С каждым годом аудитория Steam увеличивается на десятки тысяч пользователей. Среди них большая часть обычных игроков, которые имеют на аккаунте десяток-другой игр, при этом играют преимущественно в CS:GO или Dota 2. Другие представители этой категории могут иметь намного больше игр, но в целом их аккаунты не предоставляют особой ценности.

Однако в Стим есть и такие пользователи, инвентари которых оцениваются приличными суммами. В основном это касается игроков тех же игр – Дота 2 и КС ГО. В инвентарях таких пользователей может лежать несколько ножей, дорогих скинов к оружию и крутых вещей к доте.

К, примеру, в Steam есть с полсотни пользователей, чей инвентарь стоит от 3 до 15 миллионов рублей.

Да это большие суммы и таким пользователей не очень-то и много, но ведь помимо их, например, есть тысячи инвентарей с полумиллионным инвентарём, сотни тысяч с балансами до 100 000 р. и т.д.

Короче, потенциальной роботы для мошенников просто завались.

Как взломать Steam? Как украсть аккаунт Стим?

И далее я опишу несколько схем, по которым могут действовать интернет-воры.

Стоит заметить, что целью настоящих мошенников являются аккаунты с дорогими инвентарями. Но также есть другие «школьники-подражатели», которые ради сотни рублей готовы потратить свое время на подобные манипуляции. Поэтому, если даже вы не обладатель дорогих вещей, стоит бережно относится к безопасности в Steam. Ведь кроме сворованного инвентаря эти школьники могут специально загнать ваш аккаунт и под VAC бан.

Фейковые страницы

Взломщики создают копию страниц Steam, пишут специальные скрипты размещают у себя на сервере. То есть они подделывают сайт Стима, однако одну вещь подделать нереально – адрес сайта.

Поэтому, когда вам пишут сообщения с подобным текстом:

«Смотри какая крутая игра сегодня бесплатна ссылка. Нажми «Играть» и она будет твоей. «

«Чекни какая красивая девушка с нашего города сидит в Steam ссылка»

«Добавь этого чувака ссылка в друзья! Он просто так игры друганам раздает, я уже получил.»

Сами ссылки будут иметь следующий вид:

Красным цветом я выделил те символы, которые в нашем случае были заменены. То есть вы поняли, точный адрес стима зарегистрировать нереально, поэтому мошенники используют очень-очень похожие.

Я часто встречал, что при таких манипуляциях могут применять адреса даже никак не похожие на оффициальные. Поэтому будьте очень внимательными, когда переходите по ссылкам.

И так, когда вы перейдете по такой ссылке то увидите точную копию сайта Steam и чтобы добавить игру в библиотеку или добавить в друзья пользователя (как у нас было в примере) нужно авторизоваться, то есть ввести логин и пароль.

Когда вы введете эти данные и нажмете на кнопку «Вход» то скрипт поддельного сайта перенаправит вас на официальный сайт Steam но при этом сохранит введенные вами данные.

Все, мошенник знает ваш логин и пароль.

Когда появились мобильные аутентификаторы, то после Входа выскакивает такое же поддельное окно, которое просит ввести код авторизации Steam Guard. Если жертва введет его, то помимо логина и пароль взломщик получит и рабочий код, благодаря которому он сможет зайти в аккаунт.

Восстановление доступа к вашему аккаунту

Мошенник находит подходящую жертву и смотрит ее список желаемого (список игр, которые хочет заполучить пользователь). Или же, чтобы был беспроигрышный вариант, сам спрашивает в пользователя название желаемой игры.

Далее взломщик обязательно добавляет жертву в друзья, и, когда заявка будет одобрена, начинают диалог. Более опытные мошенники разговор могут начать и через несколько недель «дружбы».

Ключевое сообщение выглядит примерно так:

«Привет. Я хочу предложить тебе обменять свои вещи из инвентаря на ключ от игры.»

При этом указывается название именно той игры, которую хочет получить жертва. Если в ответ дают согласие, то взломщику нужно будет реально найти (купить) рабочий ключ к данной игре.

Дале жертве предлагают совершить обмен с примерно такими условиями: я даю тебе ключ первым, но перед этим сделай скриншот своей библиотеки, чтобы я мог понять активировал ли ты игру или нет.

Пример звучит тупо, но мошенники могут использовать любые уловки, главное для их получить скриншот окна из клиента Steam.

Дело в том, что так они узнают реальный логин жертвы. Также будет видно и баланс аккаунта.

Далее взломщик отдает ключ жертве – если она активирует ключ и «кинет» взломщика, то последнему абсолютно будет пофиг, главное чтобы ключ был активирован. Если же жертва согласится завершить «честный» обмен, то это будет залогом беспроигрышной попытки развода (мошенник точно не понесет убытки). Стоит заметить, что стоимость игры и самого инвентаря может быть даже 10-20 рублей, это не играет роли.

Теперь, когда жертва активировала ключ мошенник смело идет открывать тикет в службе поддержки Steam на восстановление чужого аккаунта. Опять таки, взломщик может сделать небольшую выдержку, то есть начнет действовать через несколько дней после активацию ключа, чтобы быть менее подозрительным.

В заявке на восстановление аккаунта он указывает такие данные:

• Логин жертвы (узнает со скриншота).
• Свой почтовый ящик.
• По желанию может указать сумму, которая была на аккаунте (тоже видно на скрине).
• Квитанцию о покупке игры или фото диска. И да, мошенник может купить ключ игры в любом цифровом интернет-магазине и показать квитанцию об оплате. Но особенно эффективно работают фотографии, на котором изображены: сами диск с игрой и текстовый ключ напечатанный на вкладыше к компакт-диску – создается эффект, что он купил игру в магазине и диск с игрой находится у его.

После рассмотрения такой заявки примерно через 5-10 дней мошеннику пришлют новые данные от аккаунта Steam жертвы.

Вирусные программы

Я думаю каждый из пользователей стим наблюдал такую картину: в друзья добавляется неизвестный человек и после одобрения заявки он предлагает вам «золотые горы» за переход по ссылке.

Подобное могут предложить и ваши друзья в Steam – это значит, скорее всего, их уже взломали.

Сообщения могут выглядеть по-разному, ну например:

«Привет. Я участвую в конкурсе, за выигрыш дадут две игры, и мне не хватает пару голосов. Вот проголосуй тут ссылка за меня и я отдам тебе одну копию игры.»

«Слушай, у тебя есть один редкий предмет в инвентаре. Я готов купить его у тебя за N-суму денег. Правда я не знаю его название, вот он на скрноше ссылка.»

«Короче нашел дыру в рулетке, можно безпалевно поднять кучу скинов. Вот инструкция ссылка»

«Хочешь скачать взломанный стим с играми? Вот тут ссылка выложил несколько жирных аккаунтов.»

По ссылке вы попадаете на вирус/вредоносную программу, которая может передать данные взломщику или просто передаст все вещи жертвы на аккаунт мошенника.

Брут

Довольно старинный способ взлома чего-либо. Он, наверное, появился почти тогда же, когда в интернете начали использовать личные данные – логины и пароли.

Суть его работы в том, что зная логин конкретной жертвы можно подобрать пароль.

Список паролей также генерирует специальная програма, и такой список может вмещать тысячи вариантов. Кроме того, когда в мошенника нет четкой жертвы, то список логинов также может быть сгенерирован.

Как правило пароли в таких списках являются не сложными, так как для обхвата даже небольшой части реально сложных паролей нужны очень-очень крутые дорогостоящие вычислительные компьютеры.

Поэтому если жертвы будет использовать простенькие пароли, ее будет легко взломать. Примером простых паролей можно назвать:

• qwerty – последовательность символов на клавиатуре.
• 1q2w3e4r5t – тоже самое, только с двух рядков клавиш.
• 1234567 – последовательный набор чисел.
• roma1998 – имя и год рождения
• 044126 – короткий пароль исключительно с числами
• liliya – названия предметов, растений, имена и т.д.
• и в том же духе.

Вот примеры:

• 33Pc8Z3nMP
• ufkVKM25
• и т.д.

С приходом мобильных аутентификаторов способ стал полурабочий, однако выманить у вас временный код доступа также могут.

Мобильный аутентификатор

Да, с появление мобильных аутентификатором процесс махинаций стал намного сложнее, а некоторые манипуляция даже стали невозможными.

Однако взломщики могут заняться сменой повязанного номера мобильного телефона от Steam Guard.

Сделать это можно по-разному, я не мошенник и в этих делах не силен, однако могу привести несколько примеров:

• Психологически воздействовать на жертву (особенно если так подросток) и попросить перевязать аккаунт на ваш номер. Можно придумать какую-то хитрую историю, почему он это должен сделать и т.д.
• Можно обманом попросить оператора сотовой связи сделать дубликат сим-карты жертвы. Уверить их, что это вы владелец номера и потеряли свою симку.
• Можно попросить жертву за оплату протестировать ваше приложение, которое есть в Google Play и дать ссылку на ту программу, которая даст вам удаленный доступ к мобильному телефону жертвы.
• И я уже не говорю про тот случай, когда грабители вломились в квартиру к геймеру и требовали передать все ценные вещи из инвентаря на другой аккаунт.

Как видите, процесс потери аккаунта полностью зависит от вас, и только вы можете сами себя обезопасить. Да, некоторые способы уже полноценно не работают и не дают мошенникам полного доступа к управлению аккаунтом, например, передавать вещи, однако запустить с вашего аккаунта игру и включить чит они также могут, и это буде неприятно, для вас.

Очень часто в комментариях на нашем сайте встречается вопрос «Как обезопасить свой аккаунт на том или ином сайте от взлома?». Например, довольно часто нас спрашивают «Как защитить ВК от взлома?». Простого ответа на эти вопросы, к сожалению, нет. Однако мы можем предложить нашим читателям инструкцию, внимательно изучив которую, они смогут избежать потери личных данных.

Общие принципы защиты от взлома аккаунтов

• Самое главный принцип: используйте максимально сложный пароль;

• Меняйте пароли как можно чаще;

• Пароли всегда должны быть уникальными для разных сервисов и не повторяться с течением времени;

• Не используйте в качестве пароля свои персональные данные (ФИО, дата рождения) или логин;

• Не пренебрегайте функцией секретного вопроса. Ответ на него понадобится при потере доступа, если ваш аккаунт все же взломают;

• Никому не сообщайте пароли от аккаунтов;

• Не входите в Интернет-сервисы с чужих, особенно общедоступных компьютеров и устройств;

• Не используйте общественные точки доступа Wi-Fi, а если это все же необходимо, то подключайтесь к ним через VPN;

• Устанавливайте на компьютер только лицензионное программное обеспечение, позволяющее повысить безопасность серфинга в Интернете: антивирус с актуальными базами и файервол.

Как защитить аккаунты в Windows

С приходом нового поколения операционных систем Windows участились взломы персональных компьютеров. И это не удивительно: начиная с Windows 8 в систему можно войти с учетной записью Microsoft. Это довольно удобно, потому что в единой учётке сохраняется большая часть настроек пользователя, в том числе и документы. Таким образом, можно зайти на рабочий компьютер с использованием персонального логина и мгновенно получить свои «домашние» данные.

Но в простоте таится угроза: стоит злоумышленникам завладеть логином и паролем от учетной записи, как тут же они смогут воспользоваться вашими персональными документами. Как же обезопасить себя от этого? В Windows защитить аккаунты от взлома довольно просто – используйте локальную учетную запись. Да, это не так удобно, ведь рабочий стол и документы будут храниться только на одном устройстве, зато взломать Windows с помощью e-mail точно не получится.

Кстати, одним из самых главных правил безопасности является принцип неразмещения в свободном доступе почтового адреса, который является логином к какому-либо аккаунту.

Как защитить страницу в ВК от взлома

Главная российская социальная сеть помимо общих правил предлагает в официальной инструкции следующие нормы поведения, помогающие защитить ВКонтакте от взлома:

• Регистрировать учетную запись ВК рекомендуется только на новый почтовый ящик, который в дальнейшем не стоит использовать для других интернет-сервисов.

• Привяжите к аккаунту в социальной сети номер телефона и никому не сообщайте коды доступа из смс-сообщений.

• Не используйте расширения для браузеров или программы для компьютеров и смартфонов, которые предлагают расширить возможности ВК. В них могут содержаться вирусы и шпионские скрипты.

• ВКонтакте официально не рекомендует вступать в группы, которые предлагают что-либо бесплатно или по заниженной цене. Такие группы могут задействовать спам-переходы по расположенным в них ссылках, что приводит к краже паролей пользователей.

Как защитить аккаунт в Инстаграм

Рассмотрим специфические особенности защиты Инстаграма.

• Не рекомендуем пользоваться сайтами, которые позволяют работать с соц сетью через браузер. Такие сервисы помогают сохранять фотографии или автоматически комментировать и репостить новости. К услугам таких сайтов прибегают, когда хотят максимально быстро и не прилагая усилий раскрутить свой аккаунт. Да, это удобно, однако стоит ли доверять тому или иному сервису? Полученная от Вас информация вполне может быть использована в корыстных и мошеннических целях. В общем, советуем сто раз подумать, стоит ли отдавать учетные данные сторонним разработчикам.

• Сделайте свой профиль закрытым. Таким образом, Вы избавитесь от утечки информации.

• Не подписывайтесь на незнакомые аккаунты, особенно на пользователей, которые в подписи к профилю публикуют адреса неизвестных Вам сайтов. Вполне возможно, это ссылка-вирус.

Как защитить почту (защита Гугл аккаунта)

• Настройте и используйте в Гугл-почте двухфакторную аутентификацию (читайте статью в нашем блоге на эту тему);

• Не открывайте письма с подозрительной темой;

• Если в письмах от ваших друзей и коллег Вы видите подозрительные ссылки, не переходите по ним!

При соблюдении перечисленных выше правил Вы можете быть уверены, что ваши аккаунты полностью защищены от взлома.

Как вас атакуют

Итак, обо всем по порядку. Есть несколько самых распространенных вариантов атак:

Атаки на уровне ПО

Внедрение вредоносного ПО в систему пользователя или использование уязвимостей существующего ПО. Это до сих пор наиболее массовый и действенный способ взлома. Распространение антивирусов, встроенных фаерволов, принудительное включение UAC, автообновления, повышение общей безопасности ОС несколько улучшают ситуацию, но не могут на 100% защитить пользователей от их же необдуманных действий.

Пользователи все равно регулярно скачивают «крякнутое» ПО с «лечением» в комплекте. А в итоге получают вредоносный код, внедряющийся в соединение (уровень трафика) или в процесс (через известные уязвимости) и ворующий данные личных аккаунтов.

Ежедневно рассылаются миллионы электронных сообщений со ссылками на вредоносное ПО. Существующие антиспам решения довольно эффективны, но ни одно из них не обеспечивает полную защиту.

Атаки на уровне трафика

Cуществует два вида таких атак – в виде сниффера незащищенного трафика и в виде атак на защищенный трафик (man in the middle, MITM).

1. Этот способ взлома эффективнее первого, но сложнее в технической реализации, потому не стал таким массовым. В первую очередь из-за ограниченности территориальной – атака должна осуществляться непосредственно на входящее и исходящее соединение, а для этого нужно физически иметь к ним доступ.

Суть сниффера очень проста: весь проходящий через него трафик сканируется на наличие незашифрованных учетных данных, найденные учетки сохраняются и впоследствии используются злоумышленниками.

Этот вид атаки в большинстве случаев никак не заметен для пользователя. Однако он по-прежнему результативен, ведь многие популярные сервисы до сих пор передают пользовательские данные, сообщения и файлы в открытом виде. К примеру, ВКонтакте относительно недавно стала защищать свой траффик – до этого многие годы передача информации шла полностью в открытом виде – все сообщения, файлы, лайки и пароли были доступны любому желающему. Естественно, речь про те случаи, когда у злоумышленника есть физический доступ к передающей или принимающей инфраструктуре.

2. Второй способ заключается в том, что защищенное соединение происходит, но не между сертификатом пользователя и сертификатом сервера, а между злоумышленником и сервером (отсюда и название MITM — атака человек посередине). После внедрения «нужного» сертификата скомпроментированный трафик доступен хакеру в расшифрованном виде, что позволяет выделять и сохранять из него учетные данные.

Кстати, оба эти способа используются и на уровне ПО: когда вредоносное ПО подменяет сертификат либо локально работает программный сниффер.

Атаки на уровне пользователя

Приемы социальной инженерии, иначе говоря – умышленный обман пользователя с целью получения учетных данных. Жертва вводится в заблуждение при общении по интернет-каналам или телефону, после чего сама передает злоумышленнику все необходимое. Несмотря на большие трудозатраты такая атака очень эффективна для получения учетной записи конкретного пользователя.

Атака на уровне сервера (поставщика услуг)

Крайне редкий тип атаки. Теоретически она возможна, но на практике – огромная редкость. Здесь стоит развенчать популярный миф про «соцсеть взломали»: в такой ситуации взломали не соцсеть, а устройства конкретного пользователя. И, скорее всего, он сам же помог злоумышленнику в этом, а хакер использовал прием из пункта 1 или комбинацию приемов 1 и 3. Потому такого сценария, как «взломали соцсети», пользователю можно не опасаться, зато стоит быть внимательнее к собственным действиям.

Как понять, что был совершен взлом?

Чаще всего это становится ясно по результатам атаки, когда цель злоумышленников достигнута – пропали деньги со счета, «засыпало» спамом, кто-то изменил пароль от учетки. Другое дело, когда атака была успешно проведена, но преступники пока никак это не использовали. В случае атаки по сценарию 1, стоит проверить все устройства, с которых идет коммуникация качественными антивирусами (они анализируют не только ПО, но и исходящий траффик). Если антивирус не нашел подозрительной активности – остается надеяться, что так и есть.

Если антивирус обнаружил угрозу, он, конечно, ее нейтрализует, но не ответит, успела она отправить учетные данные, или еще нет. Кстати, порекомендую при обнаружении антивирусом угроз не полениться поискать ее описание и разобраться, чем она грозит – многие разработчики дают детальное описание по каждой «сработке».

Кроме антивируса есть профессиональные инструменты, которые используют ИБ-эксперты, но они довольно сложны, дороги и без профессионального обучения – бесполезны.

• В случае атаки с помощью сниффера траффика – к сожалению, постфактум ее никак не определить.

• В случае MITM нужно внимательно следить за сертификатами, которые используются для подключений к сайтам. По крайней мере, проверять сертификаты критичных ресурсов (например, при онлайн-оплате).

• В случае социальной инженерии остается быть бдительным и прекращать подозрительные контакты.

• Для четвертого вида атаки способов ее обнаружения нет — если она произошла, то в подавляющем большинстве случаев это утечка изнутри, а не взлом снаружи.

Как при взломе действовать юридически грамотно? Полиция поможет?

Да, это преступление и наказание предусмотрено законом. Есть масса тонкостей, которые невозможно охватить в одной статье. Основной момент – украдены просто личные данные или персональные, есть ли в деле финансовая составляющая, а также был ли факт публичного разглашения полученных сведений.

Дело в том, что персональные данные часто путают с личными, однако они определяются федеральным законом 152.

Простой пример: если злоумышленник получил серию и номер паспорта, то есть персональные данные – это серьезное правонарушение и регулируется ФЗ 152. Если хакер получил доступ к приватной переписке – ситуация, кончено, пикантная, но такие сведения не являются персональными данными.

Если вы обнаружили свои персональные данные в публичном доступе, то первым делом свяжитесь с администрацией ресурса, где они размещались. Ссылайтесь на закон «О персональных данных», который запрещает использование персданных без разрешения субъекта этих данных. Укажите, что в случае отказа вы обратитесь в суд. Чтобы убрать информацию из результатов поиска, нужно обратиться в техподдержку поискового сервиса и заполнить специальную форму.

Если определить источник распространения информации не удается или не получается связаться с ним напрямую, вы можете обратиться в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций или в прокуратуру.

Кроме ФЗ 152 привлечь к ответственности злоумышленников можно с помощью Кодекса об административных правонарушениях, Уголовного и Трудового кодекса. Ведь в зависимости от конкретной ситуации преступление может быть квалифицировано как неправомерный доступ к компьютерной информации, нарушение неприкосновенности частной жизни или нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах.

Крайне важно собрать максимально возможные доказательства – скриншоты, видеозаписи, описание ваших наблюдений – чем больше деталей, тем лучше. Если очевидно, что взломано конкретное устройство, прекратите любую активность на нем, выключите его — скорее всего, его придется на время отдать на экспертизу.

Что касается паролей, эксперты по безопасности говорят, что они должны быть сложными, с цифрами и вообще непохожи на слова. А сами эксперты могут запомнить такие пароли?

От перечисленных мной способов атак длинный пароль не спасет. Сложные пароли помогут только против брутфорса (brute force – атака с перебором паролей). Но на деле такая атака работает далеко не всегда и не для всего. Но в любом случае пароль стоит использовать длинный и сложный, хотя бы для защиты от того же brute force. И конечно, нужно регулярно менять все пароли.

Всем привет. Я менеджер по маркетингу Instagram-аналитики Picalytics и решила написать статью для маркетологов и владельцев бизнеса, потому что в своей работе несколько раз в неделю сталкиваюсь с банальным несоблюдением техники безопасности.

Предположим, вы потратили время и деньги на продвижение аккаунта, отстроили процесс продаж в direct-сообщениях и получили лояльных клиентов. Утром вы открываете Instagram, чтобы запустить промоакцию, и … не можете войти в свой аккаунт.

В этой статье вы узнаете о «профилактике» взлома и что делать, если аккаунт украли.

Как обычно угоняют аккаунт

Зарегистрироваться в Instagram можно через почту, Facebook или по номеру телефона. Имея доступ к вашему смартфону (а значит, и Facebook вместе с почтой) легко получить доступ ко всем привязанным к ним сервисам. Поэтому и воруют аккаунты через эти «точки входа».

Первым делом проверьте актуальность и безопасность привязанных к вашему аккаунту сервисов. Затем убедитесь, что вы не указали привязанную к аккаунту почту в способах связи.

И еще: вы же не храните доступы в Google Документе или заметках на смартфоне, правда?

Помимо воровства почты и телефона, самый распространенный вариант взлома — фишинг (получение доступов) аккаунта напрямую:

Клонированный фишинг

Это обычное копирование почты и официальных писем от Instagram. В этом случае злоумышленник отправляет письмо, внешне максимально похожее на письмо от Instagram — что по дизайну интерфейса, что по адресу отправителя.

На скринах ниже представлены примеры писем от Instagram.

Ролевой адрес может быть разным — внимание нужно обращать на доменное имя (часть после @).

Так выглядит письмо от мошенников.

Клонированный фишинг рассчитан на невнимательных людей и новичков среди администраторов аккаунтов. Поэтому смотрите в оба, когда переходите по неизвестным ссылкам.

Истории бизнеса и полезные фишки

Доступ через сторонние приложения и сервисы

Как правило, это фоторедакторы, автоматизация продвижения, автопостинг, веб-версии direct и так далее.

Фишинговые приложения не проходят проверку Google Play и AppStore. Подобные сервисы при регистрации запрашивают доступ к аккаунту либо имитируют авторизацию через Instagram.

Наш сервис не требует авторизации через Instagram. Тем не менее не стоит бояться авторизации в сторонних сервисах: некоторые опции невозможны без доступа к аккаунту.

Авторизация через Instagram происходит в новой вкладке на официальном сайте Instagram.

Чтобы проверить список приложений, у которых есть доступ к вашему аккаунту, зайдите в настройки приложения и нажмите «Управление доступом». Вы авторизировались в этих приложениях через Instagram и можете отозвать у них права доступа к вашему аккаунту.

Если вы потеряли смартфон или планшет с доступом к вашему аккаунту, как можно быстрее смените пароль от Instagram и привязанного к нему сервиса (почты или Facebook).

В большинстве случаев мелкие Instagram-аккаунты взламывают с целью продажи сторонним компаниям. В среднем такие «мертвые души» стоят $0,3-0,5.

По нашему опыту обращений в техподдержку Instagram связи между размером аккаунта (или рекламным бюджетом) и скоростью ответа нет.

Например, после крупной рекламной кампании мы увидели аккаунт-двойник, использующий наш товарный знак (а это серьезное нарушение) и написали в техподдержку. Ответа от Instagram нет уже три недели.

Но бывают исключения из правил.

Как вернуть аккаунт после взлома

Постарайтесь среагировать быстро. Если вы еще можете войти в аккаунт, смените пароль от аккаунта и от привязанных сервисов (почты и/или Facebook). После этого подключите двухфакторную аутентификацию.

Если вы больше не можете войти в аккаунт, попробуйте сбросить пароль через почту, Facebook или номер телефона. При успешном входе подключите двухфакторную аутентификацию.

Если при сбросе пароля вы не получаете уведомлений от Instagram и не можете войти через Facebook (в случае, если он был подключен), значит, ваш аккаунт был привязан к другой почте, а также отвязан от Facebook и номера телефона (в случае, если они были подключены).

В этом случае рекомендуем отправить запрос поддержке Instagram:

• Нажмите «Забыл пароль».
• Откройте страницу входа в аккаунт в мобильном приложении Instagram;
• Введите ник, почту и привязанный к аккаунту телефон.

Instagram может подставить в поле номера телефона номер SIM-карты, находящейся в телефоне в данный момент — это не всегда тот номер, который вы привязывали к аккаунту.

Кстати, magic link по SMS мы ни разу не получили, несмотря на то, что аккаунты были привязаны к номеру телефона.

Если на ваш адрес не пришло письмо или ваш ник был изменен*, повторите предыдущий пункт введя и ник и почту.

* Если вы больше не можете найти свой аккаунт по прежнему нику, поищите в почтовом ящике письма от Instagram. Если вы не получали никакой информации об изменении аккаунта, попросите знакомого узнать ваш актуальный никнейм через историю переписки в direct или по ранее оставленным от вашего имени комментариям.

Если удалось войти, смените пароль от аккаунта и от привязанных сервисов (почты и/или Facebook). После этого подключите двухфакторную аутентификацию.

Если не удалось войти:

1. На странице восстановления пароля нажмите «Нужна дополнительная помощь?» и введите всю запрашиваемую информацию. Поставьте галочку напротив «Мой аккаунт был взломан». Отправьте запрос и ожидайте ответ на указанную почту.

2. Если вы не получите ответ в течение нескольких суток, повторите запрос поставив галочку напротив «Я забыл почту, привязанную к моему аккаунту».

Что делать с ником после взлома?

Если вам удалось вернуть доступ к аккаунту, то вы можете изменить свой ник на любой свободный. В том числе на свой старый ник, если он был изменен.

В некоторых случаях условием восстановления доступа к аккаунту со стороны Instagram может быть смена ника. В этой ситуации рекомендуем использовать ник, максимально приближенный к прежнему: например, добавить точку или нижнее подчеркивание.

Если ваш аккаунт был удален, вы можете создать новый аккаунт с прежним электронным адресом, но использовать старое имя пользователя, скорее всего, не получится.

Что делать нельзя

1. Предлагать мошенникам вознаграждение или согласиться выкупить аккаунт обратно. Скорее всего, аккаунт не вернут либо вас попросят доплатить (и еще немного доплатить).
2. Проявлять высокую активность сразу после восстановления доступа к аккаунту.

Вывод

Взломать аккаунт без помощи его владельца — сложная задача. Не позволяйте минутной невнимательности лишить вас месяцев работы над аккаунтом.

Как подстраховать аккаунт:

1. Проверьте безопасность и актуальность связанных с Instagram сервисов.
2. Измените пароль на безопасный. Используйте уникальные буквенно-цифровые комбинации с разными регистрами. Регулярно меняйте пароль — хотя бы раз в 2-3 месяца.
3. Подключите двухфакторную аутентификацию.
4. Не авторизируйтесь с публичного Wi-Fi и не сохраняйте пароль в браузере.
5. Не указывайте в шапке аккаунта ту почту или номер телефона, по которым зарегистрирован аккаунт.
6. В случае подозрений немедленно смените пароль от аккаунта и всех привязанных к нему сервисов.

И главное — не расслабляйтесь 🙂

Хочу SMM и рекламу в соцсетях

Киберпреступников как магнитом притягивает к различным веб-ресурсам, вокруг которых крутится много денег. Эта участь не миновала и Steam: согласно подсчетам Valve (компании, создавшей сервис Steam), 77 тысяч его пользователей ежемесячно теряют деньги, игровые предметы и даже учетные записи.

Как сообщает корпорация Valve, эти жертвы — далеко не всегда новички или наивные пользователи. Напротив, от атак хакеров часто страдают профессиональные игроки в «Counter-Strike: Global Offensive», участники сообществ на веб-ресурсе Reddit и торговцы игровыми предметами. Steam признает, что торговля ворованными игровыми товарами и аккаунтами превратилась в новый, весьма прибыльный подпольный бизнес.

Современные технологии позволяют киберпреступникам ждать месяцами, пока тот или иной троянец заразит систему и принесет прибыль. Зловредов так много, и они так хорошо распространены, что судьба одного конкретного образца вовсе не критична для его создателей. Получается, что под удар попадает буквально каждый пользователь Steam.

Специалисты «Лаборатории Касперского» решили выяснить, насколько плохи дела на игровом рынке. Как оказалось, эксперты команды GReAT поначалу сильно недооценили масштабы проблемы — столько угроз они обнаружили. При благоприятном развитии обстоятельств эта инициатива превратится в масштабное расследование.

Почему пользователи Steam регулярно становятся жертвами мошенников и что с этим делать: https://t.co/1t4ledPRwv pic.twitter.com/uUY42dltZx

— Kaspersky Lab (@Kaspersky_ru) February 16, 2016

Троянец-как-услуга — полный пакет для воровства игр

Сообщество Steam функционирует так же, как любая другая социальная сеть, в которой пользователи добавляют в друзья знакомых и незнакомцев, обмениваются сообщениями и торгуют игровыми предметами. Наконец, недешевые купленные игры привязаны к вашему аккаунту, что делает его даже более ценным, чем в других соцсетях. Поэтому как обычный, так и целевой фишинг широко распространен в Steam, но на этих видах атак арсенал киберпреступников не заканчивается.

Оказалось, что воры аккаунтов Steam Stealers приносят злоумышленникам еще больше денег. К сожалению, их создают и распространяют не какой-то один кибермошенник и даже не группа преступников, а целый легион разных банд.

Мы уже наблюдали похожую ситуацию, когда хакеры зарабатывали, продавая свои разработки «как услугу» своим менее квалифицированным коллегам. За отдельную плату такого троянца можно проапгрейдить, добавив к нему разные интересные возможности, получить руководство пользователя и даже индивидуальную консультацию по «продвижению» — обману и воровству. И на этом список вредоносных услуг не заканчивается.

— TheYopi|Rampage! (@TheYopiSD) August 17, 2014

В результате с настройкой этих троянцев справится и новичок, делающий первые шаги в мире киберпреступности. Программисту, владеющему хоть какими-нибудь навыками разработки, будет еще проще.

Еще одна плохая новость: Steam Stealers продаются по очень низким ценам. Обычно троянцы-как-услуга стоят по $500 за образец, тогда как цены на Steam Stealers начинаются от 200 рублей. Если доплатить еще 250, покупатель получит полное руководство пользователя и исходный код зловреда, который пригодится, чтобы модифицировать его под свои нужды. Да, сейчас мы говорим о самом дешевом варианте, но на самом деле довольно сложно найти такого троянца-вора для Steam, который стоил бы больше $30.

Еще одна популярная услуга «по запросу», предлагаемая торговцами Steam Stealers, — это создание фишингового сайта, копирующего один из популярных у геймеров веб-сервисов, например голосовые чаты вроде TeamSpeak или RazerComms либо сервисы обмена картинками вроде Lightshot или Imgur. Такие копии изрядно помогают преступникам, которые охотятся за логинами и паролями пользователей.

Take care and do not visit dangerous fake sites. Only «https://t.co/y7VDxMs9Fw» ist the original. https://t.co/f37DMBolN9

— TeamSpeak (@teamspeak) November 23, 2015

Старые приемы на новый лад

Тот момент, когда вы авторизуетесь в Steam, — самый важный для киберпреступников, ведь именно в это время проще всего украсть ваши логин и пароль. Поэтому поддельное ПО Steam Login по-прежнему популярно среди хакеров. Некоторые версии этого троянца научились даже отправлять киберпреступникам файлы конфигураций Steam Guard. Кроме того, это ПО написано на широко известном языке Microsoft — C#. А это означает, что многие люди знают, как усовершенствовать такую программу.

Что интересно, киберпреступники выучили урок из легенды о Вавилонской башне: весь исходный код их программного обеспечения задокументирован и доступен для изучения на разных языках, что только способствует распространению зловреда.

— Starcraft Reddit (@RedditStarcraft) March 7, 2016

Как оказалось, распространение троянца, заточенного под конкретный регион, — залог успеха. Например, в России и русскоговорящих странах легко можно найти локализированную версию троянца-вора, а Steam в России очень и очень популярен — целей для атак хоть отбавляй.

Если вдруг еще не читали про новый способ отъема денег у любителей ВК и взломанных игр — http://t.co/tmviLrRBho pic.twitter.com/TZuIjAE8WU

— Kaspersky Lab (@Kaspersky_ru) March 13, 2015

Во время расследования эксперты GReAT обратили внимание на то, что используемые хакерами способы обмана эволюционируют: поддельные скриншоты начинают выглядеть более достоверными, фальшивые сайты становятся все больше похожи на оригиналы, появляются новые способы доставки троянов, а боты кажутся более похожими на людей. Хотя 2016 год только начинается, угроз уже немало, и количество специализированных атак для Steam будет только расти. Подробнее о нашем исследовании вы можете прочесть на Securelist.

А что делает Valve для защиты пользователей?

В конце 2015 года число пользователей Steam перевалило за 12 млн. Как видите, перед хакерами, по сути, огромное пространство для атаки, которое привлекает все новых и новых преступников.

Корпорация Valve весьма обеспокоена сложившейся ситуацией, и сейчас она вводит множество новых мер безопасности. Плохие парни тоже не дремлют — они исследуют защиту Steam в попытке обнаружить новые лазейки и потенциальные уязвимости. В этом непрекращающемся сражении побеждает тот, кто находится все время на шаг впереди.

Пять главных угроз геймерам: http://t.co/ZAYkj48lrr

— Kaspersky Lab (@Kaspersky_ru) April 15, 2014

Проблема Steam в том, что этот сервис создавался для развлечений. Поэтому ему все время приходится балансировать между безопасностью и удобством использования. Многие геймеры не готовы пожертвовать своим комфортом ради защиты.

Если сервис пока не может одержать верх в этой битве с хакерами, придется пользователям взять дело в свои руки.

Я хочу защитить свою учетную запись в Steam. Что мне делать?

• Следите за новостями в Steam и пользуйтесь всеми новыми методами защиты в нем.
• Прочтите нашу статью о самых распространенных способах обмана в Steam.
• Будьте начеку. Активируйте двухфакторную аутентификацию с помощью Steam Guard.
• Берегитесь фишинговых сообщений с вредоносными ссылками. Если вы не знаете, что это такое и как с ними бороться, то ознакомьтесь с этой статьей.
• Всегда обновляйте свое защитное решение и никогда не отключайте его. В Kaspersky Internet Security есть специальный игровой режим, в котором антивирус не влияет на производительность устройства и не беспокоит пользователя всплывающими окнами.

Советы геймерам: что делать, чтобы эльф не ушел к другому — http://t.co/OJL4tL81zL http://t.co/BcNrJnudAP

— Kaspersky Lab (@Kaspersky_ru) January 13, 2015

Как вы, вероятно, догадываетесь, киберпреступники зарабатывают на количестве. Если для взлома вашего аккаунта придется потратить слишком много сил, они, скорее всего, предпочтут поискать более легкую добычу в другом месте.

В заключение хотим обратить ваше внимание на собственную библиотеку Steam. Рекомендуем вам ознакомиться со следующими статьями по игровой кибербезопасности:

• Рекомендации по обеспечению безопасности аккаунта.
• Что такое «фишинг аккаунтов»?
• Политика восстановления предметов в Steam.
• Возвращение украденного или взломанного аккаунта Steam.
• Политика восстановления предметов в Steam.
• Обмен в Steam.