Бренд 2MOOD — о том, как его клиенты пострадали от рук мошенников
Взломав Instagram-аккаунт 2MOOD (Instagram и Facebook принадлежат компании Meta, признанной в России экстремистской и запрещенной), мошенники объявили распродажу, сообщив, что скидки действуют только при заказе через директ и при оплате переводом на банковскую карту. Кроме этого, они продавали несуществующие сертификаты, объявляли акции 3+1, выкладывали товары, не имеющие отношения к бренду.
По словам владельцев компании, параллельно с этим злоумышленники запустили масштабную кампанию, направленную на дискредитацию бренда. В интернете одновременно появилось большое количество негативных отзывов. Сайт бренда также регулярно подвергался атаке. Представители компании утверждают, что за возврат аккаунта и прекращение антипиара мошенники требовали с них крупную сумму денег.
В настоящий момент доступ к аккаунту восстановлен. Мы поговорили с сооснователем и CEO компании Сергеем Борисовым.
Расскажите, как мошенникам удалось взломать ваш Instagram-аккаунт? Что именно привело к взлому?
Аккаунт взломали через корпоративную почту, к которой он был привязан. Двухфакторной аутентификации не было. Каким-то образом (мы пока не можем вычислить каким) злоумышленники получили доступ к этой почте. Может, через фишинговую ссылку, может, через сотрудников, они запустили форму восстановления пароля, установив в почте редиректы. То есть все письма, которые приходили от Instagram, уходили на почту мошенников, и мы их просто не видели. Таким образом, они запросили форму восстановления пароля, восстановили его, поменяли пароль, а затем увели аккаунт.
Какие меры вы в итоге приняли? Каким способом вернули аккаунт?
Существует ряд специалистов в интернете. Обратились к знакомым, у кого были похожие проблемы, нашли ребят, которые занимаются восстановлением, заполняют определенные формы, пишут письма в Facebook. Так как это был бизнес-аккаунт, привязанный к Facebook и у нас раньше был активный рекламный кабинет, через который мы оплачивали рекламу, то мы связались со службой поддержки сети, и в течение двух недель доступ к аккаунту удалось вернуть.
Сколько в итоге человек оказались обманутыми? Примерно о каких суммах ущерба идет речь?
Всего 263 клиента. Сумма — 2 403 460 руб.
Как вы работаете с пострадавшими? Возмещаете ли убытки?
Да, мы не смогли остаться в стороне: всем пострадавшим сделали промокоды на ту сумму, которую они перевели мошенникам. Промокодом можно оплатить товар на сайте — либо полностью, либо частично, как удобно. Деньги, к сожалению, мы возвращать не можем, потому что в законодательстве нет никакого обоснования для такого возмещения.
В интернете писали, что вы отреагировали на взлом с опозданием и это, в свою очередь, привело к большому количеству обманутых покупателей. При своевременной реакции пострадавших могло бы быть меньше. Как вы это прокомментируете?
Мы отреагировали своевременно, сразу, как только мошенники начали проявлять активность. Когда мы поняли, что аккаунт взломан, тут же уведомили клиентов об этом в нашем телеграм-канале и через почтовую рассылку. Кроме того, соосновательницы бренда Катя Гаюр и Кристина Хоронжук рассказали о произошедшем у себя на личных страницах, отвечали там на вопросы клиентов. Также многие дружественные блогеры, телеграм-каналы и медиа написали о взломе.
Что не догадались сделать сразу, так это настроить смс-уведомления — идея родилась, наверное, дня через два-три. При этом мы писали в наш аккаунт со своих личных аккаунтов, пытались что-то заказать, запрашивали реквизиты у мошенников и блокировали их счета, писали письма в банки о том, что мошенники, и так далее.
А что в итоге с мошенниками? Вы написали заявление в полицию? Есть ли какие-то шансы наказать виновных?
Да, заявление в полицию мы написали. Хотя думаем, что найти мошенников — задача, к сожалению, очень непростая, полиции это, наверное, не слишком интересно. Плюс, скорее всего, эти люди находятся точно не в России, сидят где-то далеко, имеют подставные счета, маскируются с помощью VPN. Это системная проблема, и такие кейсы, увы, возможны. Расследование, я так понимаю, будет длиться дальше — в случае успеха через арестованные счета, возможно, удастся вернуть деньги людям. В дополнение к промокодам. И этим мы сейчас тоже занимаемся.
Как вы думаете, почему мошенники выбрали именно вас?
Мне кажется, это в принципе промысел таких ребят, ищущих в компаниях уязвимости, возможности заработать. Все было сделано довольно оперативно: как только нас взломали, тут же появились посты, номера карт, инструкции, как платить.
В какой-то момент мошенники начали вымогать у нас деньги и прислали целый список тех, кого они взломали и кто им заплатил. Якобы они эти аккаунты вернули и обещают вернуть и наш в случае, если мы им заплатим. Мы в эти истории не особенно поверили. Короче говоря, это явно какая-то онлайн-ОПГ.
Сначала с нас требовали 700 тыс. руб., мы затягивали время, смотрели, пока специалисты разбираются. Начали блокировать их счета, они это увидели, в отместку начали дэдосить наш сайт, к чему мы тоже оказались не готовы. И, скажем так, благодаря случившемуся нашли критическую уязвимость, в итоге все это дело оперативно поправили.
А зачем мошенникам понадобилось проводить негативную пиар-кампанию в соцсетях против 2MOOD? Почему им недостаточно было просто получить деньги?
Тяжело рассуждать, на самом деле, когда ты не знаешь. Может, это какая-то недобросовестная конкуренция или чей-то негатив, который таким образом решил проявиться по отношению к нам. Возможно, повлияло то, что мы реально банили их счета и они не могли получить свои деньги, плюс у них не получалось с нами договориться по поводу суммы, за которую мы готовы вернуть этот аккаунт, и условий оплаты. Тем самым оказывалось дополнительное давление.
Какой главный вывод вы для себя сделали после этой истории? Что можете посоветовать коллегам?
Главный вывод — кибербезопасность сегодня критически важна, надо использовать все максимальные средства защиты, аутентификации и хранения данных, чтобы к ним почти невозможно было подступиться. Плюс, когда мы обращались в Facebook напрямую, все осложнялось тем, что у компании уже нет офиса, который поддерживает Россию. Из-за этого нельзя было оперативно решить вопрос.
Есть, наверное, два варианта. Либо не работать в заблокированном на территории России Instagram — не иметь там аккаунта и ничего не постить. Это так себе вариант, потому что под нашим именем могут создаваться другие аккаунты, где людей попытаются обмануть. Вариант второй — максимально защищать аккаунт, соблюдать все требования, правила безопасности и вообще никому никуда не давать доступов. По-другому, к сожалению, эта соцсеть не работает.