10 советов, как обезопасить себя и клиентов от мошенников
«Да я точно не поведусь», – говорил каждый из нас, когда слышал о новой схеме мошенников. Но, поверьте, среди ваших друзей точно есть те, кто однажды просчитался.
Фишинговые атаки остаются наиболее распространенным способом кражи личных данных или денежных средств. За 2024 год Роскомнадзор ограничил доступ к 69 900 фишинговых сайтов на основании решений судов и требований Генпрокуратуры. Кроме того, вредят они не только обычным пользователям, но и компаниям.
Под угрозой может оказаться каждый, и недавний взлом Ozon (коллеги, сочувствуем) – яркое тому подтверждение. В таких случаях страдает и организация, и ее клиенты. А по данным исследования от социальной сети Одноклассники и сервиса Работа.ру 62% атак приходятся на соцсети. Банковские приложения занимают второе место, а мессенджеры – третье.
Поэтому, если вы не хотите, чтобы ваш бренд пострадал, пора действовать! Не надейтесь на «авось» – тут нужна четкая и продуманная защита.
Сегодня мы поделимся конкретными шагами, которые помогут вам уберечь аккаунты клиента от взлома, а подписчиков бренда – от незамысловатых мошеннических схем. Никакой воды, только полезный алгоритм действий.
Двухфакторная аутентификация – ваш щит
Прежде чем выдавать сотруднику админский доступ к социальным сетям, сделайте одно простое, но критически важное действие – попросите его включить двухфакторку. Это как закрыть дверь на два оборота – даже если пароль попадет в чужие руки, без кода в аккаунт войти не получится, а вы тут же получите уведомление и сможете предотвратить ситуацию.
Доступ – только по делу
Запомните: нельзя раздавать доступ всем подряд. Его должны иметь только люди, непосредственно работающие с социальными сетями бренда. И даже в этом случае контролируйте их активность в аккаунте. Если увидите что-то нетипичное, незамедлительно принимайте меры.
Пароль важно менять время от времени
И не только регулярно ставить новый пароль в аккаунте бренда, но и просить это делать своих сотрудников на личных страницах, если доступ к администрированию идет через них. Используйте генераторы паролей, чтобы сэкономить время. В отдельных случаях настройте ОТР – одноразовый пароль. В зависимости от типа он также может быть ограничен по времени. Данный метод послужит дополнительной защитой от попыток взлома рабочих учетных записей.
Подрядчики вышли – меняем все пароли
Даже если ваши партнеры поклялись выйти из аккаунтов, не верьте им на слово, а сразу меняйте доступы, как только сотрудничество подошло к концу. Это не недоверие, а элементарная предусмотрительность. По статистике каждая пятая утечка связана с человеческим фактором, как случайным, так и умышленным. Один из ярких примеров – кейс Яндекс.Еды. В 2022 году по вине недобросовестного сотрудника в сеть попали данные более 100 тысяч пользователей. В мировой практике в аналогичной ситуации оказались Tesla и Microsoft. В первом случае была спланированная инсайдерская атака двух бывших коллег, а во втором – ошибка при работе с внутренней системой.
Настройте уведомления
Банально, но фундаментально. Так вы будете сразу же знать, если кто-то попытается зайти в аккаунт без вашего разрешения.
Надежность во всем
Не работайте с сомнительных компьютеров или общих сетей, подключайтесь к проверенным и защищенным сетям Wi-Fi. Использование открытых или плохо защищенных беспроводных сетей может привести к перехвату передаваемой информации злоумышленниками. Но такое может произойти и внутри системы, кейс CLOUD Act – наглядный пример. С 2018 года американские спецслужбы имеют прямой доступ к данным пользователей сервисов Google, Microsoft и Apple. Теперь физическое расположение данных в другой стране не преграда. В данной ситуации сохранность коммерческих данных Google Drive, iCloud и OneDrive, Dropbox уходит на дальний план.
Заведите отдельную почту
Отделите рабочую почту для доступа к соцсетям от личной. Так вы снизите риск взлома, если личная почта окажется под угрозой. Но так как и корпоративная почта может попасть под прицел злоумышленников, настройте защиту по рекомендациям вашего почтового сервиса. Как минимум, задайте резервный имейл, с помощью которого вы сможете восстановить утерянный доступ, или укажите рабочий номер телефона.
Обучайте команду
Проведите короткий тренинг, объясните, как распознавать мошенничество и какие меры предосторожности нужно соблюдать. Не пренебрегайте повторением и актуализацией информации. Каждый год появляются новые схемы, и современный темп требует активных действий. Существует немало форматов, которыми можно заменить обычную лекцию: квизы, викторины или игровые симуляции киберугроз (в том числе с применением ИИ).
Создайте код для команды
Кибермошенники научились с помощью ИИ создавать не только лицо, но и генерировать голос, включая интонации. Поэтому введите в рабочей группе кодовое слово, которое члены команды смогут запрашивать при возникновении подозрений.
Проверка команды
Принцип «доверяй, но проверяй» способствует созданию культуры ответственности и повышает осведомленность сотрудников о возможных угрозах. Контроль переписки, особенно с конкурентами, – важная мера для защиты информации. Мониторинг мессенджеров, почты и ключевых слов, связанных с интеллектуальной собственностью, помогает предотвратить утечку данных. В настоящее время существуют различные программы DLP-систем (Data Leak Prevention). Они служат барьером для передачи файлов и иной информации за нежелаемые пределы конфиденциальности. Кроме того, система контролирует входящие данные, например, с внешних USB-носителей в целях защиты от заражения корпоративного ПО. О любой угрозе можно узнать с помощью уведомлений. И это лишь малая часть работы автоматических систем безопасности.
Напоминаем, что осуществление контроля передаваемой информации с помощью корпоративных инструментов возможно только с письменным согласием сотрудников при приеме на работу. Это также может быть дополнительное соглашение и/или NDA. Но без официальных документов любое вторжение в переписку и иные средства связи считается нарушением законодательства и уголовно наказуемо.