10 советов, как обезопасить себя и клиентов от мошенников
Фишинговые атаки остаются наиболее распространенным способом кражи личных данных или денежных средств. За 2024 год Роскомнадзор ограничил доступ почти к 70 тыс. фишинговых сайтов на основании решений судов и требований Генпрокуратуры. И вредят они не только обычным пользователям, но и компаниям.
Под угрозой может оказаться каждый, и недавний взлом Ozon (коллеги, сочувствуем) — яркое тому подтверждение. В таких случаях страдает и организация, и ее клиенты. А по данным исследования социальной сети «Одноклассники» и сервиса «Работа.ру», 62% атак приходятся на соцсети. Банковские приложения занимают второе место, а мессенджеры — третье.
Поэтому, если вы не хотите, чтобы ваш бренд пострадал, пора действовать. Не надейтесь на «авось» — тут нужна четкая и продуманная защита.
Агентство Blackline делится конкретными шагами, которые помогут вам уберечь аккаунты клиента от взлома, а подписчиков бренда — от мошеннических схем. Никакой воды, только полезный алгоритм действий.
Двухфакторная аутентификация — ваш щит
Прежде чем выдавать сотруднику доступ к социальным сетям, сделайте одно простое, но критически важное действие — попросите его включить двухфакторку. Это как закрыть дверь на два оборота. Даже если пароль попадет в чужие руки, без кода в аккаунт войти не получится, а вы тут же получите уведомление и сможете предотвратить взлом.
Доступ — только по делу
Запомните: нельзя раздавать доступ всем подряд. Его должны иметь только люди, непосредственно работающие с социальными сетями бренда. И даже в этом случае контролируйте их активность. Если заметите что-то нетипичное, незамедлительно принимайте меры.
Пароль важно менять время от времени
Регулярно обновляйте пароль в аккаунте бренда и просите делать это сотрудников на личных страницах, если доступ к администрированию идет через них. Используйте генераторы паролей, чтобы сэкономить время. В отдельных случаях настройте ОТР — одноразовый пароль. В зависимости от типа он также может быть ограничен по времени. Этот метод послужит дополнительной защитой от попыток взлома рабочих учетных записей.
Подрядчики уходят — меняем все пароли
Даже если партнеры поклялись выйти из аккаунтов, не верьте на слово. Меняйте доступы сразу после окончания сотрудничества. Это не недоверие, а элементарная предусмотрительность. По статистике, каждая пятая утечка связана с человеческим фактором — как случайным, так и умышленным. Один из ярких примеров — кейс «Яндекс.Еды». В 2022 году по вине недобросовестного сотрудника в сеть попали данные более 100 тысяч пользователей. В мировой практике в аналогичной ситуации оказались Tesla и Microsoft. В первом случае была спланированная инсайдерская атака двух бывших коллег, во втором — ошибка при работе с внутренней системой.
Настройте уведомления
Банально, но фундаментально. Так вы сразу узнаете, если кто-то попытается зайти в аккаунт без вашего разрешения.
Надежность во всем
Не работайте с сомнительных компьютеров и избегайте общих сетей. Подключайтесь только к проверенным и защищенным Wi-Fi. Использование открытых или плохо защищенных беспроводных сетей может привести к перехвату информации злоумышленниками. Но такое может произойти и внутри системы. Кейс CLOUD Act — наглядный пример. С 2018 года американские спецслужбы имеют прямой доступ к данным пользователей сервисов Google, Microsoft и Apple. Теперь физическое расположение данных в другой стране не преграда. В такой ситуации сохранность коммерческих данных в Google Drive, iCloud, OneDrive и Dropbox уходит на дальний план.
Заведите отдельную почту
Отделите рабочую почту для доступа к соцсетям от личной. Так вы снизите риск взлома, если личная почта окажется под угрозой. Но и корпоративная почта может попасть под прицел злоумышленников, поэтому настройте защиту по рекомендациям вашего почтового сервиса. Как минимум, задайте резервный имейл, с помощью которого сможете восстановить утерянный доступ, или укажите рабочий номер телефона.
Обучайте команду
Проведите короткий тренинг, объясните, как распознавать мошенничество и какие меры предосторожности соблюдать. Не пренебрегайте повторением и актуализацией информации. Каждый год появляются новые схемы, и современный темп требует активных действий. Существует немало форматов, которыми можно заменить обычную лекцию: квизы, викторины или игровые симуляции киберугроз, в том числе с применением ИИ.
Создайте код для команды
Кибермошенники научились с помощью ИИ создавать не только изображения, но и генерировать голос, копируя интонации. Поэтому введите в рабочей группе кодовое слово, которое члены команды смогут запрашивать при возникновении подозрений.
Проверка команды
Принцип «доверяй, но проверяй» повышает осведомленность сотрудников об угрозах. Контроль переписки и мониторинг мессенджеров помогают предотвратить утечку данных. Для этого существуют DLP-системы (Data Leak Prevention). Они служат барьером для передачи файлов за пределы компании и контролируют внешние носители, чтобы защитить ПО от заражения. О любой угрозе система оповестит вас уведомлением.
Напоминаем, что контроль передаваемой информации с помощью корпоративных инструментов возможен только с письменного согласия сотрудников при приеме на работу. Это также может быть дополнительное соглашение или NDA. Но без официальных документов любое вторжение в переписку и иные средства связи считается нарушением законодательства и уголовно наказуемо.
Если наш выпуск оказался полезным, ставьте лайки, подписывайтесь на наш подкаст, делитесь мыслями в комментариях и пересылайте коллегам. Для нас это очень важно! Blackline.