Дедалі частіше зустрічаю в інтернеті обговорення на тему “Мене зламали. Help! Що робити?”. Зазвичай, це стається у найнеочікуваніший для людини момент. Чому це стається — окрема розмова. Поговоримо про те, що робити, коли ваш акаунт вже зламали. Кому телефонувати чи писати? Насправді, більшість кроків треба виконати самотужки. Які саме – розповім у цій статті.
Негайно оновіть паролі
І чим пошвидше. Після зламу час йде на лічені хвилини. Сам факт зламу означає, що ваш пароль вже скомпрометовано і зловмисники через нього отримали доступ.
Далі вони спробують піти по ланцюжку й використати той самий пароль до інших ваших сервісів, наприклад онлайн-банкінгу чи соцмереж. Тому, першим ділом, не задумуючись – негайно змінюйте усі паролі, які співпадають зі зламаним!
Ось чому, я повторюю — генеруйте різні паролі для різних своїх сервісів і акаунтів.
Online-генератори, які допоможуть створити надійний пароль:
- LastPass Password Generator
- Norton Password Generator
- Avast Password Generator
- Dashlane Password Generator
- ESET Password Generator
- Random Password Generator
Після цього рекомендую перевірити, наскільки він стійкий до зламу і чи, бувало, не має витоків.
Змініть дані в інших акаунтах
Негайно відв’язуйте від своїх інших акаунтів електронну адресу і номер телефону, а також будь-які інші дані, якщо вони були вказані в акаунті, який зламали.
Зловмисники спробують обов’язково скористатись цим й через них по ланюцжку далі отримувати доступи.
Ось чому, я кажу — використовуйте різні номери телефонів для віртуальних сервісів.
Змінивши, одразу вмикайте у своїх акаунтах двофакторну авторизацію (2FA/MFA/OTP), якщо це можливо.
Повідомте друзів та громадськість
Шахраї та зловмисники дуже бояться розкриття. Зателефонуйте своїм рідним та друзям і повідомте, що вас зламали. Зробіть допис у соціальних мережах і детально опишіть, що з вами відбулось. Можете звернутися до онлайн-спільнот, фахівців з кібербезпеки та журналістів і їм теж передати інформацію. Чим більше людей дізнається про кіберінцидент – тим більше буде шансів виявити та ліквідувати зловмисників. Можете також попросити знайомих, щоб вони прослідкували за діями вашого зламаного акаунта. Не забувайте усе документувати – це дуже важливо в процесі розслідування.
Зв’яжіться з технічною підтримкою сервісу
Негайно зв’яжіться з технічною підтримкою сервісу, у якому розміщено ваш акаунт. Одночасно з цим спробуйте виконати відновлення облікового запису, натиснувши при вході “Забув пароль”. Далі буде стандартна процедура відновлення, яка щоправда не завжди приводить до успіху — зловмисник за цей час вже міг підв’язати свої дані й включити двоетапну авторизацію.
Офіційні поради і документації по відновленню акаунтів в популярних сервісах:
- Як захистити зламаний акаунт Google
- Зламані облікові записи в Instagram, Служба підтримки Instagram
- Що робити якщо ваш Twitter-профіль зламано?, Форми зв’язку Twitter
- Зламані облікові записи в Facebook, Служба підтримки Facebook
- Безпека акаунтів в TikTok
- Служба підтримки Telegram
- Служба підтримки Linkedin
Зверніться у службу реагування на інциденти
Першим ділом, зверніться у локальні служби, наприклад місцевий відділ поліції.
Паралельно надішліть запит онлайн у державні центри реагування на кіберзлочинність:
Якомога детальніше опишіть усе, що пов’язано з інцидентом. Від цього залежатиме оперативність виконання.
Якщо Вам надали якісь поради, які не взмозі виконати, або бачите, що вирішення немає, а час спливає— звертайтесь до міжнародних центрів реагування на кіберінциденти (CSIRT/CERT):
- EUROPOL Cybersecurity Incident Report
- Microsoft Issue Report
- UK National Cyber Security Centre
- IE National Cyber Security Centre
- Australlian Cyber Security Centre
- Federal Report Fraud
- CISA Report
- US Federal Bureu Investigation
- Internet Watch Foundation Report
- CERT-PL
- Cybercrime Africa
Ці команди не обов’язково одразу проводитимуть розслідування по вашому запиту, але вони зареєструють його і занесуть в базу даних інцидентів, що є важливо для запобігання майбутніх зламів.
Видаліть сторонні інтеграції в акаунті Google
Що робити, якщо отримали доступ і відновили акаунт? Не варто радіти і гаяти часу, адже злам може повторитися. Варто провести ретельний аудит безпеки і виконати наступні дії:
- Відв’язати усі додатки і авторизації від свого акаунта (oAuth і т.д.)
До прикладу, в акаунті Google це робиться на сторінці myaccount.google.com через меню Data & pricacy -> Apps and services -> Third party apps:
Через ці додатки зловмисник може регулярно синхронізуватись з вашим акаунтом, збирати дані про вас та використовувати у своїх цілях. Натисніть “Revoke Access” для кожного несанкціонованого додатка:
Також вимкніть позначку “Signinng with Google” (вхід в акаунти через обліковий запис Google):
Тепер поверніться назад в меню Security і знайдіть блок Signing in to Google -> Apps passwords. Увімкніть 2-факторну авторизацію (2-Step Verification) та скасуйте усі додатки, які за окремо наданими паролями отримують доступ до вашого акаунту:
2. Відв’язати несанкціоновані пристрої, з якими синхронізується акаунт та скасуйте сесії
Знову ж таки, на прикладі акаунту Google це робиться на сторінці myaccount.google.com через меню Security -> Your devices:
Натисніть на позначці “Manage all devices” та видаліть синхронізацію з підозрілими пристроями і скасуйте активні сесії (сеанси):
3. Додайте резервні email-адреси для відновлення та контакту
3. Вимкнути віддалений доступ по POP/SMTP/IMAP
Зловмисник міг активувати доступ до вашого акаунту по протоколам електронної пошти. Перейдіть у свій поштовий ящик, наприклад GMAIL, та у налаштуваннях Settings вимкніть опцію “Forwarding and POP/IMAP”:
У подальшому притримуйтесь основних правил безпеки в інтернеті.
Автор: © Konrad Ravenstone, KR. Laboratories Research
