Firemné profily na sociálnych sieťach majú zásadný vplyv na povesť značky a predstavujú kľúčový nástroj marketingu. Ale kto sa do nich vlastne prihlasuje? Máte vo firme pod kontrolou, kto má v nastaveniach vašich profilov aké oprávnenia? A kedy sa môžu sociálne siete stať vstupnou bránou pre kybernetické útoky? Zistite, aké zásady je potrebné dodržiavať, aby boli vaše profily dobre zabezpečené.
V auguste 2024 obletela svet správa o útoku na instagramový účet reťazca McDonald’s. V momente, keď podvodníci s kryptomenami získali prístup k oficiálnemu účtu McDonald’s na Instagrame, rýchlo upravili popis firemného profilu a následne na ňom zverejnili niekoľko príspevkov propagujúcich fiktívnu kryptomenu Grimace. Jednotlivé posty obsahovali odkazy na kryptopeňaženky a snažili sa nalákať čo najviac ľudí do podvodnej schémy.
Už po pol hodine od začiatku útoku zasiahol bezpečnostný tím reťazca – príspevky vymazal a firma opäť získala kontrolu nad účtom. Skôr než sa to podarilo, podvodníci od používateľov vylákali investície vo výške 700 000 dolárov. Okrem toho sa im podarilo prelomiť aj účet X (predtým Twitter) marketingového riaditeľa spoločnosti McDonald’s, Guillauma Huina.
Počas útoku sa v popise instagramového profilu McDonald’s objavila veta: „Sorry mah n-ga you have just been rug pulled by IndiaXKr3w thank you for the $700,000 in Solana“, ktorá odkazuje na názov techniky, ktorej sa stali používatelia obeťou – išlo o tzv. metódu rug pull (doslova „stiahnutie koberca“), pri ktorej podvodníci zmiznú s peniazmi investorov.
Túto metódu hackeri často využívajú práve v oblasti kryptomien – najprv donútia ľudí investovať peniaze do falošnej kryptomeny, následne peniaze vyberú, kryptomenu zrušia a zmiznú.
Prípad McDonaldu ukazuje, že desiatky minút úplne stačia na zneužitie firemného profilu a spôsobenie rozsiahlych škôd – tak na strane firmy, ako aj ostatných používateľov. Pre firmu predstavuje takýto útok vážne reputačné riziko. A hoci sa v prípade spoločnosti McDonald’s hackeri zamerali najmä na propagáciu falošnej kryptomeny, existuje množstvo ďalších spôsobov, ako možno firemné účty na sociálnych sieťach zneužiť.
Namiesto darčekovej karty hacknutie údajov
Niekedy ani nie je potrebné hacknúť samotný účet. Takto sa napríklad Sephora, populárna medzinárodná sieť známa svojím širokým výberom kozmetických produktov a vzoriek, stala nástrojom premysleného podvodu s falošným programom na recenzie svojich výrobkov. Podvodníci vytvorili vierohodné webové stránky, na ktorých pozývali používateľov internetu, aby hodnotili produkty značky Sephora výmenou za darčekovú poukážku v hodnote 750 amerických dolárov.
Sociálne siete ako Facebook a Instagram pritom využili na platenú reklamu, ktorá používateľov presmerovala priamo na falošné webové stránky s prihláškami do programu. A cieľ? Rovnaký ako vždy – zber citlivých údajov, ktoré môžu viesť ku krádeži identity, preniknutiu do účtov alebo šíreniu škodlivého softvéru (malvéru).
V čom robia firmy najčastejšie chyby
Pri firemných účtoch na sociálnych sieťach najčastejšie dochádza k ich zneužitiu v prípadoch, keď firma nezabezpečí základné bezpečnostné opatrenia – ako je napríklad viacfázové overovanie (MFA) alebo pravidelná kontrola prístupov. Riziko je pritom vysoké. Cez kompromitovaný firemný účet na sociálnej sieti je totiž oveľa jednoduchšie získať dôveryhodnosť a následne vykonať spear-phishingový útok na ďalších zamestnancov – a tak si otvoriť cestu k interným systémom firmy. O dôležitosti spravodajstva z otvorených zdrojov (OSINT) sme písali v jednom z predchádzajúcich článkov. Tu prinášame v skratke 4 pravidlá pre prácu s osobnými účtami.
Bezpečnostné zásady pre osobné účty v kontexte OSINT
Zdieľajte informácie o sebe s rozvahou. Dôkladne zvážte, aké informácie zdieľate online, aj na osobných profiloch - detaily ako miesto pracoviska, pracovná pozícia alebo pracovné nástroje môžu byť ľahko zneužité.
Dbajte na svoje súkromie. Obmedzte viditeľnosť citlivých informácií a nastavte si silnú ochranu súkromia na sociálnych sieťach.
Uvedomte si, že útočníci môžu o vás zbierať informácie. Využívajú metódu OSINT na zbieranie informácií, ktoré môžu využiť na následné phishingové alebo spearphishingové útoky.
Kontrolujte svoju digitálnu stopu. Pravidelne preverujte a odstraňujte nepotrebné informácie, ktoré o sebe alebo firme zdieľate online.
Častým problémom je aj nedostatočný monitoring vlastných sociálnych sietí, čo môže viesť k tomu, že si firmy nevšimnú nezvyčajnú aktivitu alebo pokusy o vytvorenie falošných účtov, ktoré napodobňujú alebo inak zneužívajú tie skutočné. Použitie nástrojov na monitoring sociálnych médií pritom môže pomôcť tieto hrozby včas odhaliť a zareagovať na ne skôr, než dôjde k väčším škodám.
Desatoro zásad pre bezpečné profily na sociálnych sieťach
1. Nastavte si silné heslá
Najdôležitejšou vecou, ktorú môžete urobiť pre zabezpečenie svojich účtov na sociálnych sieťach, je nastaviť si silné a jedinečné heslá pre každú platformu. Je to najlepší spôsob, ako zabezpečiť, aby váš účet zostal nepreniknuteľný. Zároveň ide o vec, ktorú mnohí používatelia zanedbávajú – často používajú staré heslá, opakujú rovnaké heslo pre viaceré účty alebo volia niečo, čo je ľahko uhádnuteľné. Nezabúdajte ani na zmenu hesiel pri odchode zamestnanca z firmy (offboarding) – je to dôležitý krok pre ochranu prístupu k firemným účtom.
2. Použite 2FA alebo MFA
Čo je lepšie než bezpečné heslo? Pridanie dvojfaktorového overovania (2FA) alebo viacfázového overovania (MFA) do procesu prihlasovania. Tieto opatrenia vyžadujú, aby používatelia pre prístup k účtu poskytli viacero foriem identifikácie. 2FA napríklad zahŕňa použitie hesla (niečoho, čo poznáte) a časovo obmedzeného jednorázového hesla (OTP) generovaného aplikáciou v smartfóne (niečoho, čo máte) alebo biometrického údaju, ako je napríklad odtlačok prsta.
3. Udržujte svoj tím v obraze
V posledných rokoch sa objavil napríklad ransomware ako služba (RaaS), čo je nebezpečná variácia obchodného modelu softvér ako služba (SaaS). V reakcii na to spustila Agentúra pre kybernetickú bezpečnosť a bezpečnosť infraštruktúry (CISA) portál venovaný pomoci podnikom pri získavaní informácií o ransomvéroch. Využite tieto zdroje na školenie svojho tímu o aktuálnych hrozbách a buďte stále informovaní o vývoji hrozieb na sociálnych sieťach.
4. Obmedzte prístupové práva
Firmy by mali obmedziť prístupové práva a umožniť prístup k profilom na sociálnych sieťach len oprávneným zamestnancom. Zabezpečte, aby práva správcu mali len tí zamestnanci, ktorí potrebujú prístup k určitým účtom a funkciám v rámci svojej práce. Pre zachovanie kontroly nad bezpečnosťou účtov by sa prístupové práva mali pravidelne overovať a aktualizovať.
5. Aplikácie tretích strán používajte opatrne
Predtým ako začleníte aplikácie tretích strán do svojich účtov na sociálnych sieťach, dôkladne overte ich bezpečnostné postupy a reputáciu. Venujte pozornosť oprávneniam, ktoré sú týmto aplikáciám udelené, pretože môžu umožniť prístup k súkromným informáciám, ku ktorým by nemali mať prístup. Pravidelne kontrolujte oprávnenia a aplikáciám, ktoré už nie sú potrebné, ich odoberte.
6. Chráňte mobilné zariadenia
Pre správu sociálnych médií sa čoraz častejšie používajú mobilné zariadenia, preto je nevyhnutné prijať opatrenia na ich bezpečné používanie. Zabezpečte, aby tieto zariadenia mali aktivované biometrické overovanie alebo bezpečné overovanie heslom. Dáta, ktoré sú v nich uložené, by mali byť šifrované a operačné systémy a softvér by mali byť pravidelne aktualizované, aby sa odstránili bezpečnostné chyby.
7. Pravidelne aktualizujte a záplatujte softvér
Útočníci môžu využiť zastaralý softvér a tým ohroziť bezpečnosť vašich účtov na sociálnych sieťach. Všetky aplikácie a platformy na správu sociálnych médií by mali byť aktualizované najnovšími bezpečnostnými záplatami a aktualizáciami. Firmy by mali pravidelne vykonávať skenovanie zraniteľností a neodkladne implementovať všetky čakajúce záplaty.
8. Vytvorte jasné pokyny, ktoré rozlišujú aktivity pre osobné vs. profesionálne používanie
Jedným z najdôležitejších aspektov zásad používania sociálnych médií je rozlíšenie medzi osobným a profesionálnym používaním sociálnych sietí. Firemné zásady by mali definovať, kedy a akým spôsobom sa môžu zamestnanci na sociálnych sieťach identifikovať ako zástupcovia vašej spoločnosti. Zvážte, či by nemali byť osobné profily zamestnancov na sociálnych sieťach súkromné.
9. Vyjasnite očakávania, ktoré máte od zamestnancov ohľadom profesionálneho správania
Najmä ak možno konkrétnych zamestnancov identifikovať ako kľúčové osoby spojené s vašou spoločnosťou. Ak chcú vaši zamestnanci reprezentovať vašu spoločnosť online, musia byť schopní dodržiavať rovnaké pravidlá ako tím, ktorý má na starosti správu sociálnych médií.
10. Firemné zásady pre sociálne médiá by mali chrániť citlivé informácie
Mali by sa preto týkať tých typov informácií, ktoré by sa nikdy nemali zdieľať na sociálnych sieťach, ako sú údaje o zákazníkoch, finančné informácie a nevydané produkty.
Kto má za čo zodpovednosť, keď' ide o správu firemných profilov na sociálnych sieťach?
Marketingový tím. Zodpovedá za správu obsahu a kampaní. Pravidelne monitoruje metriky, interakcie a prípadné varovné signály (neobvyklé príspevky alebo komentáre). Udržiava vzťahy s publikom a včas hlási akékoľvek podozrivé interakcie alebo aktivity bezpečnostnému tímu.
IT tím. IT by malo spravovať prístupové práva k účtom na sociálnych sieťach a zabezpečiť, že každý tím má správne oprávnenia a pravidelne vykonávať audit prístupov. Zabezpečuje silné heslá, dvojfaktorové overovanie (2FA) a bezpečné pripojenie (napríklad VPN) pre tých, ktorí sa k účtom prihlasujú vzdialene. Pravidelne kontroluje zabezpečenie platforiem a zariadení, ktoré sa používajú na správu sociálnych sietí.
Právne oddelenie. Stanovuje právne zásady pre správu obsahu, súhlas so zhromažďovaním a spracovaním údajov na sociálnych sieťach. Sleduje, aby komunikácia na sociálnych sieťach spĺňala všetky právne normy a pravidlá pre ochranu osobných údajov.
Manažment. Vytvára jasnú hierarchiu pre správu sociálnych médií a schvaľuje zásady pre prístup a zabezpečenie účtov. Zaisťuje, aby všetci relevantní zamestnanci boli školení o bezpečnostných rizikách spojených so sociálnymi sieťami a boli pripravení na prípadné incidenty.
Externé agentúry či partneri. Všetky externé spoločnosti spravujúce sociálne siete musia dodržiavať bezpečnostné štandardy firmy. Prístup k účtom by mal byť čo najviac obmedzený.
Čo si z článku odniesť?
Firemné účty na sociálnych sieťach predstavujú riziko reputačného aj finančného poškodenia, ak nie sú riadne zabezpečené.
Pre zvýšenie bezpečnosti je nutné používať silné heslá a dvojfaktorové overovanie (2FA), pravidelne aktualizovať prístupové práva a monitorovať aktivitu na jednotlivých profiloch.
Každý tím, od marketingu po IT a právne oddelenie, má v ochrane sociálnych sietí svoju špecifickú zodpovednosť, čo pomáha predchádzať zneužitiu.
Používanie nástrojov na monitoring sociálnych médií a overených aplikácií tretích strán je nevyhnutné na včasnú identifikáciu neobvyklých aktivít a hrozieb.
Vzdelávanie zamestnancov o bezpečnostných zásadách na sociálnych sieťach môže výrazne znížiť riziko útokov, ako sú phishing alebo podvodné reklamy.
