Взлом ВКонтакте: уже мем или все еще реальность?

VK — одна из самых популярных социальных сетей в России, которая неоднократно становилась объектом внимания хакеров. В этой статье разбираемся, как часто взламывают ВК, какие методы используют злоумышленники, а также поделимся советами, как защитить свой аккаунт от таких атак.

Чем привлекательна VK для киберпреступников

Социальная сеть ВКонтакте считается одной из самых популярных среди русскоязычного населения — более 100 млн человек ежемесячно пользуются платформой. ВКонтакте, как и любая другая социальная сеть, привлекательна для киберпреступников по нескольким причинам:

1. Большое количество пользователей — здесь можно найти множество потенциальных жертв для различных мошеннических схем.
2. Личная информация — в профилях многих пользователей содержится личная информация, такая как дата рождения, место жительства, номер телефона и т. д. Киберпреступники могут использовать эту информацию для взлома аккаунтов, мошенничества с банковскими данными и других видов преступлений.
3. Операции с деньгами — ВКонтакте предоставляет возможность проведения финансовых операций, таких как оплата услуг, покупка музыки/видео и др. Киберпреступники могут использовать уязвимости в системе безопасности или социальную инженерию для несанкционированного доступа к финансовым данным пользователей.
4. Мошенничество и фишинг — киберпреступники могут создавать фальшивые страницы или группы, распространять вредоносные ссылки или письма, с целью получить доступ к аккаунтам пользователей, паролям, личным сообщениям или вирусным атакам.
5. Злонамеренные приложения — ВКонтакте предоставляет доступ к различным приложениям сторонних разработчиков. Киберпреступники могут создавать приложения, которые собирают пользовательские данные или заражают устройства вредоносными программами.

Однако следует отметить, что администрация VK активно борется с киберпреступностью, применяя меры безопасности, модерацию контента и информационную поддержку пользователей.

Как налажена система защиты в ВК

Вся кибербезопасность платформы ВК фактически держится на двух китах — технологических средствах, необходимые для защиты и умениях самого пользователя ими пользоваться. ВК постоянно работает в двух этих направлениях — совершенствует внутренние технологии и повышает уровень грамотности пользователей. Вот лишь некоторые инициативы, которые положительно влияют на общую безопасность ВКонтакте:

1. Двухфакторная аутентификация. Такой метод безопасности требует от пользователя предоставить два различных способа подтверждения своей личности при входе в систему или сервис. В 2023 г. почти 16 млн пользователей воспользовались этим методом и усилили защиту своих аккаунтов.
2. Bug Bounty. ВК запустили программу еще в 2015 году и с тех пор только масштабируют Bug Bounty и повышают выплаты за отчеты о потенциальных уязвимостях. Это такой превентивный удар по мошенникам — мы сами найдем лазейки и закроем их. При этом этичным хакерам предлагается искать уязвимости в мобильных приложениях ВК, а максимальное вознаграждение по текущей программе составляет 3,6 млн рублей (до вычета налога).
3. Круглосуточный мониторинг возможных инцидентов. Только за 2023 год сотрудники ИБ социальной сети отразили более 6,5 млн кибератак. При этом около 300 инцидентов могли привести к серьезным последствиям для инфраструктуры компании и клиентов.

Последнему факту хочется уделить особое внимание, так как взламывают ВК не только простых пользователей, но и администраторов сообществ. И последний вариант намного хуже.

Дмитрий Овчинников

Главный специалист отдела комплексных систем защиты информации компании «Газинформсервис»

Таргетированные атаки на сотрудников крупных компаний сейчас это нормальная практика. Социальная сеть, это такой же вектор атаки, как и электронная почта, в особенности если сотрудник для доступа к социальным сетям использует свой рабочий компьютер или ноутбук. В целом, такой подход со стороны злоумышленников достаточно логичен. Тут, скорее всего, есть недосмотр со стороны специалистов по информационной безопасности, которые оставили открытым доступ к социальным сетям. Но если мы говорим о подготовленной и целенаправленной атаке, то подобные угрозы очень реалистичны и должны быть учтены в модели угроз.

Если говорить об атаках на администраторов сообществ ВК, то это очень заманчивая цель для киберпреступников. Получая контроль над подобным аккаунтом, злоумышленники получают полный контроль над сообществом и всей информации, что была в ней. Поэтому подобные аккаунты надо тщательно защищать. Прежде всего, надо ограничить круг администраторов в сообществе. Желательно, это должны быть учетные записи, которые не связаны с реальными аккаунтами людей. Необходимо защитить почту сложным паролем, включить двухфакторную аутентификацию в ВК, а доступ к ВК осуществлять только с надежного компьютера, на котором соблюдаются все меры по обеспечению информационной безопасности.

Поэтому компаниям очень важно следить за социальной жизнью своих сотрудников, проводить обучение по информационной гигиене. А подход к безопасности администраторов сообществ и вовсе должен быть на высшем уровне.

Популярные методы взлома аккаунтов ВК

Среди методов, которыми злоумышленники пользуются, чтобы увести аккаунт ВК, особо выделяется фишинг, использование вредоносного ПО и социальная инженерия. Расскажем подробнее, как это работает в 2024 году.

Евгений Свиридов

Руководитель департамента проектирования и внедрения iTPROTECT

Взлома VK в классическом понимании сейчас не существует. Сейчас социальная сеть, как и большинство подобных сервисов, оснащена двухфакторной аутентификацией, и зайти извне, без участия владельца профиля, или его устройства, невозможно. Самые распространенные способы проведения кибератак на конкретные профили в VK – либо использование ботов-троянов с устройства владельца аккаунта, либо использование методов социальной инженерии. Также стоит отметить фишинговые страницы, или страницы-копии, которые выдают себя за сайты компаний, и переход на которые вызывает заражение вредоносным контентом.

Итак, фишинг. Работает схема взлома ВК с помощью ссылки следующим образом:

• Мошенник заманивает жертву на фишинговый сайт. Например, предлагает после прочтения какой-то интересной статьи перейти на сайт и зарегистрироваться.
• Пользователь переходит по ссылке и видит знакомые данные. Например, vc.com. Жертву ничто не пугает — это для родная и знакомая социальная сеть.
• На следующем шаге появляется окно, имитирующее вход в систему ВК. Как только жертва вводит логин и пароль, они сразу попадают в распоряжение преступника.

Взломать ВК по ссылке могут не только через сайты, но и с помощью обычной почтовой рассылки. Вам приходит письмо с заманчивым предложением, акцией или бонусом якобы от VK. А при переходе по фишинговой ссылке личные данные крадутся. 

Мошенники, которые используют вредоносное ПО, имеют достаточно обширные возможности. Например, они могут спрятать зловред в картинке. Это вполне рабочая схема, так как спрятать вирус в картинку достаточно легко. А шансы, что жертва откроет картинку в социальной сети — высоки. Главная задача киберпреступников, использующих зловреды в том, чтобы на устройство жертвы попал вирус, троян, бот или иное ПО, которое получит доступ к персональным данным. В том числе к логину и паролю от ВК.

Методы социальной инженерии базируются на использовании человеческого фактора. Мошенники любыми способами входят в доверие к пользователям или его друзьям, близким людям и рано или поздно получают нужную им информацию — пароли, сканы документов, интимный контент.

Как защитить свой аккаунт ВК

Хотя практически каждый пользователь знает, как правильно работать с аккаунтом в социальной сети ВК, стоит постоянно обновлять свои знания и, возможно, подключать новые методы защиты своих персональных данных. 

Дмитрий Хомутов

Директор Ideco

Для начала нужно помнить, что нельзя хранить и обмениваться конфиденциальной информацией в соцсетях, и это касается как топ-менеджеров и директоров, так и рядовых сотрудников. Любые социальные сети не гарантируют абсолютную конфиденциальность информации, и данные могут стать доступными широкой публике или быть использованы третьими лицами без вашего разрешения. Хакеры могут легко получить доступ к вашему аккаунту и украсть конфиденциальные данные. Ежедневно в России отправляется более 1 миллиона вредоносных сообщений. Такие атаки популярны из-за их невысокой стоимости – более 80% писем мошенники отправляют с помощью программного обеспечения, стоимость которого начинается от 299 рублей.

Это может привести к серьезным юридическим последствиям отдельного сотрудника, так и для компании. Вместо этого для обмена конфиденциальной информацией следует использовать защищенные каналы связи, такие как зашифрованные электронные письма или специализированные платформы для обмена информацией. Также NGFW может помочь сотруднику компании спокойно пользоваться социальными сетями, не беспокоясь о возможном взломе. NGFW обычно включает в себя функции глубокого анализа трафика, контроля приложений и защиты от угроз в реальном времени. Это позволяет обнаруживать и блокировать вредоносные программы, атаки, переход на фишинговые сайты и другие угрозы, обеспечивая надежную защиту сети компании.

Вот несколько главных правил, которых рекомендуется придерживаться, если вы активный пользователь социальных сетей:

1. Используйте двухфакторную аутентификацию везде, где это возможно. 
2. Сделайте для себя табу на некоторые виды контента, которые вы отправляете в ВК. Никаких интимных фото- или видео, сканов документов или фото банковских карт.
3. Настройте приватность — закройте аккаунт, ограничьте доступ к фотографиям, личной информации и списку друзей. Так вы уменьшите шансы преступника составить ваш психологический портрет и воспользоваться методами социальной инженерии.
4. Создайте второй аккаунт, в который добавьте всех своих друзей и первый аккаунт. Если управление аккаунтом перейдет в чужие руки, вы сможете, по крайней мере, написать об этом друзьям. Чтобы они не повелись на развод и не стали переводить деньги мошенникам.

Отвечая на вопрос из заголовка, взлом VK частично стал мемом, поскольку платформа достаточно зрелая с точки зрения информационной стороны и предоставляет пользователю достаточный набор инструментов для защиты.

В то же время, никакие технические решения не могут запретить пользователю передать пароль, логин, второй фактор и любую другую информацию, которую злоумышленник может у него «попросить».