Как меня развели до первой чашки кофе История с хорошим концом — но отличным уроком. Утром, лежа в кровати, многие тянутся к телефону — проверить новости. Телеграм стал большой помойкой, и если ваш номер открыт для работы, вас постоянно добавляют в группы. Обычно — пожаловаться на спам и выйти. Но в то утро несколько дней назад: в одной из групп стояла фотография моей знакомой, стиль общения — её. “Перейти по ссылке и проголосовать” — дружеская просьба, ничего странного. Я открыла сторонний сайт. Сайт попросил ввести код, который пришёл в Telegram. И тут я попалась ровно на то, на что они рассчитывают. Я знаю, что нельзя давать коды из SMS, Госуслуг, банковских приложений. Но не щёлкнуло, что код из Telegram — такой же ключ от аккаунта. Один клик — и доступ уходит. Но не мгновенно, несколько дней злоумышленники выжидали. И ночью сделали взлом. Это и есть социальная инженерия: не ломают систему — предлагают действовать на автопилоте. 👍Хорошая новость? Аккаунт полностью восстановлен. Команда разработки разбудила меня ночным звонком. Проинформировала о взломе и дала инструкции по восстановлению. Мы подготовили сообщения для всех чатов, отследили фишинговую группу, и писали людям, которых туда затягивали ботом. Группу мы смогли заспамить и удалить за 2 часа. Пока злоумышленники держали мой аккаунт, они успели добавить в ту группу около 400 человек. Теперь — без иллюзий, где прячется риск и как быстро он развивается. ❗️Главное правило: если где-то просят ввести код из СМС, Госуслуг, банка, МАХ, Telegram, WhatsApp — это не "подтверждение действия" . Это — доступ к вашему аккаунту. ❗️Код = ключ. ❗️Отдадите код → отдадите вход. 🔴Двухэтапная аутентификация спасает в любом сценарии. Настройки → Конфиденциальность и безопасность → Двухэтапная аутентификация → Облачный пароль. Обязательно придумайте пароль и добавьте резервный e-mail — без него восстановление может быть невозможным. Если вы уже ввели код — делайте три вещи сразу: 1️⃣Выкинуть все посторонние устройства. Настройки → Устройства → Завершить все сеансы. 2️⃣Проверить e-mail. В двухэтапной проверке должен быть только ваш адрес. Если стоит чужой — убрать и поставить свой. 3️⃣Включить двухэтапную аутентификацию. Пароль + резервный e-mail → иначе доступ снова могут перехватить.