Эта статья спасет вас, как от попыток взлома, так и от неприятных случаев, когда по вашей вине или умыслу конкурентов ваш аккаунт может пострадать или оказаться заблокированным.
Буду оптимистом и скажу, что сработает в 99,9% случаев. Всегда есть 0,1% шанс на уязвимость о которой еще никто не знает 😅
Часть мер может показаться избыточными т.к. задача была сделать эту статью полным сборником, а не очередной парой приемов для новичков.
Я разбил руководство на две части, которые сильно отличаются друг от друга по характеру применения.
⚡️ Первая статья посвящена настройкам безопасности, которые необходимо соблюдать, чтобы не допустить потерю контроля над аккаунтом.
⚡️ Вторая статья рассказывает о том, как противостоять атакам с целью блокировки аккаунта или подрыва деятельности.
Содержание первой части ( чтобы не тратить время впустую, если все и так знакомо. Ценю ваше время - надеюсь, что это взаимно 🤝)
◼️ Вводная информация
◼️ Безопасность смартфона и ПК
▪️ ▪️ Антивирус
▪️ ▪️ Фишинг
▪️ ▪️ Социальная инженерия
▪️ ▪️ Сопряженные сервисы
◼️ Публичные рег.данные и почему это важно
◼️ Электронная почта
Соц. сети
◼️ Двухфакторная аутентификация
◼️ Проверка авторизированных приложений и активных сессий
◼️ Скрытый функционал управления связанных страниц
🔲 Вводная информация🔲
Безопасность вашего Instagram это не только меры внутри самой соц.сети, но и совокупность мер для всех связанных с ним ресурсов.
- Смартфон + компьютер/ноутбук
- Электронная почта ( на которую зарегистрирован аккаунт)
- Facebook ( + ресурсы к которым он привязан )
- сам Instagram аккаунт
🔲 Смартфон + компьютер/ноутбук 🔲
Не лишним будет на всех устройствах, через которые вы входите в соц.сети или электронную почту, использовать антивирусы и быть внимательными на предмет фишинга.
Фи́шинг — вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей — логинам и паролям.
Дословный перевод с английского означает рыбалку 😆 и это не спроста)
В интернете огромное количество сайтов, которые выдают себя за знакомые нам сервисы.
Очень популярны сценарии, когда на электронную почту приходят оповещения от служб безопасности / администрации с требованием подтвердить аккаунт/личность владельца. При этом они оставляют ссылки на фишинговые сайты, перехватывающие пароли.
Любопытно. В веб версии инстаграм (войдя через компьютер) в настройках можно увидеть раздел "Электронные письма от Instagram". Тут отображаются реальные сообщения, которые присылает вам соц.сеть.
По части кражи паролей социальная инженерия так же не отстает от спам-рассылок 🤦🏻♂️ но она куда изощреннее)
Уверен, что вам уже звонили из "Сбербанка" с рассказом о том, что кто-то пытается перевести средства с вашей карты) и для многих самый первый звонок, возможно, был пугающим😬
(Если не звонили, то почитайте рассказы в сети =) звонят якобы из Сбербанка, а в итоге, запудрив голову, просят данные карты =) )
А что, если вам сейчас позвонит человек(или робот) с американского номера и с акцентом начнет говорить, что он представитель Facebook/Instagram и что ваш аккаунт подвергается SPAM-атаке и будет заблокирован, если вы не пройдете верификацию? 🤔
Как ее пройти? Сейчас вам отправят ссылку через смс на служебную страницу Facebook, где вы проверите данные/войдете в сервис итд итп... Потеряете ли вы бдительность? 🤔 Многие потеряют) и таких сценариев можно придумать массу😬
Антивирус здесь не поможет - вы же сами передаете данные своего аккаунта в чужие руки🤷🏻♂️
Антивирус для наших целей это скорее "страховка" от программ-шпионов, которые могут перехватить пароли или вытащить их из памяти вашего компьютера.
Сопряженные сервисы
под этим термином я подразумеваю все сайты и приложения, которые используют данные для входа в ваш аккаунт в Ig / Fb / почту.
Как и в случае с фишингом - используйте кнопку для быстрого входа только, когда вы 100% уверены и доверяете сайту.
По части IG многие приложения на телефоне, предоставляющие расширенную аналитику по подписчикам, пишут о том, что не используют и не хранят данные для входа.
Не берусь судить о всех, но есть одно большое НО. Данные они может быть и не берут, но очень вероятно, что используют аккаунт для парсинга ( отслеживания изменений) в нем самом. На программном уровне это выражается в том, что от вашего имени идут запросы к серверу Instagram определенного характера и частоты.
Примерно такой типовой диалог:
- Эй, база данных, скажи мне кто мои подписчики?
- Вот список 200 человек ( да-да, всех сразу она не покажет xD )
- Хочу еще !
и так по кругу...😬
Если аккаунт будет делать это слишком часто, то инстаграм вполне может посчитать его ботом или что какой-то недобросовестный сервис получил доступ к паролю. В результате блокировка; ограничение действий; требование подтвердить аккаунт, - зависит от везения, степени вины, количества прошлых грехов😇
С этим лучше работать осторожно, оценивая на сколько нужно использовать тот или иной функционал, если его нет в самой соц.сети. И можно ли, не подставляя основой аккаунт, добиться тех же результатов?
Подводя итог по этому разделу, добавлю очевидное: не теряйте телефон или компьютер, особенно, когда они без пароля)))
И, кстати, не подключайтесь через WiFi к незнакомым публичным сетям - данные, которые вы передаете могут быть перехвачены😕
🔲 Публичные регистрационные данные и почему это важно 🔲
Сейчас речь пойдет именно о регистрационных, а не контактных данных вашего аккаунта. Та электронная почта и номер телефона, который вы используете, чтобы войти в соц.сеть (если не делаете это набрав просто логин) и куда вам приходят смс и уведомления.
Найти их не сложно. Изменить, при желании, так же не составит труда.
Переходим на наш профиль жмем "редактировать профиль" и листаем вниз. Тут есть минимум 2 варианта, как это выглядит ( интерфейс инсты может отличаться в зависимости от личной версии приложения и операционной системы)
Обращаю внимание, что есть пункт "Способы связи", который по-умолчанию заполняется теми данными, которые вы использовали при создании аккаунта / переводе его в бизнес-профиль.
В идеале контакты в способах связи НЕ ДОЛЖНЫ совпадать с регистрационными данными. Если есть возможность использовать разные данные в этих разделах - воспользуйтесь.
Обязательно используйте в регистрационных данных и почту и телефон!
только убедитесь, что номер телефона и адрес электронной почты указаны верно 😉
Наличие обоих способов связи увеличивает доверие со стороны соц.сети к вашей персоне / компании. В спорных случаях у вас будет больше шансов выйти сухими из воды ))
А вот если ваша электронная почта указана в контактах и ее видят все, то ее вполне могут использовать как для рассылки фишинговых писем, так и для банальных попыток взломать почту подбором простых паролей или более сложными методами.
🔲 Электронная почта 🔲
Очередной банальный, но важный раздел.
1. Не забывайте пароль от вашей почты
Приятно бывать в роли Капитана Очевидности)) Если уже забыли - создайте новую и привяжите инстаграм к ней🤷🏻♂️ НО! Постарайтесь при этом восстановить старую. Это важно и об этом я расскажу еще далее.
2. Вместо почты на mail выберите google
Mail признается одним из наименее надежных почтовых сервисов - это раз. На почтовые ящики @gmail.com от Google можно поставить двухфакторную аутентификацию (или, говоря проще, подтверждение входа по СМС коду. Уверен, что нет смысла писать об этой возможности подробнее, информация и так есть в открытом доступе ) - это два.
3. Не забывайте иногда бывать на своей почте))
На Mail после 3 месяцев неиспользования почтовый ящик блокируется, но его можно будет восстановить в течении следующих 3 месяцев. Затем ящик удаляется. Итого: 6 месяцев.
На Яндекс срок удаления неактивного ящика составляет - 24 месяца. Восстановлению уже не подлежит.
На Google всё хитрее. В правилах явно не указаны сроки, но есть туманное обозначение периода неактивости словом "давно". Сколько давно? Кто-то говорит о 6 месяцах, кто-то о 12. Иные пишут, что по 5 лет не заходят, а ящики все еще живы)
Впрочем, все эти сроки могли уже поменяться, как в меньшую так и в большую сторону. Просто не забывайте бывать на своей почте)
Отдельный совет: если вашу почту можно восстановить(точнее угнать), ответив на секретный вопрос, то рекомендую ответ на него делать нелогичным.
Речь о той же социальной инженерии, когда у вас могут вытащить такие данные незаметно. Например, вы скажете девичью фамилию вашей матери(популярный вопрос, который выбирают на восстановление пароля xD ).
Но если, регистрируя почту, на этот вопрос верным вы написали совсем другой ответ - например день рождения отца, то подобрать его через социальную инженерию будет гораздо сложнее))
🔲 Социальные сети 🔲
И Фэйсбук и Инстаграм в разделе Настройки -> Безопасность содержат пункт про двухфакторную аутентификацию (если научитесь говорить эту фразу быстро и не запинаясь, то люди станут считать вас ведьмой или колдуном 😈 😁)
Суть метода в том, чтобы при входе с нового незнакомого устройства вы получали код (через смс или специальное приложение). Такой дополнительный одноразовый пароль =)
Аутентификация вообще это процедура проверки подлинности)
Кроме классического и привычного смс есть вариант установить и использовать специальное приложение для аутентификации. Процесс более запутанный, чем просто получить смс на свой номер телефона)) отличия не велики т.к. в итоге вы все-равно будете получать одноразовый код для входа, но теперь через специализированное приложение🤷🏻♂️
Любопытно. А вот в середине 2019 выбор именно в пользу приложения мог спасти ваш аккаунт от взлома) дело в том, что смс-код, который отправлял инсаграм тогда действовал продолжительное время и не переставал быть актуальным, если при входе его вводили неправильно. Таким образом, пытливые умы, заметив эту особенность, создали скрипт, который быстро перебирал комбинации цифр и позволял войти в аккаунт не смотря на включенное подтверждение по смс )
🔲 Проверка авторизированных приложений и активных сессий 🔲
Сейчас вам предстоит погрузиться в тёмное прошлое вашего аккаунта))
У многих из нас особенно за долгие годы бытия в соц.сетях были входы с разных устройств, порой какие-то сомнительные и не очень приложения. И настало время покопаться в этом "грязном белье" и отправить его в стирку))
Начинаем с Instagram : Настройки - Безопасность - Приложения и сайты.
Либо через ПК: Настройки - Приложения и сайты.
Мне редко доводилось увидеть здесь что-то интересное / подозрительное, но этот раздел стоит проверить))
А вот дальше более актуальный раздел:
(в приложении) Настройки - Безопасность - Входы в аккаунт
(или на ПК) Настройки - Входы в аккаунт
Здесь уже перед нами будет список геолокаций на основе ip адреса и устройств через которые совершался вход в ваш аккаунт)
Если вы ничем и никогда не пользовались, то тут должно быть относительно чисто) впрочем - все сомнительные входы можно деактивировать нажав "Это не я" наверху или выбрав 3 точки справа от информации в списке ниже(а затем "Выход" как на правом скрине).
Аналогичным образом в настройках Facebook проверяем кому мы передали права и с каких устройств / ip адресов входили.
Плюс переходим в гугл-аккаунт, если вы используете почту гугла и можем тут так же посмотреть наличие подозрительных входов или критических ошибок) при этом гугл мониторит ситуацию и с другими паролями, которые вы могли связать с какими-либо сервисами.
🔲 Скрытый функционал управления связанных страниц 🔲
Пожалуй "скрытый" это немного преувеличение, но про него мало кто задумывается и мало кто знает, потому назовем его таковым)
Когда мы переводим страницу Instagram в бизнес-аккаунт или аккаунт автора, то нам необходимо создать страницу Facebook (этот шаг можно и пропустить, но если вам будет нужна таргетированная реклама, то без него не обойтись и страницу рано или поздно вы создадите =) )
К слову, связывать аккаунт Ig и Fb стоит. Это дает дополнительное доверие со стороны соц.сети.
Однако, если вы потом в вашей бизнес-странице Facebook подключили Instagram, то возможно настроили и вкладку "Входящие"
По-умолчанию там будут только сообщения адресованные вашей бизнес-странице Facebook, но можно добавить Instagram, тогда перед вами будут все сообщения из Direct-a и комментарии к постам😉
Если у вас когда-то был SMMщик или таргетолог, вполне возможно, что у него сохранился доступ к этому разделу) так что порой проверяйте такие мелочи, если не хотите, чтобы кто-то мог посмотреть переписку или вести ее самостоятельно от вашего имени😅
Почему это важно?) потому, что в директе вполне можно наломать дров из-за которых на профиль отправят жалобу и потом заблокируют =/
Вообще функция Входящих сообщений имеет много плюсов(частично они потеряли актуальность, как только появился direct в веб версии), но о них поговорим отдельно 😇
Вторая часть руководства по ссылке )
________________________________________
Первый раз в блоге ?
Я пишу про маркетинг и работу над продвижением бизнеса в Instagram Посмотри вот этот пост, чтобы увидеть список всех статей, которые я опубликовал и найти то, что будет тебе полезно👍
