Представьте: вы зарегистрировались на каком-нибудь ресурсе, чтобы получить доступ к закрытому контенту или потому, что вас друзья попросили. А потом он вам разонравился или перестал быть нужен. Многие пользователи аккаунты на таких ресурсах не удаляют, а просто перестают в них заходить. Между тем учетки никуда не деваются — они по-прежнему есть на этом сервисе, и их, как и любые другие, могут взломать. Только вы об этом, скорее всего, узнаете далеко не сразу, если вообще узнаете.
Заброшенная учетная запись: что может пойти не так
Казалось бы, какая разница, что станет с ненужным профилем? Взломают — и ладно, вам же он больше не нужен. Однако в некоторых случаях через брошенный аккаунт злоумышленник сможет добраться и до тех ресурсов, которые вы используете и в которых храните важную информацию. Рассказываем, какие аккаунты ни в коем случае нельзя забрасывать.
1. Аккаунт в социальной сети
Мало кто регулярно проверяет вообще все свои аккаунты во всех соцсетях. Нередко пользователь заводит, скажем, профиль в Facebook, логинится через него в Instagram и еще на нескольких сервисах — удобно же, — а потом понимает, что сам Facebook ему не особо нужен. Конечно, соцсеть продолжает слать уведомления на почту, если наш герой не потрудился их отключить, но они уже давно фильтруются в отдельную папку, которую он не читает.
В такой ситуации вполне может произойти вот что. Когда пользователю придет письмо о том, что кто-то вошел в его аккаунт с незнакомого компьютера, он этого письма не заметит. И у взломщиков будет достаточно времени, чтобы тихонько воспользоваться привязанными к Facebook учетками. А еще они, вероятно, успеют развести на деньги некоторых друзей или подписчиков жертвы в самом фейсбуке.
Что делать:
- Установите двухфакторную аутентификацию. О том, где искать нужные настройки в соцсетях, мы рассказывали в постах про Facebook, Twitter и «Вконтакте».
- Включите уведомления о входе в учетную запись с неизвестных устройств.
2. Запасной адрес e-mail
Многие заводят отдельный e-mail для рассылок, чтобы не захламлять ими основной ящик, и регистрируют на него все подряд, в том числе профили с важными данными. А поскольку писем от живых людей на него не приходит, проверяют его не очень часто. Поэтому то, что резервную почту взломали, пользователь может долго не замечать — по крайней мере до тех пор, пока не потеряет доступ к какому-нибудь очень важному аккаунту.
Что делать:
- Подключите к этому аккаунту двухфакторную аутентификацию.
- Настройте пересылку писем с этого e-mail-адреса на ваш основной почтовый аккаунт в отдельную папку.
3. Менеджер паролей
Представьте, что вы хранили учетные данные от своих аккаунтов в менеджере паролей, а потом решили его сменить. Профиль в старом менеджере при этом никуда не делся, как и пароли в нем (половину из которых вы наверняка не меняли). Если кто-то получит доступ к этому профилю, он сможет добраться и до ваших учеток. Между тем, даже обнаружив угон того или иного аккаунта, далеко не каждый сразу сообразит, откуда преступник взял его пароль.
Что делать:
- Обязательно удаляйте аккаунты в сервисах для менеджмента паролей, если ими не пользуетесь.
4. Аккаунт в интернет-магазине
Многие магазины предлагают привязать к учетной записи банковскую карту или онлайн-кошелек, чтобы удобнее было делать покупки. А некоторые и вовсе делают это автоматически. Если вы часто пользуетесь услугами ресурса, вас это, скорее всего, устраивает. Кроме того, в таком профиле, вероятно, указаны ваши домашний и рабочий адреса для доставки товаров и другие ценные данные о вас.
Однако вы можете со временем отказаться от услуг этого магазина. Если аккаунт останется жить своей жизнью и его взломают, злоумышленники получат доступ к ценной информации, а вы узнаете об этом, скорее всего, только когда они попытаются купить что-то от вашего имени. Или когда уже купят: не все сервисы запрашивают код из SMS для подтверждения операции.
Что делать:
- Не привязывайте карту к аккаунтам в интернет-магазине.
- Если сервис запоминает карту автоматически — не забывайте удалять ее из привязанных.
- Заведите отдельную карту для покупок в Интернете и держите на ней только небольшую сумму денег.
5. Рабочий Google-аккаунт
Если вам по работе требуется доступ к Google Analytics и другим сервисам, вы могли завести для этого отдельный Google-аккаунт. Разделять личные и рабочие профили — хорошая практика, однако многие забывают удалить рабочий Google после увольнения.
Учетные записи, созданные компанией, как правило, сразу после ухода их владельца блокирует IT-служба. А вот про сервисы, в которых бывший сотрудник зарегистрировался сам, могут не подумать. В результате на просторах Интернета останется ничейный аккаунт с доступом к рабочим документам и другой конфиденциальной информации. Если такой аккаунт взломают, обнаружить это будет очень и очень трудно, ведь фактически никто не помнит даже о том, что он есть.
Что делать:
- Уволившемуся сотруднику — ничего.
- Компании — не забывать отзывать доступ к сервисам в том числе и для Google-аккаунта ушедшего сотрудника.
6. Номер телефона
Некоторые пользователи заводят отдельный номер телефона для всевозможных сервисов, карт лояльности, бонусных программ и публичных сетей Wi-Fi, чтобы основной телефон не попал в базы спамеров. А заодно используют эту симку и для двухфакторной аутентификации. Хотя такой номер — это не аккаунт, да и заброшенным в полном смысле слова его не назовешь, с ним тоже могут возникнуть проблемы. С одной стороны, к нему привязан ряд учеток, с другой — звоните вы с него, скорее всего, редко, а может быть, и вообще никогда.
Дело в том, что оператору невыгодно обслуживать симки, в которые вы не вкладываетесь финансово. Если номер нужен вам исключительно для того, чтобы принимать входящие SMS, через три месяца его могут заблокировать, а потом и перепродать.
Иногда номера скупают довольно быстро. В этом случае вы можете не успеть перепривязать ваши аккаунты к новому телефону. А вот покупатель, если он окажется нечист на руку, сможет найти ваши учетные записи в онлайн-сервисах и сменить в них пароли, так что восстановить их будет непросто.
В особо запущенных случаях он сможет добраться до банковских счетов и онлайн-кошельков, привязанных к этому номеру, и списать с них некоторое количество средств, прежде чем вы известите банк о сложившейся ситуации. Так, в январе мошенники опустошили счета женщины, перекупив номер, которым она долгое время (по мнению оператора) не пользовалась.
Что делать:
- Настройте себе напоминалку — раз в пару месяцев звонить или отправлять хотя бы одну СМС с дополнительного номера телефона.
- Постоянно поддерживайте положительный баланс на счете этого телефона.
Как избежать проблем с заброшенными аккаунтами
Как видите, даже если аккаунт вам сам по себе не нужен, его угон может доставить массу проблем. Предупредить угрозу гораздо проще, чем бороться с ее последствиями. Поэтому мы рекомендуем следить за вашими учетными записями. Вот несколько общих полезных советов:
- Вспомните, где и когда вы регистрировались. Проверьте, к каким номерам телефона и адресам электронной почты привязаны ваши аккаунты в соцсетях, онлайн-магазинах, банках и других важных сервисах, и отвяжите все актуальные профили от устаревших контактов.
- Если вы где-то авторизуетесь через Facebook, Twitter или Google или держите дополнительный электронный ящик и номер телефона для рассылок, проверяйте их время от времени.
- Если вы решили перестать пользоваться менеджером паролей, онлайн-магазином или аккаунтом в соцсети, удалите учетные записи в этих сервисах.
- Не забывайте включать в сервисах уведомления о входе в учетную запись — и реагируйте на подобные уведомления как можно быстрее.
- Используйте защитное решение, умеющее уведомлять об утечках в сервисах, которыми вы пользуетесь, — например, Kaspersky Security Cloud.