Продолжите бесплатное чтение этой и других статей после простой регистрации на сайте

Я уже зарегистрирован:


Я не помню пароль

Я ещё не зарегистрирован:

Безопасность учетных данных: как защитить аккаунт компании от взлома и кражи наемными специалистами

Скачать статью в PDF
Распечатать

По данным компании ESET, международного разработчика антивирусных решений, около 60 процентов пользователей Интернета как минимум однажды теряли доступ к своему аккаунту в социальной сети вследствие действий злоумышленников. Количество пользователей Рунета, которые теряли доступ к какой-либо иной учетной записи (электронная почта, доступ к банковскому счету, сайт, аккаунт на форуме или портале и т.д.), еще больше.

Потеря рабочего аккаунта – это риск для репутации, потеря коммерческой выгоды от остановки лидогенерации из одного канала (иногда существенного по обороту), а также дополнительные затраты на восстановление работоспособности потерянного канала продвижения. Поэтому любая учетная запись, связанная с продвижением вашего салона и коммуникацией с клиентами, должна быть защищена от взлома.

Каким способом обычно злоумышленники получают доступ к данным вашего аккаунта?

  • Фейковые письма/сайты, которые похожи на официальные и запрашивают ваш логин и пароль.
  • Вирус, который попадает на компьютер/телефон и крадет пароль в момент ввода или из памяти компьютера/телефона.
  • Подбор паролей с помощью специального ПО.

Кто и для чего может взломать ваш аккаунт?

  • Мошенники, которые требуют деньги за возврат аккаунта.
  • Мошенники и профессиональные хакеры, которые взламывают «на заказ» (заказ может идти от конкурентов, обиженных клиентов и т.д.).
  • Профессиональные хакеры, которые используют чужие активные профили для иных целей (например, продажа крупного блога с аудиторией, использование рекламной кампании для рекламы несанкционированных товаров, профиля для пропаганды и т.д.).
  • Профессионалы, которым нужны данные, получаемые вами на той или иной площадке в Интернете.

От профессионалов, которые работают на черный рынок несанкционированных товаров или на крупные структуры, в том числе государственные, вы не сможете защититься, поскольку их техники сложные, с которыми не всегда могут справиться даже другие профессионалы. Техники их взлома гораздо сложнее, чем подбор пароля и рассылка вам вредоносных программ. Однако вероятность попасть на такой взлом не так велика.

Wella Professionals

Гораздо чаще владельцы аккаунтов сталкиваются с простыми взломщиками первых категорий, которые используют как раз техники подбора паролей, имитаций ваших действий, манипулятивные техники (типа отсылки вам писем от имени администрации социальных сетей) и т.д. И от них можно полностью защититься, следуя следующим правилам безопасности.

Стандартные правила безопасности

  1. Пароль от учетной записи должен состоять не менее чем из девяти символов: буквы разного регистра, спецсимволы, цифры. Пароли не должны повторяться, не должны содержать реальные слова и не должны быть никак связаны с общедоступной информацией о вас (день рождения (ваш или родственников) и т.д.). Такой пароль невозможно взломать ресурсами стандартного домашнего компьютера.

  2. Если у вас не хватает фантазии, воспользуйтесь онлайн-генератором паролей: http://www.onlinepasswordgenerator.ru/
  3. Заведите отдельный номер телефона, к которому будут привязаны ваши учетные записи. Этот номер телефона должен быть известен только вам, вы не должны использовать его ни при каких-либо еще регистрациях, ни при оформлении каких бы то ни было документов (чтобы он не попал в базы).
  4. Включите двойную аутентификацию там, где есть такая возможность.
  5. По аналогии с секретным номером телефона заведите секретный e-mail. Именно к этой почте следует привязывать все ваши учетные записи.

    Примечание: в последнее время российский сервис Mail.ru имеет проблемы с безопасностью аккаунтов своих пользователей. Из популярных сервисов предпочтительнее использовать Yandex.Почта и Gmail. Если вас очень интересует конфиденциальность переписки, стоит взглянуть на альтернативные сервисы, например Protonmail.com.
  6. Ответ на секретный вопрос – это, по сути, такой же пароль. Поэтому и взламывается он так же, как и пароль, и защищенным он будет только в том случае, если соответствует всем тем же требованиям, что и пароль.
  7. Не сохраняйте пароли в браузере. Не храните пароли в компьютере или телефоне в электронном виде. Лучшее место хранения – в вашей голове. Второе хорошее место – листок бумаги, но не обычный, а тот, который никогда не попадет в руки других людей. А если и попадет, то они не смогут понять, к чему эти пароли. Например, просто написанные пароли, без их связи с учетными записями.
  8. Телефон, на котором выполнен вход в ваши учетные записи, должен быть запаролен.
  9. Компьютер, на котором есть доступ в ваши учетные записи, также должен быть запаролен. Если компьютером пользуетесь не только вы, заведите отдельную учетную запись на самом компьютере и запарольте ее.
  10. Установите антивирус на ваш компьютер (примечание: лучше использовать платные версии антивирусов, так как бесплатные могут пропустить часть угроз; потратьте пару тысяч рублей в год на безопасность и установку серьезных антивирусов типа ESET, Kaspresky, Norton, Bitdefender и т.д.). Кстати, ведущие антивирусные компании за скромную доплату предлагают менеджеры паролей. Плюс у них, как правило, есть версии для защиты смартфонов.
  11. Кроме этого, не игнорируйте актуальные правила безопасности:
    • не открывайте сомнительные ссылки и не скачивайте материалы от незнакомых людей;
    • избегайте пользования сайтами с отсутствующим/недоверенным сертификатом (в адресной строке браузера не будет зеленого или просто закрытого замочка или будет сообщение о проблемах с безопасностью);
    • не запускайте неизвестные программы на компьютере;
    • не передавайте логин и пароль другим людям, даже если они представляются администрацией интернет-сервисов;
    • если вы попадаете на страницу с формой запроса логина и пароля от вашей учетной записи, проверьте, что url-адрес страницы соответствует официальной (что это точно instagram.com, а не 1com, instagam.com или instagram.info);
    • если вы получаете письмо от имени администрации сервиса, где расположена ваша учетная запись, проверьте, что отправитель – действительно администрация сервиса, а не мошенники (проверьте написание, напишите сами в техподдержку сервиса и т.д.).

Если вы потеряли телефон, на котором выполнен вход в рабочие учетные записи, то ваши действия:

BeautyLIZER
  1. Удаленно сделайте сброс настроек вашего телефона и удалите с него все данные, если это возможно на вашем устройстве. Проверьте и настройте эту возможность заранее:
    • для Android https://support.google.com/accounts/answer/6160491
    • для iPhone через iCloud; нюансы удаленной блокировки и удаленных данных описаны, например, здесь: https://inewscast.ru/instruktsii/chto-budet-esli-nazhat-steret-iphone-na-sayte-icloud/ и здесь https://iphonegeek.me/instructions/dlya-chajnikov/1059-ukrali-iphone-chto-delat-kuda-bezhat.html
  2. Если нет возможности удалить все данные с телефона удаленно, тут же меняйте все пароли на всех учетных записях.
  3. Если в потерянном телефоне была сим-карта с секретным номером, сразу же блокируйте его.

Примеры организации доступа сотрудников (SMM-специалиста, дизайнера, таргетолога и т.д.) к вашим учетным записям по разным каналам продвижения

Ключевое правило: никогда не передавайте ваш логин и пароль удаленному сотруднику, если у вас отсутствует с ним договор, где прописаны правила доступа в ваши учетные записи и оговорены полномочия. Доказать ваше владение аккаунтом и вернуть его в случае, если сотрудник окажется недобропорядочным и не захочет по каким-то причинам вернуть вам доступ или удалит важную информацию, будет крайне сложно. Например, Facebook, Instagram и WhatsApp принадлежат зарубежным компаниям. По внутренним правилам Сети вы сами ответственны за сохранность данных и владельцем аккаунта признается тот, кто имеет доступ к логину, паролю и привязанным к профилю телефону и почте. В случае утери доступа к аккаунту вашей компании максимум, что вы сможете сделать официально, – это добиться блокировки украденного аккаунта как дезинформирующего ваших клиентов.

Многие сервисы и социальные сети позволяют дать разрешение вашим сотрудникам управлять аккаунтом вашей компании (назначение администраторов, модераторов, редакторов ваших групп и сообществ, а также рекламных кабинетов) со своей учетной записи. При этом вы можете ограничивать уровень их прав, то есть разрешать или запрещать делать конкретные действия в аккаунте.

Также непрямой доступ сотрудника возможен опосредованно, через использование сторонних сервисов. Такие сервисы в большинстве своем платные, однако их стоимость невысока и однозначно стоит сохранения безопасности вашего аккаунта. Потери, которые понесет ваш проект в случае недобросовестного поведения удаленного сотрудника, будут в десятки раз выше стоимости сервисов, которые обеспечат вам безопасность.

  1. Сайты-конструкторы позволяют подключать сотрудника с разными уровнями доступа. Если же у вас сайт не на конструкторе, то ваши отношения с разработчиками также должны быть урегулированы договором, ведь код, который пишется сотрудником для сайта, а также дизайн сайта, текстовое наполнение и т.д. являются объектами авторского права и интеллектуальной собственности.

Добавление сотрудника для редактирования сайта на конструкторе Tilda

  1. Рекламные кабинеты в Яндекс.Директ, Google AdWords, а также аккаунты в Яндекс.Метрика, Google Analytics, Google.Tags дают возможность подключения сотрудника с разными правами доступа.

Добавление сотрудника для настройки рекламной кампании в Яндекс.Директ

  1. Группы и сообщества, а также рекламные кабинеты в «ВКонтакте», Facebook, «Одноклассниках» предоставляют вам возможность дать доступ вашему сотруднику, используя его учетную запись. В зависимости от уровней доступа сотрудник будет иметь разные ограничения в своих действиях, но он никогда не сможет удалить ваш аккаунт или получить доступ к вашей конфиденциальной информации (в частности, к секретному номеру телефона и почте).

  1. Аккаунт в Instagram не позволяет подключать сотрудников. Однако существует множество сторонних сервисов, с помощью которых возможно передать ключевые функции ведения аккаунта, не передавая логин и пароль от самого аккаунта:
    • постинг в ленту и Stories возможен через сервисы отложенного постинга: SMMplanner, SMMbox, Amplifr и другие. Вы создаете учетную запись, привязываете к ней свой аккаунт в Instagram и дальше или добавляете сотрудника, или передаете ему учетную запись от сервиса (даже в этом случае доступ к логину и пароль от Instagram не передается);
    • модерация комментариев возможна через сообщество вашей компании в Facebook. Для этого вам необходимо привязать Instagram-аккаунт к сообществу и дать сотруднику права администратора или модератора;
    • вести переписку в «Директе» вашего аккаунта в Instagram возможно также через сервисы Instamessage, Okogram, Directbulksender, Idirect и их аналоги. Такая же функция доступна в крупных CRM-системах (например, у Bitrix24 есть приложения с интеграцией с Instagram).

Внутренняя реклама в Instagram (продвижение постов) может быть настроена и запущена только через авторизацию в вашем профиле. Это можно обойти следующим образом.

Вариант 1: попросить вашего таргетолога расписать вам все шаги настройки (например, записать скринкаст) и выполнить настройку самостоятельно.

Вариант 2: запустить рекламу с рандомными настройками и тут же поставить ее на паузу. Таргетолог, имея доступ администратора к вашему рекламному кабинету в Facebook, через ваш рекламный кабинет сможет изменить параметры рекламы и перезапустить ее. Минус такого способа – необходимость Facebook перенастраивать свои механизмы и, как следствие, снижение ее эффективности.

  1. Доступ к чату с клиентом в мессенджерах (WhatsApp, Telegram, Viber, Яндекс.Диалоги и т.д.) также возможен через CRM-систему. Плюс этого метода также в возможности перенести функцию ответа на входящие сообщения на весь отдел продаж в целом, а не только на конкретного сотрудника.

Еще некоторые важные правила безопасности:

  1. Присутствуйте на максимальном количестве площадок в Сети. Даже если вашей целевой аудитории нет в какой-то социальной сети (на какой-то площадке) или у вас нет ресурсов на ее развитие, базовое оформление профиля вашей компании и фиксация вашего присутствия на нескольких площадках повысят вероятность, что часть клиентов вас найдет, если вы неожиданно пропадете из своего основного канала (например, ваш профиль в Instagram заблокируют).
  2. Обязательно читайте и знайте правила каналов продвижения, которые вы используете. Косметология, медицина, медицинское оборудование, лекарственные препараты и добавки – это ниши, которые имеют ограничения в рекламе на всех рекламных площадках. Ваш специалист по продвижению, безусловно, обязан их знать, но в случае если вы его непосредственный руководитель, то вы должны быть уверены, что действия сотрудника не приведут к блокировке аккаунта.
  3. В вопросах кибербезопасности лучше перестраховаться, чем потом сожалеть. Игнорирование базовых правил безопасности – это все равно что держать дверь в ваш дом нараспашку.
Поделитесь статьёй в социальных сетях:
Скачать статью в PDF
Распечатать