facebook во всем показал себя не надёжным в 20/21 году. И самое главное не предсказуемым не только к взломам, но и собственным блокировкам.