Częścią działań marketingowych firm są akcje społecznościowe prowadzone za pomocą serwisów Twitter, Facebook czy Google+. Tworzone tam strony i wpisy stają się coraz popularniejsze. Przejęcie kontroli nad nimi przez intruza przekreśla szansę prowadzenia skutecznego marketingu społecznościowego i powoduje wymierne straty.

Najczarniejszym scenariuszem jest przejęcie konta w serwisach, zdalne skasowanie zawartości komputerów, usunięcie konta poczty w jednym z serwisów i zablokowanie usługi w modelu cloud, wykorzystywanej do akcji marketingowych przez pracowników firmy. Przykładem ataku jest przejęcie kontroli nad kontem dziennikarza Wired, Mata Honana (patrz ramka). Intruzowi udało się przejąć kontrolę nad kontem Google za pomocą alternatywnego adresu e-mail w domenie me.com, zresetować hasła do publikacji w sieciach społecznościowych, skasować konto Google i zdalnie wyczyścić wszystkie urządzenia przypisane do AppleID. Zaufanie do iCloud i niefrasobliwość sprawiły, że Mat nie dysponował aktualną kopią bezpieczeństwa odłożoną na nośniku lokalnym, więc utracił wiele dokumentów.

Obrona firmowej strony

Podobna akcja skierowana przeciw pracownikowi prowadzącemu fanpage na Facebooku na rzecz firmy skutkowałaby dużymi stratami. Krótkie rozpoznanie pokazuje, że znaczna część prowadzonych stron jest rejestrowanych w niefrasobliwy sposób, na jedno konto e-mail, w dodatku słabo chronione.

Oto rady, które pomogą zminimalizować ryzyko przejęcia strony.

1. Nigdy nie rejestruj wszystkich usług do jednego konta poczty elektronicznej.

2. Nie używaj do rejestracji fanpage’a żadnego publicznie znanego konta, szczególnie dotyczy to alternatywnych adresów, które służą do odzyskania hasła. Do każdej z usług przeznacz tylko jeden alias poczty zarezerwowany do tego celu. Dzięki separacji adresów e-mail przejęcia kontroli przez reset hasła z użyciem drugiego konta e-mail będzie znacznie trudniejsze.

3. Nie używaj identycznego loginu do różnych serwisów, nawet jeśli nie są ze sobą połączone. To samo dotyczy haseł - nie wolno korzystać nawet z podobnych reguł. Ten sam prefix w loginie lub adresie e-mail ułatwia znalezienie identyfikatora do usług.

4. Korzystaj z dwuskładnikowej weryfikacji konta tam, gdzie to tylko możliwe. W usłudze Gmail można przypisać numer telefonu i zrealizować reset hasła via SMS. Jest to o wiele trudniejsze do przełamania od alternatywnego adresu, który można łatwo przejąć.

5. Nie zapisuj nigdy numeru karty kredytowej jako sposobu uwierzytelnienia, jeśli nie jest to niezbędne. Dotyczy to wyłącznie sklepów internetowych w USA, gdyż polskie sklepy korzystają ze stron pośredników płatności, a numer karty nie jest zapisywany. Obecnie niektóre banki oferują e-karty specjalnie do zakupów przez internet i warto taką kartę zamówić dla firmy.

6. Nie łącz kont między różnymi serwisami. Jeśli korzystasz z Facebooka, Twittera lub loginu Google do logowania do różnych serwisów, przejęcie jednego z nich oznacza przejęcie wszystkich usług przypisanych. Należy unikać logowania za pomocą uwierzytelnienia spoza serwisu. To mniej wygodne, ale bardziej bezpieczne.