Как защитить свой аккаунт в Instagram. Чек-лист

60% молодых активистов сталкиваются с онлайн-буллингом; самые распространённые его формы — троллинг-комментарии (60%) и угрозы и оскорбления в «личке» (52%) — из доклада Amnesty Inter­na­tion­al. Публикуем самое важное из гида «Теплицы».

Изображение: «Теплица»

Причем это еще меньшее из зол, с которым сталкиваются люди из журналистики, НКО и активизма. Помимо “естественного” негатива (хамских комментариев) и угроз в личных сообщениях нередкой практикой являются скоординированные атаки, которые эксплуатируют уязвимости в функциях и модерации Insta­gram.

В этом гиде «Теплица» рассказывает, какие есть способы защиты от атак ботов и других техник кибербуллинга в Инстаграме. И разбирает, как действуют злоумышленники, какие риски существуют, и дадим набор рекомендаций по самозащите.

Атака “Mass Reports” + Botnet: метод “Инстаграм-мафии”

Один из самых частых сценариев атаки осуществляется через “mass reports”, массовые “жалобы”. Его впервые описал в 2021 дата-журналист Николас Кайзер-Бриль (Algo­rithmWatch, Jour­nal­ism++). Николас расследовал, как действует криминальная онлайн-группировка “Инстаграм-мафия”, куда входили подростки из Ирака и Саудовской Аравии.

В чем была уловка “Инстаграм-мафии”? Злоумышленники, имея большую сетку из Инстаграм-аккаунтов (украденных или фальшивых), отправляли сотни жалоб через кнопки “Пожаловаться на пост “ и “Пожаловаться на профиль”. Предлоги в классификаторе Meta выбирали разные: “суицид”, “ненависть”, “фейковый аккаунт”.

Из-за этого Инстаграм-модерация срабатывала автоматически и “сносила” пост или, еще хуже, навсегда блокировала аккаунт того, кого атаковали, — хотя на самом деле атакуемый не нарушал никакие правила платформы.

После блокировки аккаунт старались перехватить с помощью взлома или социальной инженерии — и, в случае удачи, перепродавали на черном онлайн-рынке за 50–200 долларов. “Инстаграм-мафия” использовала для этого специально созданные скрипты на GitHub, которые позволяли отправлять сотни Инстаграм-жалоб в минуту.

Злоумышленник из «Инстаграм-мафии» хвастается тем, что добился бана датской девушки. Скриншот Algo­rithmWatch.

Похожий кейс, но только в Face­book, описан Кайзер-Брилем в Пакистане: там религиозно-радикальная группа атаковала аккаунты ЛГБТ+-людей, активисток и феминисток тем же способом, — обманув модерацию Меты фальшивыми жалобами. Для этого злоумышленники использовали специальное расширение браузера Chrome. Комплекс программного оснащения для атак обошелся им всего в $10.

По данным Vice, сетки ботов стали теневом рынком: с 2020 года в англоязычном мире процветает услуга «бан за деньги»: заплатив около $60, заказчик может добиться блокировки чужого аккаунта, а потом вымогать крупную сумму за его восстановление.

Такие “инста-убийцы” используют скрипты и сотни фейковых учетных записей, чтобы за несколько кликов отправить сотни жалоб на жертву. После блокировки они сами связываются с техподдержкой, выдавая себя за владельца (например, по стандартной процедуре отправляют фотографию с кодом) – и получают контроль над отключенным аккаунтом, который затем продают.

Другие методы Инстаграм-атак: CIB, имперсонация, фрейпинг, фишинг

Coor­di­nat­ed Inau­then­tic Behav­ior (CIB), — такой термин используют исследователи Стэнфордского университета в докладе 2024 года. Этот термин описывает те бот-атаки в соцсетях, когда под вашими постами появляется поток оскорбительных комментариев от свежезарегистрированных аккаунтов; или когда сотни ботов начинают вас массово упоминать, создавая эффект травли.

По данным Стэнфордского исследования российские, китайские и иранские кибер-группировки применяли следующие методы:

• Боты и скрипты: автоматизированные инструменты для создания иллюзии массового возмущения.
• Списки атакуемых передаются через организованные группы в Telegram и Dis­cord, там же координируют атаки на конкретные аккаунты.
• Soft­ware для атак: на GitHub все еще лежат десятки скриптов для mass report­ing в соцсетях.

Еще один вид угрозы – фейковые аккаунты, которые присваивают имя и фото активиста (имперсонация) и публикуют от его лица провокационный контент, чтобы скомпрометировать активистку или активиста.

Это перекликается с таким видом преследования как «фрейпинг» — взлом аккаунта для публикации компрометирующего контента. Взломав ваш Insta­gram, атакующий может рассылать вашим друзьям оскорбительные сообщения или выкладывать “от вашего лица” неприемлемый контент. Цель – подорвать вашу репутацию и посеять раздор с окружением.

Встречается также следующая тактика — притвориться вами и написать в поддержку, что ваш собственный аккаунт взломали. Если модератор поверит, он может ограничить доступ к аккаунту атакуемого.

Распространены и фишинг-атаки: когда активисту приходит письмо или сообщение с предложением срочно зайти в аккаунт по ссылке (якобы за нарушение авторских прав, для получения “галочки” верификации и т.п.), а по факту ссылка ведет на фейковую страницу входа для кражи пароля.

Чеклист: закрываем уязвимые места вашего Инстаграм-аккаунта

Двухфакторная аутентификация — это must. Заходим: в Pro­file (Профиль)→ Accounts Cen­ter (Центр аккаунтов) → Pass­word and Secu­ri­ty (Пароль и безопасность) и проверяем, стоит ли 2FA. Используйте приложения для аутентификации (Google Authen­ti­ca­tor точно не подведет), а не двухфакторку на основе SMS (она уязвима для атак с заменой SIM-карт).

Также стоит:
— обновить ваш пароль (особенно если у вас стоит пароль love12345, неизменный с 2016 года);
— включить усиленную защиту Advanced Pro­tec­tion.

 В том же разделе — Пароль и безопасность — обязательно проверьте, на каких устройствах происходили последние входы в ваш Insta­gram-аккаунт. Если видите странные локации, немедленно «убивайте» их.

«Recent Emails» — здесь Мета дублирует письма от клиентской поддержки соцсети. Получили письмо от «Insta­gram Sup­port»? Перепроверьте здесь, не злоумышленники вам пишут, притворяясь официальным саппортом.

Для инстаграм-активизма, особенно в сфере защиты прав ЛГБТ+, важно защититься от деанонимизации админов блога. Скройте «Контактную информацию»: благонамеренные акторы все равно смогут с вами связаться через DM (личные сообщения).

По умолчанию в «Контактной информации» отображаются емейл и телефон автора блога. Учитывая российские реалии массовых утечек персональных данных и «пробива», на основе этого можно установить даже номер подъезда, где живет человек.

Включите защиту от дикпиков. Да, она существует в Инстаграме — но отключена по умолчанию.

Включить Nudi­ty Pro­tec­tion можно в Настройках → Mes­sages and sto­ry replies.

«Ограничение интеракций» — пожалуй, самая полезная фича Инстаграм по защите от кибербуллинга и спланированных массовых атак. Если вы понимаете, что вас ждет «шторм», просто включаете тумблер под названием «Ограничить действия людей, которые вам досаждают».

Механизм данной функции хорошо продуман: дело в том, что лимит включается только для новоприбывших пользователей. Ваши старые, лояльные подписчики, смогут и дальше ставить лайки и писать комментарии. А вот набежавшая толпа каких-нибудь «поздняковцев» окажется обезврежена — ведь они не были подписаны на вас раньше.

Максимальный период «защиты от масс-хейта» — 4 недели. Потом его можно снова включить еще на 4 недели, и т.д.

Функция Restrict (Ограничить). Она полезна, когда не хочется дарить хейтеру радость открытого блокирования (часто они создают новый аккаунт и лезут с еще большим усердием). Если вы нажимаете «Ограничить» на профиле, то комментарии этого человека будут видны только ему самому (и вам – если откроете их вручную). Остальные ваши подписчики их не видят. А сообщения от ограниченного пользователя приходят как запросы, без уведомлений. Такой «тихий бан» остужает пыл многих троллей.

«Ограниченных» всегда можно потом разблокировать или перейти к полноценному блоку, если нужно.

Еще одна полезная функция — «Hid­den Words» (Скрытые слова). Она пригодится, если вас регулярно посещают боты и пишут однотипные комментарии по методичке. Достаточно понять, какие ключевые слова используют боты; и напечатать их, разделяя запятыми, в соответствующий блок в «Настройках и активностях» (Set­tings and Activ­i­ty). Также можно заранее добавить туда самые частые оскорбительные и триггерные слова, которые могут использовать против вас.

Результат: все комментарии с «запрещенными» словами в вашем Инстаграм-аккаунте будут автоматически скрываться для всех.

Совсем недавно в Insta­gram появилась еще одна функция настройки приватности: возможность скрыть ваши лайки и комментарии на чужих рилсах.

В наше время лучше лишний раз не «светить», какому конкретно видеоролику вы поставили сердечко. Смело жмем «Никто» в разделе настроек «Кто может видеть ваши лайки и комментарии».

Meta Verified: дополнительная защита или лишний риск?

Весной 2023 года Insta­gram представил платную подписку Meta Ver­i­fied, которая дает “синюю галочку” в вашем профиле. За ежемесячную плату пользователь проходит верификацию по удостоверению личности и получает ряд бонусов:

Защита от имперсонации. Смысл «синей галки» сейчас — не в том, что данная персона является знаменитостью, а в том, что это реальный человек, чья личность проверена Meta. Практически это означает, что если кто-то создаст профиль с вашим именем/фото, модерация быстрее отреагирует на жалобу и удалит подделку. Для активистов, чьи имена могут пытаться очернить с помощью фейковых страниц, это ценно.

Приоритетный чат поддержки. Один из самых весомых плюсов – доступ к живой техподдержке. Инстаграм-блогеры знают, как трудно достучаться до поддержки Insta­gram. У подписчиков Ver­i­fied появляется приоритетная помощь по email и чату прямо в приложении. Если ваш аккаунт взломали или контент несправедливо удалили, у вас будет больше шансов оперативно связаться с саппортом и решить проблему.

Но есть и минусы:

Цена: подписка стоит порядка $15–17 в месяц (в зависимости от страны и платформы). За год набегает внушительно — больше 200 долларов. Для многих активисток и активистов это существенная сумма.

Привязка к реальным данным. Репутация Meta все хуже с каждым годом, а глава холдинга Цукерберг открыто поддерживает Трампа. Компания утверждает, что эти данные хранятся надежно, но подумайте: готовы ли вы передавать скан вашего паспорта американским властям? Кроме того, если вы вели страницу под псевдонимом, Ver­i­fied при подключении заставит показать настоящее имя в профиле.

Повышенное внимание. Парадоксально, но синяя галочка может сделать вас заметнее не только для хороших людей, но и для злоумышленников. Это лишь гипотетический риск, однако тролли (и российское государство, охотящееся за активистами) могут решить, что раз вы “верифицировались”, то точно важный персонаж, и удвоят усилия.