Как защитить свои аккаунты, если ты блогер со 100 подписчиками
Спойлер: мошенникам похуй на твою аудиторию. Почти.
Все эти гайды по кибербезопасности в интернете, которые еще и продают - пишут для миллионников.
И это логично: взломал аккаунт с миллионом подписчиков -> выложил фишинговую ссылку -> тысячи людей кликнули -> каскадный взлом = лавина украденных аккаунтов. Один пост "Розыгрыш iPhone, переходи по ссылке" в канале популярного блогера может принести мошенникам сотни жертв за час, что эквивалентно большой сумме, а этот масштаб окупает усилия, согласись.
А ты сидишь такой с сотней подписчиков (половина - боты, четверть - бывшие) и думаешь: "Ну меня-то кому взламывать? Ради охвата на 47 человек?"
И вот тут начинается интересное. Тебя взламывают не ради подписчиков. Тебя взламывают ради тебя.
Мошенникам нужен доступ. К твоей почте, которая привязана к госуслугам. К телеге, где ты переписываешься с коллегами и скидываешь сканы документов, а еще купил подарков на пару десятков тысяч рублей. К аккаунту, через который можно сбросить пароль от банка. К стим, где есть хентай игрульки для двоих. К облаку, где лежат фотки паспорта "на всякий случай".
Взлом миллионника это про охват. Взлом тебя это про цепочку: почта → мессенджер → облако → банк → ты в жопе. И 100 подписчиков от этого не защищают. Скорее наоборот, у тебя нет команды безопасников, нет денег на юристов, и техподдержка будет отвечать тебе три недели вместо трёх часов.
Аппаратный ключ - твой новый лучший друг
Это такая флешка, только вместо файлов на ней криптографические ключи. Втыкаешь в комп или подносишь к телефону и подтверждаешь, что ты это ты. Никаких SMS-кодов, которые можно перехватить. Никаких пуш-уведомлений, на которые ты кликнешь спросонья.
- YubiKey 5 NFC - золотой стандарт, 5000-7000 рублей. USB-A + NFC, работает со всем. Есть версии USB-C, есть nano (торчит из порта на 2 мм). Швейцарское качество, параноики одобряют.
- YubiKey Security Key - младший брат, ~3000 рублей. Умеет только FIDO2/WebAuthn (для большинства сервисов хватит), но не умеет OTP и смарт-карты. Если нужен просто ключ для Google/GitHub/Microsoft хватит за глаза.
- Nitrokey - немецкий (Grundstcksverkehrsgenehmigungszustndigkeitsbertragungsverordnung), open source. 4000-6000 рублей. Для тех, кто не доверяет закрытому коду YubiKey. Прошивка открыта, можно проверить, что там внутри. Минус - чуть менее удобный софт.
- SoloKeys - полностью open source, ~3000 рублей. Разрабатывается энтузиастами, можно даже собрать самому, если ты совсем поехавший. Работает, но поддержка комьюнити-уровня идинахуй сам разберись.
- Телефон как ключ - бесплатно, если уже есть. Android 7+ и iPhone с iOS 16.3+ умеют работать как аппаратный ключ через Bluetooth. Google и Apple это поддерживают нативно. Минус: телефон можно взломать удалённо, физический ключ - нельзя. Но лучше, чем SMS.
От меня совет: бери сразу два. Один носишь с собой, второй лежит дома в сейфе (или в заднем проходе у кота, я не осуждаю). Потеряешь основной - не придётся проходить все круги ада с восстановлением. У меня YubiKey 5 NFC и YubiKey Security Key USB2.0
Куда привязывать: Google, Apple ID, Telegram, GitHub, Twitter, 1Password, Почтари - все серьёзные сервисы это поддерживают.
Да, это стоит денег. Да, это лишний девайс. Но это единственная защита, которую нельзя обойти удалённо. SMS можно перехватить. Пуш можно подтвердить случайно. Аппаратный ключ только физически украсть. А для этого надо знать, где ты живёшь. А это уже другой уровень проблем.
А если я жмот и не хочу платить 5000 за флешку?
Справедливо. Есть альтернатива - Bitwarden умеет эмулировать аппаратный ключ программно. Называется это passkeys.
Работает так: вместо физической флешки криптографический ключ хранится в зашифрованном хранилище Bitwarden. Когда сайт просит подтвердить вход аппаратным ключом Bitwarden подставляет свой программный. Для сервиса разницы нет: криптография та же, протокол тот же.
- Бесплатно (если уже используешь Bitwarden)
- Нельзя потерять физически — не выпадет из кармана в такси
- Синхронизируется между устройствами
- Если кто-то получит доступ к твоему Bitwarden — получит и "ключ"
- Физический ключ нельзя украсть удалённо. Программный — теоретически можно, если ты словишь малварь или сольёшь мастер-пароль
Вердикт: для 99% людей passkeys в Bitwarden — достаточная защита. Это на порядок лучше, чем SMS-коды или пуши. Физический YubiKey нужен, если ты реально ценная мишень: журналист-расследователь, криптокит, блогер. Или просто параноик с деньгами тоже валидная причина.
1. Обнови Bitwarden до последней версии
2. Зайди на сайт, который поддерживает passkeys (Google, GitHub, Microsoft, etc.)
3. В настройках безопасности выбери "Добавить passkey"
4. Bitwarden предложит сохранить ключ — соглашайся
5. Готово. Теперь при входе вместо SMS будет запрос к Bitwarden
У меня свой битварден сервер, кек
Отдельный номер для всего важного
Твой основной номер знают все: коллеги, бывшие, служба доставки, и тот чувак, которому ты продавал велосипед на Авито в 2019-м. Этот номер - дыра в безопасности размером с ...
- Основной номер — для звонков и повседневных дел
- Секретный номер — только для двухфакторки и восстановления аккаунтов
Этот секретный номер не должен знать никто. Вообще.
Идеальный сетап: Этот номер стоит как есимка в твоем телефоне, включается только по нужде. Параноидально? Да. Работает? Ещё как.
Защита SIM-карты
Знаешь, что такое SIM-swap? Это когда мошенник приходит в салон оператора с поддельной доверенностью и перевыпускает твою симку на себя. Всё, у него твой номер. Все SMS-коды - его. Двухфакторка через SMS - бесполезна. Да, 24 часа блока спасает, если ты не в отпуске или не в лесу без GSM вышки.
- Запрет на перевыпуск без личного визита — идёшь в офис оператора, пишешь заявление. Теперь симку могут перевыпустить только при твоём личном присутствии с паспортом.
- Запрет на eSIM - тоже через заявление. Никто не сможет удалённо выпустить электронную симку на твой номер.
Да, придётся сходить ногами в офис. Да, это займёт полчаса. Но это полчаса против потенциального ада с восстановлением всех аккаунтов.
Расширенная защита почты и соцсетей
Обычная двухфакторка это хорошо. Но есть уровень выше.
Google Advanced Protection Program: Бесплатно. Требует аппаратный ключ. После включения в твой аккаунт нельзя войти без физического ключа. Вообще. Никак. Даже если кто-то узнает пароль и получит доступ к твоему телефону - без флешки он не войдёт.
- Облачный пароль - дополнительный пароль при входе с нового устройства
- Уведомления о входах - будешь знать, если кто-то попытается войти
- Завершение всех сеансов - одна кнопка, и все устройства кроме текущего вылетают
VK, Instagram, Facebook: Двухфакторка через приложение-аутентификатор (Google Authenticator, Authy), не через SMS. SMS это прошлый век и дыра в безопасности.
Менеджер паролей
Если твой пароль это "Qwerty123" или дата рождения, у меня для тебя плохие новости. Даже если это "Qwerty123!" всё равно плохие новости.
- Bitwarden - бесплатный, open source, работает везде
- 1Password - платный ($3/месяц)
- KeePassX - бесплатный, open source, не такой красивый как те два выше
Как это работает: менеджер генерирует и хранит уникальные сложные пароли для каждого сайта. Ты помнишь только один мастер-пароль. Всё остальное — в зашифрованном хранилище.
Мастер-пароль: не "сложный пароль типа Xk#9mL@", а фраза из 4-5 случайных слов. "Корова танцует синий чайник" - это безопаснее и легче запомнить, чем "Xk#9 mL@2024".
Бонус: менеджер паролей не предложит автозаполнение на фишинговом сайте. Если вместо google.com ты попал на g00gle.com пароль просто не подставится. Защита от дурака встроена.
Отзови права у приложений
За годы ты навыдавал доступы всяким сервисам. "Войти через Google", "Авторизоваться через VK", "Подключить к Telegram". Половина этих сервисов уже не существует, а доступы остались.
- Google: myaccount.google.com → Безопасность → Сторонние приложения с доступом к аккаунту
- Telegram: Настройки → Конфиденциальность → Активные сеансы / Подключённые сайты
- VK: Настройки → Безопасность → Подключённые приложения
- Apple: Настройки → Apple ID → Пароль и безопасность → Приложения, использующие Apple ID
Удаляй всё, что не узнаёшь или не используешь. Если что-то важное сломается то дашь доступ заново. Но скорее всего ничего не сломается, потому что ты давно забыл про эти сервисы.
Итог
Да, это всё звучит как паранойя. Да, это требует времени и денег. Да, у тебя всего 100 подписчиков и кажется, что это overkill.
Но давай я расскажу, что реально делают с украденными аккаунтами.
Угоняют личность. В твоём облаке лежит скан паспорта тот самый "на всякий случай". В переписке - селфи с документом для родственника, которому ты отправил и забыл. Проверь щас переписки. Этого достаточно.
Проходят KYC. Верификацию на криптобиржах, в платёжных системах, в букмекерских конторах. Твоё лицо + твой паспорт = аккаунт на твоё имя, через который потом отмывают деньги. Когда придут вопросы от органов - придут к твоей упругой попке.
Берут микрозаймы. Некоторым МФО хватает фото паспорта и номера телефона. Ты узнаешь об этом, когда начнут звонить коллекторы. Или когда откажут в ипотеке из-за испорченной кредитной истории.
Лезут в Госуслуги. Через них можно много интересного: оформить электронную подпись, подать заявления от твоего имени, получить доступ к налоговой, выписать доверенность. Недавно через угнанные Госуслуги начали регистрировать юрлица на жертв, а потом эти ООО используют для обнала и мошенничества.
Шантажируют. Нашли в переписке что-то личное? Интимное? Рабочие секреты? Теперь у тебя выбор: платить или смотреть, как это утекает в паблик.
И всё это не истории из даркнета. Это происходит каждый день с обычными людьми, у которых не было времени разобраться с безопасностью.
Взлом, это не вопрос "если", это вопрос "когда". И когда это случится, ты либо потратишь полчаса на восстановление с резервного ключа, либо месяцы будешь доказывать банкам, полиции и налоговой, что это не ты взял кредит, открыл ООО и вывел деньги в другую страну.