Взлом аккаунта бизнеса выглядит буднично. Утром администратор не может зайти в рабочий мессенджер, к обеду выясняется, что от вашего имени клиентам рассылают ссылки на оплату, а к вечеру канал с тремя тысячами подписчиков удалён. Ни один из этих шагов не требует от злоумышленника ничего сложного — достаточно одного человека, который ввёл код из смс на чужой странице.
ошибка — держать базу и общение с клиентами на чужой площадке
Аккаунт в соцсети или мессенджере вам не принадлежит. Вы им пользуетесь, пока площадка это позволяет и пока доступ у вас. Подписчики, переписки, история заказов, номера — всё лежит там же. Instagram (компания Meta и Instagram признаны экстремистскими и запрещены на территории РФ) уже показал предпринимателям, как быстро исчезает канал, который казался своим.
Восстановление аккаунта — история долгая и без гарантий. А клиенты за это время никуда не денутся: они просто пойдут туда, где им отвечают. Обходится это дорого именно потому, что теряется не оборудование и не деньги на счету, а накопленный годами доступ к людям.
ошибка — один пароль на всех и доступ у бывших сотрудников
Типичная картина: единый пароль от рабочего аккаунта знают администратор, маркетолог и человек, который делал сайт два года назад. Кто-то из них уволился, кто-то передал пароль подрядчику в переписке. Фишинг для бизнеса как раз и рассчитан на такие цепочки — достаточно поймать самое слабое звено.
Отдельная беда — база клиентов в личных телефонах сотрудников. Формально она есть. Фактически она уходит вместе с человеком, а иногда всплывает у конкурента. Защита клиентской базы начинается не с антивируса, а с ответа на вопрос, где она физически лежит и кто может её скопировать.
ошибка — узнавать о проблеме от клиента
Чаще всего собственник узнаёт о взломе, когда звонит клиент и спрашивает, вы ли просили перевести предоплату на карту. К этому моменту рассылка ушла по всей базе.
Дальше идёт неприятная работа: объяснять, извиняться, доказывать. Часть аудитории останется, часть решит, что с вами небезопасно.
как делать правильно
Разумный подход простой: собственный канал связи с базой должен существовать независимо от чужих площадок. Органические охваты в соцсетях падают, аккаунты блокируют и угоняют, а push-уведомление из вашего собственного приложения доходит до телефона клиента напрямую. PWA-приложение устанавливается с сайта, живёт на вашем домене и вашей базе данных, и его невозможно «увести», введя код из смс.
Салону красоты это даёт запись и напоминания, которые не зависят от того, работает ли сегодня мессенджер. Магазину — прямую связь с покупателями, даже если рекламный кабинет заблокировали. ИИ-ассистент при этом отвечает на вопросы клиентов внутри вашего контура, а не в чужом чате, куда может зайти кто угодно с угнанным доступом.
- вынести базу клиентов из личных телефонов и мессенджеров в систему, которой владеете вы
- завести отдельные доступы каждому сотруднику и закрывать их в день увольнения
- включить двухфакторную аутентификацию везде, где она есть, и запретить пересылать коды
- сделать собственный канал касаний — PWA с push-уведомлениями на вашем домене
- договориться с командой о простом правиле: код из смс не диктуется никому и никогда
Начните с инвентаризации: выпишите все аккаунты, через которые бизнес общается с клиентами, и напротив каждого укажите, у кого есть доступ. Список обычно оказывается длиннее, чем ожидаешь, и половина строк в нём — люди, которые давно у вас не работают.