Архіви: Поради

Фішинг

Найпоширеніша атака на обліковий запис — фішингові (шахрайські) листи. Важливо вміти їх розпізнавати. Фішинг — це спроба обманом отримати ваш пароль.

Візуально та за змістом фішингові листи можуть бути схожими на справжні листи від Instagram. Зазвичай фішингові листи лякають користувача: наприклад, повідомляють, нібито від вашого імені розсилався спам, або ж ви порушили якийсь із пунктів користувацької угоди, або хтось дізнався ваш пароль, тож його треба терміново поміняти.

Мета зловмисника — змусити вас швидко, особливо не задумуючись, перейти за посиланням і ввести свій пароль.

Як працює фішинг?

  1. Зловмисник створює сайт, який візуально імітує, наприклад, сторінку входу в Instagram.
  2. Вам надсилають листа/повідомлення в дірект, яким спонукають перейти на підробний сайт.
  3. На підробному сайті вас просять ввести логін і пароль, який одразу ж отримають зловмисники.

Увага! Наразі Instagram не надсилає сповіщення про блокування, вхід чи порушення у дірект або коментарі.

 Як дізнатися чи порушили ви правила копірайту в Instagram?

Налаштування і конфіденційність > скролите вниз до Статусу облікового запису

Контроль додатків

Додатки — це сторонні сервіси та програми, які мають певний доступ до вашого облікового запису. Додатки отримують доступ тоді, коли ви реєструєтесь на інших сервісах за допомогою свого облікового запису Instagram. Наприклад, реєструєтесь на платформі онлайн-курсів або проходите тест. Після цього додатки можуть отримувати якусь інформацію з вашого облікового запису, як-от ваша пошта для контактів, список підписників тощо.

Увага! Слово «додатки» вживається на позначення одразу кількох понять, що може дещо дезорієнтовувати. Так, додатками заведено називати програми, що встановлюються на смартфони. Крім того, іноді додатками називають розширення, що встановлюються в браузер. Зараз мова йде не про них, а про сервіси та програми, що підключаються до вашого облікового запису.

Варто перевірити, які додатки мають доступ до вашого облікового запису та яку саме інформацію вони отримують, а також видалити всі додатки, які не впізнаєте або якими не користуєтесь.

Як перевірити додатки?

Налаштування > Безпека > Додатки й сайти

Активні сеанси

Якщо ви закрили вкладку чи вікно браузера, це не означає, що ви вийшли зі свого облікового запису Instagram.

Також не завжди вдається вийти з акаунта з додатка на смартфоні, тож якщо ви логінитеся в Instagram з чужого пристрою – перевірте чи дійсно ви вийшли з акаунта.

Окрім цього, за допомогою відкритих сесій можна переконатися, що вхід в акаунт здійснено тільки з ваших пристроїв.

Якщо ви бачите незнайомі пристрої звідти можна вийти. У такому разі варто змінити пароль та налаштувати двофакторну автентифікацію. 

Як перевірити активні сеанси?

Налаштування та конфіденційність > Центр облікових записів > Пароль і безпека > Активні сеанси


Важливо!

• Геолокація.  Якщо ви останній місяць були лише в Києві, а в сесіях є локація в Дніпрі – не поспішайте панікувати. Локація, яку інстаграм зазначає у відкритих сесіях, залежить від IP-адреси пристрою, з якої зроблено вхід. Іноді інстаграм їх не дуже коректно геолокує, тому важливо дивитися саме пристрій, з якого ви увійшли в акаунт.

• VPN. Теж змінює локацію. Але зазвичай це локації інших країн, а іноді інстаграм не може визначити локацію з VPN та позначатиме її як unknown location. Tor-браузер, наприклад, може змінювати й браузер.

• Невідомий пристрій. Іноді інстаграм може й некоректно визначити пристрій та позначати його unknown device.

Пароль до облікового запису

Пароль — це найперший рівень захисту вашого облікового запису. Більшість сервісів не дадуть вам змоги зареєструвати обліковий запис без пароля.

Надійний пароль має відповідати кільком вимогам:

унікальний — один і той самий пароль не має використовуватись для інших облікових записів (пошти, інших соцмереж, форумів тощо);

не містить інформації про вас, яку легко дізнатись (імена близьких людей, рік народження, телефон тощо);

•  довжина — не менше 8 символів (а краще 12+). Якщо ви маєте сумніви в надійності свого пароля або маєте підстави вважати, що його дізнались зловмисники, варто поміняти ваш пароль на більш надійний.

Увага! При зміні паролів найважливіше — не забути свій новостворений пароль! Таке трапляється частіше, ніж може здаватися 🙂 Подумайте, як від цього вберегтися. Наприклад, можна записати новий пароль і зберігати в надійному місці, поки ви не переконаєтесь, що запам’ятали його.

Як змінити пароль до облікового запису Instagram?

Налаштування та конфіденційність > Центр облікових записів > Пароль і безпека > Зміна пароля

Важливо: щоб замінити пароль, потрібно знати старий пароль. Якщо ви його не пам’ятаєте, потрібно скористатися функцією скидання пароля. На привʼязану пошту, вам прийде лист із посиланням для скидання пароля.

Автовидалення повідомлень

Якщо ви використовуєте WhatsApp для передачі чутливої інформації як от персональні дані, паролі, фінансова інформація тощо ця функція може стати вам у нагоді. Дуже часто такі потенційно небезпечні дані зберігаються у WhatsApp переписках протягом віртуально нескінченного проміжку часу, а їх видалення потребує активних дій з боку обох користувачів. Тимчасові повідомлення дозволяють автоматизувати регулярну “очистку” переписок з чутливим змістом.

Функцію можна увімкнути в обраних чатах  (у групових чатах це може робити лише адміністратор).  Після увімкнення, повідомлення видалятимуться через обраний вами час: 1 день, 7 днів або 90. Також з’явиться таймер, а в чат прийде сповіщення, що функцію активовано.

Як увімкнути тимчасові повідомлення?

Для усіх повідомлень:

Для нових чатів можна увімкнути таймер на 1, 7 та 90 днів. Потрібно зайти у Налаштування >Конфіденційність>Таймер повідомлень.

Для окремих чатів:

Клікнути на ім’я користувача у чаті у меню, що з’явиться (contact info), знайти розділ “тимчасові повідомлення” та увімкнути функцію.

Для групових чатів:

У групових чатах це залежить від налаштувань групи. Якщо адміністратори дозволять вносити зміни усім учасникам, а не лише адмінам, тоді таку функцію може увімкнути чи змінити будь-хто у чаті. Якщо ні, тоді її може побачити та увімкнути адміністратор групи за тим же принципом.

Звісно, якщо ви не довіряєте співрозмовнику, то тимчасові повідомлення не будуть особливо корисними, адже повідомлення можна зберегти/заскрінити, до того як вони зникнуть.

Також є кілька нюансів автовидалення у Whatsapp:

– Автовидалення  не стосується повідомлень, що були відправлені до включення функції.

– Якщо повідомлення не буде прочитано, воно все одно зникне. Втім, його прев’ю може відображатися в сповіщеннях.

–  Якщо користуватися функцією відповідей (replay), текст цитати може відображатися і довше семи днів.

–  Якщо переслати ТП в чат, де таку функцію вимкнено, то воно не зникне звідти.

–  Якщо зробити резервне копіювання до того, як повідомлення зникне, воно залишиться у резервній копії. Після відновлення чату з резервної копії, усі тимчасові повідомлення видаляться.

–  Якщо у співрозмовників увімкнено функцію автоматичного завантаження фото та відео, вони залишаться на телефоні. Втім, їх також можна зберегти вручну. Щоб вимкнути автоматичне завантаження у WhatsApp, перейдіть у розділ Налаштування > Дані й пам’яті.

Відкриті сесії

Якщо ви закрили вкладку чи вікно браузера, це не означає, що ви вийшли зі свого облікового запису. Будь-хто, хто сяде після вас за комп’ютер, зможе зайти у ваш обліковий запис Google, почитати пошту чи подивитись вміст Google-диску. Особливо ризиковано, якщо це чужий комп’ютер.

Тому, якщо комп’ютер використовує ще хтось, окрім вас, після завершення роботи варто виходити зі свого облікового запису.

Як вийти з облікового запису?

У вікні Gmail натисніть на фото користувача чи ініціали у верхньому правому куті, а у віконці, що з’явиться, — на кнопку «Вийти».

Також Google дає змогу вийти з усіх пристроїв, на яких ви зайшли у свій обліковий запис. Для цього зайдіть у налаштування вашого облікового запису: у вікні Gmail натисніть на фото користувача у верхньому правому куті, а у віконці, що з’явиться, — на кнопку «Керувати обліковим записом Google».

У лівій частині вікна оберіть вкладку «Безпека» (або перейдіть за посиланням: https://myaccount.google.com/security). Вікно налаштувань безпеки прогорніть трохи вниз до розділу «Ваші пристрої». Знайдіть під ним напис «Керувати всіма пристроями» та натисніть на нього.

Якщо ви не впізнаєте якийсь із пристроїв, клікніть на нього та оберіть кнопку «Вийти», а потім — «Скасувати доступ».

Ви маєте змогу отримати більш детальну інформацію про активність у вашому аккаунті, яка включає час та ІР адресу. Для цього прогортайте вниз вікно пошти Gmail і в нижньому правому куті натисніть на напис «Деталі»

Контроль додатків

Додатки — це сторонні сервіси та програми, які мають певний доступ до вашого облікового запису. Вони отримують доступ тоді, коли ви надаєте сервісу можливість використовувати певні можливості Google. Наприклад, ви даєте планувальнику зустрічей можливість додавати події до вашого календаря або месенджеру WhatsApp — зберігати історію переписки на вашому Google-диску.

Зверніть увагу, що слово «додаток» часто вживається на позначення одразу кількох понять, що може дещо дезорієнтовувати. Так, додатками заведено називати програми, що встановлюються на смартфони. Та крім цього, додатками також називають розширення, що встановлюються в браузер. Зараз мова йде не про них, а саме про сервіси та програми, що підключаються до вашого облікового запису.

Небезпека в тому, що ви можете через неуважність надати доступ шахрайському додатку, наприклад, щоб він читав усю вашу пошту чи вміст Google-диску. Тому варто перевірити, які додатки мають доступ до вашого облікового запису, та видалити ті, які не впізнаєте або якими не користуєтесь.

Як перевірити додатки?

Зайдіть у налаштування вашого облікового запису. Для цього у вікні Gmail (або на стартовій сторінці браузера Chrome) натисніть на фото користувача у верхньому правому куті, а у віконці, що з’явиться, — на кнопку «Керувати обліковим записом Google».

У лівій частині вікна оберіть вкладку «Безпека» (або перейдіть за посиланням: https://myaccount.google.com/security). Вікно налаштувань безпеки прогорніть трохи вниз, до розділу «Зв’язки зі сторонніми додатками та сервісами». Знайдіть під ним пункт «Переглянути всі зв’язки» та натисніть на нього.

У наступному вікні ви побачите всі додатки, що мають доступ до вашого облікового запису. Їх можна розділити на 2 групи — «Вхід через Google» та «Доступ до сервісу».

У розділі «Вхід через Google» ви побачите список додатків та сервісів, у яких ви авторизувалися за допомогою кнопки Google замість створення окремого облікового запису. У такому разі сервіси отримають доступ лише до загальної інформації вашого профілю (ім’я, прізвище, дата народження, стать тощо)

Окрему увагу зверніть на розділ «Доступ до сервісу», бо саме ці додатки можуть мати повний або частковий доступ до Google Диску, Документів та іншого вмісту облікового запису.

Оберіть пункт «Доступ до сервісу — Усі сервіси» та натисніть на поле зі списку, щоб перевірити, який саме і до чого наданий доступ. Щоб переглянути повний список доступів або скасувати їх, натисніть «Докладніше».

Для того, щоб повністю видалити всі зв’язки з цим сервісом, а не тільки доступи, оберіть «Видалити всі зв’язки з сервісом» в кінці сторінки та підтвердіть дію.

Пароль до облікового запису

Пароль — це найперший рівень захисту вашого облікового запису. Більшість сервісів не дадуть вам змоги зареєструвати обліковий запис без пароля.

Надійний пароль має відповідати кільком вимогам:

унікальний — один і той самий пароль не має використовуватись для інших облікових записів (пошти, інших соцмереж, форумів тощо);

не містить інформації про вас, яку легко дізнатись (імена близьких людей, рік народження, телефон тощо);

довжина — не менше 8 символів (а краще 12+).

Якщо маєте сумніви в надійності свого пароля або маєте підстави вважати, що його дізнались зловмисники, варто поміняти його на більш надійний.

При зміні паролів найважливіше — не забути свій новостворений пароль! Таке трапляється частіше, ніж може здатися. Щоб уникнути цього, ви можете записати новий пароль і зберігати в надійному місці, поки не переконаєтесь, що добре запам’ятали його.

Як змінити пароль до облікового запису Google?

Зайдіть у налаштування вашого облікового запису. Для цього у вікні Gmail (або на стартовій сторінці браузера Chrome) натисніть на фото користувача у верхньому правому куті, а у віконці, що з’явиться, — на кнопку «Керувати обліковим записом Google».

У лівій частині вікна оберіть вкладку «Безпека» (або перейдіть за посиланням: https://myaccount.google.com/security). У розділі «Як ви входите в обліковий запис Google» знайдіть поле «Пароль». Тут же ви можете перевірити, коли востаннє його змінювали.

Google попросить вас ввести пароль до вашого облікового запису (та другий фактор, якщо ви його вже налаштували). Це потрібно, аби переконатись, що пароль змінюєте ви, а не хтось, хто сів за ваш комп’ютер, поки ви відійшли взяти кави.

У новому вікні введіть та підтвердіть новий пароль, після чого натисніть «Змінити пароль».

Будьте уважні, що активні сесії (входи) на інших пристроях після зміни пароля зберігаються. Якщо ви бачите незнайомий пристрій у списку, необхідно спершу вийти з нього, і тільки після цього змінювати пароль. Щоб перевірити активні сесії на пристроях, скористайтесь цією інструкцією.

Способи відновлення облікового запису

Якщо ви забули пароль від свого облікового запису, зазвичай ви можете його скинути, отримавши лінк на резервну пошту або код відновлення на прив’язаний телефон.

Небезпека в тому, що цією можливістю можуть скористатись зловмисники. Наприклад, якщо вони мають доступ до вашої резервної пошти або мають змогу перехоплювати SMS із кодом відновлення.

Саме тому в контактних даних вашого облікового запису має бути вказана адреса електронної пошти і/або телефон, які ви контролюєте. Бажано, щоб пошта також була захищена двофакторною автентифікацією. Старі ж пошти та телефони варто видалити.

Як перевірити способи відновлення облікового запису?

Зайдіть у налаштування вашого облікового запису. Для цього у вікні Gmail (або на стартовій сторінці браузера Chrome) натисніть на фото користувача у верхньому правому куті, а у віконці, що з’явиться, — на кнопку «Керувати обліковим записом Google».

У лівій частині вікна оберіть вкладку «Безпека» (або перейдіть за посиланням: https://myaccount.google.com/security). У розділі «Як ви входите в обліковий запис Google» знайдіть поле «Номер телефону для відновлення» та «Резервна електронна адреса».

Щоб додати номер необхідно клікнути на поле «Номер телефону для відновлення», у наступному вікні — «Додати номер телефону для відновлення», ввести номер та отриманий через SMS код.

Щоб додати електронну пошту, оберіть «Резервна електронна адреса» і вкажіть імейл у полі нижче. Після цього на вказану пошту прийде код, який необхідно буде ввести у наступному вікні.

Проглянути та змінити резервну пошту можна також за цим посиланням, а номер телефону для відновлення тут.

Двофакторна автентифікація

Двофакторна автентифікація — додатковий рівень захисту для вашого облікового запису на той випадок, якщо зловмисник якимось чином дізнається (підгляне, вгадає тощо) ваш пароль.

Вона передбачає, що при вході в обліковий запис з нового пристрою та браузера, окрім пароля, Google вимагатиме додаткове підтвердження вашої ідентичності.

Таким підтвердженням може бути:

  • SMS із одноразовим кодом; 
  • додаток для смартфона, який автоматично генеруватиме такі коди; 
  • набір із 10 одноразових резервних кодів, які ви можете роздрукувати чи переписати; 
  • сповіщення Google Prompt на смартфон; 
  • ключ доступу (біометрія на ноутбуці або смартфоні); 
  • фізичний ключ безпеки, який треба вставляти в USB-порт (наприклад, YubiKey).

Якщо зловмисник знає ваш пароль, але не має другого фактора (будь-якого з перерахованих вище), він не зможе зайти у ваш обліковий запис. І навпаки: маючи лише другий фактор, зловмисник не отримає доступ до вашого облікового запису — йому потрібно буде також дізнатись ваш пароль.

Як налаштувати двофакторну автентифікацію в Google?

Зайдіть у налаштування вашого облікового запису. Для цього у вікні Gmail (або на стартовій сторінці браузера Chrome) натисніть на фото користувача у верхньому правому куті, а у віконці, що з’явиться, — на кнопку «Керувати обліковим записом Google».

У лівій частині вікна оберіть вкладку «Безпека» (або перейдіть за посиланням: https://myaccount.google.com/security). У розділі «Як ви входите в обліковий запис Google» натисніть на пункт «Двохетапна перевірка».

На цьому етапі Google може попросити вас ввести пароль. Це потрібно, аби переконатись, що двофакторну вмикаєте справді ви.

Далі з’явиться вікно із загальною інформацією, де необхідно натиснути на кнопку «Увімкніть двохетапну перевірку».

SMS повідомлення

Спершу необхідно додати номер телефону для двохетапної перевірки та натиснути «Далі». На нього буде надісланий код підтвердження, який необхідно буде ввести у наступному вікні, після чого натиснути «Підтвердити».

Якщо ви вже використовуєте цей обліковий запис на мобільному пристрої, Google автоматично увімкне вам як другий фактор «Сповіщення від Google». Цей спосіб має свої переваги, але й недоліки, про які поговоримо пізніше.

Двофакторну автентифікацію увімкнуто! Тепер щоразу при вході з нового браузера вам треба буде ввести пароль та підтвердити дію у сповіщенні або ввести код із SMS. 

Утім, SMS не є ані найзручнішим, ані найбезпечнішим способом отримувати другий фактор. Саме тому далі ми розглянемо альтернативні способи.

Сповіщення від Google (або Google Prompt)

Це — спосіб отримання другого фактора, який Google автоматично налаштує, якщо ваш обліковий запис вже використовується на смартфоні. Для його використання не треба вводити жодних кодів, лише розблокувати свій мобільний та обрати кнопку «Так» з-поміж двох опцій, які вам пропонуються. Цей спосіб зручний, оскільки не треба копіювати та вводити коди. Але є ризик, що ви випадково чи через неуважність натиснете опцію «Так» у той момент, коли зловмисник намагатиметься зайти до вашого облікового запису.

Генератор кодів

Це — додаток для смартфона (Android чи iOS), що генеруватиме коди другого фактора прямо на вашому телефоні, не потребуючи для цього з’єднання з мобільним оператором або інтернетом.

Щоб генерувати коди цим способом, спершу слід встановити додаток «Google Authenticator» на ваш смартфон: з Google Play для Android або з App Store для iOS.

Після цього у вікні налаштування двофакторної автентифікації знайдіть опцію «Authenticator» та натисніть на неї. У наступному вікні із загальною інформацією оберіть «+ Налаштувати засіб автентифікації»

Після цього на екрані з’явиться QR-код. Відкрийте додаток «Google Authenticator» на своєму смартфоні та відскануйте QR-код. У додатку з’явиться рядок із назвою вашого облікового запису та кодом із шести цифр, який буде оновлюватись кожні 30 секунд. На екрані комп’ютера натисніть «Далі», а в новому вікні введіть шестизначний код із додатка та натисніть «Підтвердити».

Готово! Тепер ви можете використовувати додаток на смартфоні для отримання другого фактора.

Резервні коди відновлення

Важливо! Якщо ви втратите телефон, на якому налаштований другий фактор (sms, генератор кодів тощо), та не маєте довірених пристроїв, резервні коди будуть єдиним способом увійти до свого облікового запису.

Щоб отримати резервні коди, у вікні налаштування двофакторної автентифікації знайдіть опцію «Резервні коди» та натисніть на неї. У наступному вікні із загальною інформацією оберіть «+ Отримати резервні коди». Після цього на екрані з’являться десять восьмизначних кодів. Кожен із них можна використати один раз як другий фактор для входу до свого облікового запису. Після того, як ви використали код, він стає неактивним. У будь-який момент ви можете згенерувати новий набір із 10 кодів, але тоді всі невикористані коди зі старого набору стають неактивними. Коди можна роздрукувати, завантажити як файл або переписати та зберігати в надійному місці.

Отже, тепер щоразу при вході до облікового запису Google з недовірених пристроїв вам треба буде вводити і пароль, і другий фактор. За замовчуванням вам пропонуватиметься один спосіб (наприклад, «Cповіщення від Google»), однак якщо цей спосіб вам зараз недоступний, ви можете натиснути на «Спробувати інший спосіб» і обрати будь-який зі способів отримання другого фактора, який ви попередньо налаштували.

Що таке довірений пристрій, про який згадувалось вище? Пристрій вважається довіреним, якщо при першому вході в обліковий запис з браузера ви обрали опцію надалі не запитувати другий фактор. Для Google це означає, що під час входу ви не прибрали позначку «Не запитувати на цьому пристрої». Це може бути зручно, однак не варто робити довіреними пристрої, якими користується ще хтось, окрім вас.

У будь-який момент ви можете видалити всі довірені пристрої. Для цього прогортайте донизу вікно налаштування двофакторної автентифікації, знайдіть розділ «Надійні пристрої» та натисніть «Скасувати для всіх».