Безопасность подписок: как не отдать злоумышленникам аккаунт, деньги и душу

Вы когда-нибудь пробовали посчитать, сколько денег вы тратите на подписки каждый месяц? Музыка, фильмы, игры, языковые курсы, сервисы доставок, подогрев кресел и возможность общаться с чат-ботом Grok прямо из машины — для чего только не придумали подписки. Есть даже подписка на сервис, который… следит за вашими подписками.

Количество подписок сильно отличается в зависимости от места жительства пользователя, но по статистике хотя бы одна платная подписка есть у 78% взрослого населения Земли, а в среднем на одного пользователя приходится 5,6 активных подписок. При этом большая часть из них — семейные, используемые совместно с близкими… и не очень: 37% пользователей делятся своими подписками за пределами семьи.

При этом подписные аккаунты, особенно семейные, часто содержат конфиденциальные данные владельца и потому востребованы кибермошенниками. Сегодня расскажем, как безопасно управлять подписками, избежать взлома всех ваших аккаунтов и не попасться на удочку злоумышленников.

Безопасность совместных аккаунтов и подписок

Зачем вообще кому-то нужно взламывать вашу подписку? Даже если сервис предлагает только развлекательный контент, ваш аккаунт почти наверняка содержит конфиденциальную информацию: имя, адрес, электронную почту, телефон, имена других участников и прочие персональные данные. Эти данные затем перепродают в даркнете и используют для дальнейших взломов.

Злоумышленники взламывают подписочные аккаунты, либо эксплуатируя методы социальной инженерии и фишинг, либо пользуясь тем, что многие пользователи используют слабые или скомпрометированные пароли, — как мы недавно рассказывали в нашем исследовании, почти половину всех паролей в мире можно взломать меньше чем за минуту. Затем мошенники либо перепродают существующие подписки или места в семейной группе задешево, либо оформляют на жертву новые подписки, надеясь, что та просто не заметит дополнительных списаний.

Наконец, некоторые «дельцы» не заморачиваются взломом чужих аккаунтов, а просто покупают подписки на большое количество устройств — в таких пакетах стоимость использования в пересчете на отдельное устройство, как правило, заметно ниже. А дальше места в этой подписке перепродаются в розницу на интернет-барахолках — в результате в одном «семейном» аккаунте могут оказаться совершенно незнакомые друг с другом люди.

Как делятся подписками с близкими и не очень

Многие владельцы подписок с легкостью делятся ими с членами семьи и друзьями. Что тут может пойти не так?

Самый худший вариант с точки зрения безопасности — когда покупается один подписной аккаунт и владелец передает логин и пароль другим пользователям. Чаще всего пользователи таким образом экономят на семейной подписке — покупают индивидуальную, а потом делятся ей с близкими. В некоторых сервисах даже можно завести разные «профили», но все они при этом будут привязаны к одному аккаунту — соответственно, одинаковыми будут и данные для входа. Так, например, работают стриминговые площадки Hulu и Disney+.

С одной учетной записью на несколько человек высок шанс того, что ваш логин и пароль окажутся у злоумышленников: вы не можете гарантировать, что другие пользователи подписки надежно хранят учетные данные и что у них на устройствах нет вредоносов. Да и без вредоносного ПО случайно «подарить» пароль злоумышленникам проще простого: для этого достаточно подключиться к публичному Wi-Fi без защиты соединения и зайти в подписной сервис.

Так что вполне возможно, что пароль, которым вы любезно поделились с друзьями, уже засветился где-то в закромах даркнета, а со своим аккаунтом вы вскоре расстанетесь. А если вы используете одинаковый пароль на разных сайтах и приложениях, в зоне риска оказываются и другие ваши аккаунты.

Второй вариант — это когда у каждого члена группы отдельный аккаунт. Многие сервисы сейчас предлагают подключить к подписке дополнительных пользователей без доплаты, и большинство владельцев подписок с легкостью делятся этими бесплатными местами в подписке. Но и в этом случае расслабляться не стоит: взлом одного аккаунта в «семье» все еще может выдать конфиденциальную информацию (имена членов семьи, адрес, платежную информацию и другие данные, связанные с подпиской).

Как не потерять доступ к своим подпискам (и деньгам)

Чтобы персональные данные вас и ваших близких остались в секрете, а аккаунты — в вашем владении, следуйте нескольким простым правилам.

Используйте сильную защиту аккаунтов

Для этого научитесь сами и научите друзей и родственников пользоваться менеджером паролей, двухфакторной аутентификацией или ключами доступа.

Если вы и ваши близкие храните пароли «в голове», то вероятность того, что вы используете один и тот же пароль в разных сервисах, весьма велика. И это большая ошибка: утечки данных фиксируются исследователями постоянно, а один скомпрометированный пароль дает злоумышленникам доступ к другим сервисам.

Самое простое решение — завести менеджер паролей, который будет генерировать и запоминать сложные уникальные пароли для каждого сайта и сервиса за вас. Вам же останется запомнить один-единственный пароль от его зашифрованного хранилища. Кстати, Kaspersky Password Manager умеет не только хранить и придумывать пароли, но и проверять, появлялись ли они в утекших базах данных, а также синхронизировать пароли между всеми вашими устройствами.

Кроме того, менеджер паролей надежно защитит вас от фишинга: в отличие от человека, которого легко ввести в заблуждение, показав ему очень похожую на настоящую форму логина, расположенную на очень похожем на настоящий домене, менеджер паролей на такую уловку не поведется. Он предложит автоматически заполнить сохраненный логин и пароль только на том сайте или в том сервисе, для которого они были сохранены.

Не используйте для хранения паролей браузеры: к сожалению, злоумышленники давно научились извлекать пароли, сохраненные в браузерах, за считаные секунды.

Двухфакторная аутентификация — это дополнительное подтверждение, которое система запрашивает после ввода пароля (например, код из SMS или приложения-аутентификатора). Обязательно включите двухфакторную аутентификацию, если это технически возможно, на всех аккаунтах, связанных с подпиской. Это касается как учеток в самих подписных сервисах, так и сторонних аккаунтов, если вы используете их для авторизации (например, Google, Apple, Yandex, VK и так далее).

Мы рекомендуем хранить токены двухфакторной аутентификации и генерировать одноразовые коды, которые меняются каждые 30 секунд, в Kaspersky Password Manager: так понижается вероятность того, что злоумышленник «угонит» вашу учетную запись. Даже если он каким-то образом узнает или подберет ваш пароль, получить код без физического доступа к вашему устройству у него не получится.

Наконец, можно вообще избавиться от паролей, перейдя на ключи доступа (passkeys) — ранее мы подробно рассказывали и о том, что это за новая альтернатива паролям, и о нюансах их использования. На сегодняшний день это самая «взломостойкая» система аутентификации, и ее основной недостаток — сложность синхронизации ключей доступа между разными экосистемами (например, между Windows и iOS). Но в обновленной версии Kaspersky Password Manager научился сохранять и синхронизировать ключи доступа между устройствами под управлением Windows, macOS, iOS и Android, так что и эта проблема осталась в прошлом.

Не пренебрегайте защитой устройств

Но сложный пароль и второй фактор — не повод расслабляться. Злоумышленник может внедрить на ваше устройство инфостилер — вредонос, который умеет красть, например, сессионные куки-файлы из браузера, конфигурационные файлы приложений и прочую конфиденциальную информацию с вашего устройства. Сессионные куки в браузере отвечают как раз за то, что вам не приходится вводить логин и пароль на сайте при каждом новом его посещении. Но если они окажутся у мошенников, те смогут войти в соответствующий сервис от вашего имени, даже не зная логина и пароля от него. Поэтому защищайтесь, защищайтесь и еще раз защищайтесь — особенно если вы используете Chrome, Edge, Opera и другие браузеры на основе Chromium под Windows. Мы рекомендуем установить на все ваши устройства Kaspersky Premium, в который помимо комплексной защиты от киберугроз входит и Kaspersky Password Manager.

Делитесь подписками только с теми, кому доверяете

Иначе вас могут ждать неприятности. Например, если вы поделились подпиской Steam с другом-читером, оба ваших аккаунта могут заблокировать. И не пытайтесь впустить кого-то еще в свой личный аккаунт или индивидуальную подписку: чаще всего передача пароля сторонним людям является нарушением правил, и за этим может последовать блокировка.

Убедитесь, что в вашей «семейной группе» нет лишних людей

Для этого периодически проверяйте активные устройства и сессии в настройках подписки на сервис. Если увидите в списке авторизованных неизвестное устройство, завершите этот или все сеансы и сразу же поменяйте пароль к аккаунту. Перелогиниться на нескольких устройствах проще, чем восстанавливать доступ к угнанному аккаунту.

Ну и помните: в расследовании главное — не выйти на самого себя. Если вы едете в гости, отпуск или командировку, где будете пользоваться местным компьютером или «умным» телевизором, или же зашли в свой аккаунт с общественного компьютера, не забудьте потом разлогиниться. Иначе следующие гости, к своему удовольствию, обнаружат на устройстве «халявные» подписки, а то и чего поинтереснее — например, вашу электронную почту или фотопоток из вашего облака.

Не попадайтесь на крючок

Остерегайтесь фишинговых писем и сообщений от имени легитимных сервисов. Если вам пришло сообщение о «необходимости обновить платежную информацию» или о том, что в вашу семейную подписку якобы «добавился новый пользователь», не спешите переходить по содержащимся в нем ссылкам — они могут привести вас на фишинговую страницу — или открывать вложения — в них может скрываться вредонос. Мошенники часто используют почтовые адреса и имена сайтов, похожие на настоящие: например, меняют буквы l (L строчная) и I (i прописная) или используют адреса, похожие на настоящие, но в другой доменной зоне.

К сожалению, фишинговые страницы зачастую неотличимы от оригинала: для качественного дизайна и верстки используется искусственный интеллект. Отследить все красные флаги самостоятельно довольно сложно, поэтому защиту от фишинга лучше делегировать Kaspersky Premium. Он предупредит вас о подозрительных сайтах и сбережет не только ваши деньги, но и нервы.

Наконец, некоторые мошенники заманивают пользователей «бесплатным сыром», например рассылают «подарочные подписки» на Telegram Premium. Жертву просят перейти на фишинговую страницу, имитирующую страницу авторизации Telegram, и войти в свой аккаунт, чтобы заполучить заветный подарок. Результат вполне ожидаем: никакой премиум-подписки не появляется, а аккаунт угнан. В последнее время мошенники даже научились использовать мини-приложения для кражи ваших учетных данных прямо внутри Telegram под разными предлогами — от раздачи подарков до необходимости перейти в новый чат из-за блокировки старого.

Не покупайте подписки у сторонних продавцов

Зачастую на маркетплейсах и торговых площадках вы можете найти предложения о покупке подписки по цене куда ниже, чем у официального продавца. Скорее всего, за заманчивой ценой скрывается чей-то взломанный аккаунт или семейная группа, из которой вас могут в любой момент выбросить, ведь администратор «семьи» — сам продавец или вообще случайный пользователь. Да и пользоваться семейной подпиской с незнакомцами из разных стран — это нарушение правил во многих сервисах.

Как избавиться от лишних подписок

С безопасностью подписок разобрались. А как насчет лишних подписок, которые незаметно ежемесячно съедают ваши деньги? Исследования показывают, что пользователи обычно недооценивают количество активных подписок и расходы на них, а также часто забывают отменять пробный период или автопродление подписки.

Если у вас есть подозрение, что вы из их числа, начните расследование с собственных банковских выписок. Обнаружили регулярные списания на одну и ту же сумму? Есть все основания полагать, что это подписка, про которую вы забыли. Посмотрите, какой компании ушел платеж. Если ее название вам ничего не скажет, погуглите юридическое лицо. Еще будет не лишним вбить в поиск своего почтового клиента название и сумму платежа — так вы можете найти уведомления о подписке и понять, за что вы вообще платите (и не забудьте проверить папку «Спам» — обычно уведомления о подписках попадают именно туда).

Теперь разберемся, как проверить и отменить активные подписки, приобретенные через App Store и Google Play.

Для пользователей Android

1. Откройте Настройки на устройстве.
2. Нажмите Google, затем — иконку своего профиля, а затем перейдите в Управление аккаунтом Google.
3. Перейдите в раздел Управление покупками/подписками.

Если вы администратор семейной группы, то вам будет видна история покупок других членов вашей семьи.

Для пользователей iOS

1. Откройте Настройки на устройстве.
2. Нажмите на иконку своего профиля вверху списка настроек.
3. Перейдите в раздел Подписки.

Важно: для управления подпиской iCloud нужно отдельно зайти в соответствующий раздел ниже Подписок. А в разделе Семья, если вы администратор группы, можно посмотреть историю подписок и покупок всех членов семьи.

Что еще почитать про подписки:

• Вам отправили «подарок» — подписку Telegram Premium
• Как поделиться подпиской на разных сервисах
• Как взять все свои подписки под контроль
• Платную подписку заказывали? Нет? А будет!