Как попасть в ТОП Инстаграм 2021

Как попасть в ТОП Инстаграм 2021

Instagram постоянно совершенствуется для того, чтобы предоставлять пользователям исключительно качественный контент. Для этого лента социальной сети работает по особенному алгоритму, выводящему в начало ленты самые интересные видео и публикации. С относительно недавнего времени появились еще вкладки “ТОП” и “Интересное”, куда попадают фото и посты, набравшие наибольшее количество просмотров и лайков. Вы удивитесь, но попасть туда могут не только знаменитые блогеры с многомиллионной аудиторией, но и обычные пользователи.

Как работает уязвимость

Уязвимость в WhatsApp позволяет добиться полной блокировки аккаунта жертвы и осуществляется в два очень простых этапа, на каждом из которых исполнителю даже не потребуются навыки хакинга или социальной инженерии – он вообще не будет контактировать с владельцем профиля.

На первом этапе злоумышленнику нужно просто установить WhatsApp на смартфон и попытаться залогиниться под нужным номером телефона. Мессенджер направит на него SMS с кодом подтверждения, и здесь идет расчет на то, что владелец номера будет игнорировать их. После нескольких таких попыток приложение на устройстве злоумышленника сообщит о слишком частых попытках авторизации и позволит произвести следующую лишь через 12 часов. При этом WhatsApp на устройстве жертвы пока продолжит работать, как и прежде.

На втором этапе злоумышленник регистрирует новый адрес электронной почты и пишет письмо в техподдержку WhatsApp, в котором говорит, что его учетная запись была утеряна или украдена. Он просит отключить ее и указывает номер жертвы. WhatsApp может отправить автоматическое письмо с просьбой написать номер еще раз, и атакующий сделает это.

Далее WhatsApp, никак не удостоверившись в том, что в техподдержку написал подлинный владелец аккаунта, инициирует процедуру блокировки. Примерно через час мессенджер внезапно перестанет работать на устройстве жертвы – она увидит сообщение, что ее номер больше не зарегистрирован в системе. «Это могло случиться потому, что вы зарегистрировали его на другом телефоне. Если вы этого не сделали, подтвердите свой номер телефона, чтобы снова войти в свою учетную запись» – будет сказано в уведомлении.

Все это сработает, даже если пользователь активировал двухфакторную авторизацию. Попытка запросить новый код будет провалена – WhatsApp разрешит сделать это лишь через 12 часов.

Что получают заявители

Cогласно статистике Google, доля зашифрованного трафика, поступающего на серверы компании из России, составляет 92%. По этому показателю страна оказалась в топ-10 в мире. Выше доля зашифрованного трафика, поступающего на серверы Google, в Индии, Великобритании, Японии (по 97%), Индонезии и Мексике (по 96%), Бразилии (95%) и США (93%).

Карен ​Казарян предположил, что в Рунете большой объем атакующего трафика (исходящего от злоумышленников) и поэтому сайты предпочитают безопасный протокол https, шифрующий трафик. «С одной стороны, это в какой-то мере защищает от кражи информации, но с другой — когда госорганы делают запрос на предоставление такого трафика, расшифровывают они его сами, что довольно сложно», — уточнил он.

​По словам генерального директора Qrator Labs Александра Лямина, большинство современных приложений и новых сайтов шифруют свой трафик. «Для пользователей это хороший сценарий, так как никто не узнает, что вы гуглите — соблюдается право на частную жизнь. А вот, например, для «закона Яровой» это создает дополнительные проблемы — трафик хранится, но его содержание требует расшифровки, а для этого, в свою очередь, нужны ключи и сертификаты, которые есть только у разработчиков», — пояснил Лямин.​

Как пояснил руководитель российского исследовательского центра «Лаборатории Касперского» Юрий Наместников, многие онлайн-сервисы используют криптографические протоколы SSL и TLS, то есть трафик между пользователем и сервером зашифрован. «Если к этому трафику получить доступ (например, он есть у интернет-провайдера), не имея соответствующих ключей, то расшифровать его очень трудно, если вообще возможно в разумное время. Но сам онлайн-сервис эти данные теоретически может расшифровать и передать в правоохранительные органы, например, по требованию суда», — отметил Наместников. Однако при использовании качественного сквозного (end-to-end) шифрования расшифровать переписку, записи разговоров и т.д. не сможет и сам провайдер, сказал он.

Что могло произойти

Для начала разберемся, как чужак вообще мог получить доступ к вашему аккаунту. Тут есть несколько вариантов.

Утечка данных и атака методом подстановки

Могла произойти утечка со стороннего сайта, где вы зарегистрированы. Заполучив список логинов, адресов e-mail и паролей, мошенники используют их для атаки методом подстановки, то есть пробуют вводить украденные учетные данные на множестве сайтов. К сожалению, многие люди задают одинаковые пароли для защиты своих аккаунтов в разных сервисах — на это и рассчитывают преступники.

Альтернативный вариант — учетные данные Facebook или Instagram могли утечь из того приложения, которому вы их доверили. Например, в июне прошлого года в сеть утекли тысячи паролей от аккаунтов Instagram, владельцы которых использовали сервис Social Captain для накрутки лайков и подписчиков. Оказалось, он не шифровал данные клиентов, и доступ к ним мог получить кто угодно. Разумно предположить, что многие пользователи сервиса с тех пор столкнулись с попытками взлома.

Фишинг

Также может быть, что некоторое время назад вы попались на фишинг, и ваши логин с паролем попали в руки мошенников напрямую. Кликнули по какой-то ссылке, и на открывшейся странице, очень похожей на экран входа в Facebook или Instagram, ввели свои учетные данные. Так они оказались у преступника. Например, совсем недавно наши эксперты обнаружили фишинговую кампанию, в которой жертв заманивали на фишинговые страницы угрозой блокировки аккаунта Facebook из-за нарушения копирайта.

Кража пароля

Ваш пароль могли украсть с помощью вредоносного ПО, которое вы где-то подцепили. Многие трояны имеют в своем составе встроенный кейлоггер — программу, регистрирующую нажатия клавиш на клавиатуре. Все логины и пароли, которые вводит жертва, кейлоггер прямиком передает в руки злоумышленников.

Кража токена доступа

Возможно, кто-то украл ваш токен доступа. Чтобы вам не приходилось каждый раз при входе в Facebook или Instagram вводить пароль, он сохраняет на вашем компьютере небольшой кусочек необходимой для входа информации, который называют токеном или маркером доступа. Если злоумышленник украдет актуальный токен, то сможет войти в аккаунт без логина и пароля.

Воровать токены могут по-разному. Иногда это делают через уязвимости в самом Facebook — например, в 2018 году злоумышленники смогли заполучить токены доступа к 50 миллионам аккаунтов Facebook. Также злоумышленники могут использовать для кражи токенов расширения для браузеров.

Вход с чужого устройства

Не исключено, что вы входили в Facebook или Instagram с чужого устройства — в гостях, в интернет-кафе, в гостиничном лобби и так далее — и не разлогинились после этого. Или, например, забыли выйти из аккаунта на устройстве, которое уже успели продать или подарить. Теперь же кто-то обнаружил вашу оплошность и вошел в ваш аккаунт.

Ложная тревога (и снова фишинг)

Возможно, ваш аккаунт вообще еще не взломали, а как раз пытаются с помощью поддельного уведомления о подозрительном входе. Это тот же фишинг, о котором мы говорили выше, но немного другая его разновидность. Вместо угрозы блокировки мошенники могут использовать фальшивые уведомления о подозрительном входе со ссылкой на фишинговые сайты, похожие на страницу входа в аккаунт. Злоумышленники рассчитывают, что жертва в панике перейдет на подставной сайт и введет там свои логин и пароль.

Как узнать, что ты в ТОПе

Способ #1:

Зайти посмотреть ТОП с ПК. Авторизуемся в веб версии приложения под своим логином и паролем, идем в поиск, прописываем хэштег или геолокацию и открываем страницу с ТОПом.

Первые 9 публикаций и есть ТОП. В веб версии они называются «Лучшие публикации».

Говорят, что ТОП персонализирован. Но это не так. Проверяется просто – копируем ссылку и идем в другой браузер, где можно открыть сайт в приватном или анонимном режиме, то есть без привязки к персональным предпочтениям. Например, можно открыть ссылку через TOR или режим Инкогнито в в браузере Chrome (комбинация Ctrl + Shift + N). Видим почти то же самое.

Способ #2:

Посмотреть статистику под постами – есть ли показы по хэштегам или геолокации. И вообще, насколько публикация выстрелила. Для этого открываем конкретный пост, под ним нажимаем кнопку «Посмотреть статистику».Там можно посмотреть взаимодействия, охват и источник показов.

Либо идем в раздел «Настройки» – «Статистика» и смотрим эту информацию там.

Заключение

Стремление вывести публикацию в ТОП должно быть продиктовано здравым смыслом — если это не приносит продажи или не приводит новую аудиторию, то не стоит тратить на это свое время и силы. На практике, выход в ТОП в Инстаграм по хэштегам или геолокации, это один из немногим способов получения бесплатных показов и охвата, которым не стоит пренебрегать.

Google подготовила исследование про способы взлома аккаунтов

По мнению ведущего юриста Обществ защиты прав потребителей Олега Фролова, если говорить о физических лицах, то перспектива получения компенсации морального вреда действительно маловероятна, либо, «даже если случится чудо и вы иск выиграете, она будет ничтожной и несоизмеримой с затратами сил на получение». «Что касается юридического лица, то ущерб здесь может быть более значительным, как минимум может быть раскрыта коммерческая тайна,— продолжает господин Фролов.— Практики такой обширной в России пока нет, убытки доказать в наших судах крайне сложно, суды неохотно верят в доказательства во всем, что связано с интернетом. Эта та область, с которой даже наше правительство не знает, как обращаться, разве только блокировать сайты и защищать честь и достоинство — вот здесь практика сложилась. А вот со сливами информации, хакерскими атаками бороться пока не научились».