Безопасность социальных сетей: как защитить миллионы пользователей

Рустэм Газизов

Директор департамента защиты клиентов ИБ VK

Свыше 90% аудитории рунета пользуется продуктами VK. Миллионы людей общаются, играют, осваивают новые профессии, слушают музыку, смотрят и снимают видео, продают и находят товары и услуги, решают множество других задач в сервисах VK. Поэтому для нас так важно постоянно поддерживать высокий уровень доверия пользователей к нашим площадкам.

При этом интернет не только привычная для общения среда, но также и объект внимания злоумышленников, которые, как правило, начинают свои мошеннические схемы с анализа профиля потенциальных жертв. Неслучайно в 2022 году социальная инженерия продолжала лидировать среди основных киберугроз, а в качестве сценариев фишинговых рассылок чаще всего использовались оповещения о конкурсах и лотереях.

Технологии и знания: как обеспечить безопасность пользователей?

Обеспечить безопасность можно при двух условиях:

• у пользователя есть все технологические средства, необходимые для защиты,
• пользователь умеет и знает, как ими пользоваться.

Именно по такому принципу баланса между средствами защиты и информацией о том, как защитить себя, выстроена система безопасности пользователей продуктов и сервисов VK. Блок информационной безопасности VK в своей работе фокусируется именно на этих двух вещах.

Если говорить про первый аспект, то мы обеспечиваем практическую безопасность сервисов и их устойчивую и бесперебойную работу:

• Данные пользователей хранятся на наших внутренних серверах, которые надежно защищены и имеют многоуровневую систему безопасности и контролей доступа.
• Силами внутреннего VK SOC мы осуществляем дежурный мониторинг 365 дней в году в режиме 24/7, чтобы оперативно предотвращать и локализовывать все возможные инциденты.
• Привлекаем независимых исследователей информационной безопасности к тестированию защищённости сервисов VK. Наша программа по поиску уязвимостей размещена на всех российских Bug Bounty платформах, что позволяет увеличить количество внешних экспертов.
• Проводим регулярные проверки на безопасность с помощью внешних аудитов и пентестов.

Если же говорить про второй аспект, о работе с пользователем, то для нас безопасность – это не только технические меры, но и вопросы модерации, поддержки и образования пользователей. Например, все жалобы, оставленные пользователями в личном кабинете или сообществе, проходят технический скан и анализ группы поддержки.

О существовании угроз и способов защиты от них многие пользователи просто не знают. Поэтому современным сервисам важно заботиться о клиентах, рассказывать об имеющихся опциях по сохранению своего аккаунта. У нас на это направлен целый комплекс инициатив, которые включает в себя VK Protect. К примеру, мы усилили требования к сложности паролей и подключили функцию их проверки на компрометацию на внешних ресурсах, стали предупреждать о подозрительном собеседнике с помощью специального баннера в групповых чатах и новых диалогах.

VK Protect не просто предоставляет технологические средства защиты, но и направлена на повышение уровня осведомлённости о кибербезопасности и формирование ответственного отношения к своим данным у всех пользователей рунета.

Мы бережно относимся к каждому из миллионов наших пользователей, стараемся ежедневно повышать общую киберграмотность: на реальных примерах и разбираем уловки онлайн-мошенников в наших официальных сообществах «Безопасность» во ВКонтакте, в канале «VK о безопасности» на платформе Дзен, «Безопасность – это ОК» в соцсети Одноклассники.

Киберграмотность и как ее достичь

Мы рекомендуем придерживаться основных правил кибергигиены, которые позволят дополнительно защитить ваши данные и аккаунты от атак мошенников:

• Развивайте культуру паролей. Пользователям необходимо изначально создавать надежные и уникальные пароли для каждого сервиса. Недостаточно с периодичностью в несколько месяцев менять в нем пару символов, это не обезопасит от взлома с помощью брутфорса, если изначально комбинация была распространенной.   Надежный пароль должен состоять из 12 букв разного регистра, цифр и специальных символов. Вы можете взять за основу название фильма или любое запоминающееся событие из вашей жизни и заменить часть букв символами, например «ЗеленыеВ0лосы_10класс!».

Сколько времени займет у хакера взлом паролей методом перебора

По данным Hive Systems, 2022

• Подключите дополнительное подтверждение входа. Всегда при технической возможности сайта подключайте двухфакторную аутентификацию (2FA) — это второй уровень аутентификации, который используется в дополнении к классической комбинации имени и пароля пользователя при входе в учётную запись. В этом случае при вводе ваших авторизационных данных вам на почту или в смс придет одноразовый код, который подтвердит, что именно вы ввели логин и пароль. Этот способ действительно может защитить аккаунт от взлома в случае компрометации ваших данных.
• Настройте приватность. Овершеринг по-прежнему помогает мошенникам составить ваш психологический портрет и подобраться к вашим данным с помощью социальной инженерии. Использование доступных рекомендаций по настройкам приватности — закрытие аккаунта, ограничение доступа к фотографиям, личной информации и списку друзей, ограничение возможности начать общение юзерам не из списка друзей — дополнительно обезопасит ваш профиль.
  
• Не забывайте про критический подход к любой информации. Если в сообщении вам сулят невероятную выгоду, информируют о выигрыше в лотерею, просят срочно подтвердить данные карты лояльности – это скорее всего фишинг. В этом случае необходимо взять паузу, трезво оценить, что хочет от тебя собеседник и почему ты должен ему ответить. Если вы все же перешли по ссылкам, то обязательно соотнесите внешний вид страницы с официальным сайтом организации, не вводите никакие личные данные, не убедившись, что это легитимно. Проверяйте первоисточник, если пишут от лица знакомого человека, напишите ему в другой мессенджер или позвоните.

***

Отрасль и цифровые платформы постоянно меняются, предлагая своим пользователям новые технические решения. Мы всегда отслеживаем лучшие практики и применяем их в части информационной безопасности. Результаты внутреннего аудита показывают, что функции и сервисы, которые мы уже разработали и внедрили в продукты VK, обеспечивают хороший уровень безопасности пользователей. Статистика за 2022 год также демонстрирует снижение количества пользовательских жалоб на подозрительную активность на 11%.

Но важно помнить, что технические решения и инициативы информационной безопасности эффективно препятствуют нежелательному контенту, назойливым собеседникам и спаму, защищают от взлома страниц и злоумышленников только при одном условии — если ими пользоваться.