Jak chronić stronę organizacji na Facebooku przed przejęciem

Firmy otwarcie korzystają z sieci społecznościowych, używając ich jako ważnego kanału dotarcia do swoich odbiorców. Niekiedy strony stają się celem ataku, co może powodować problemy wizerunkowe.

Prowadzenie firmowych stron w sieciach społecznościowych jest marginalizowane, gdyż w świecie rzeczywistym ich skuteczność marketingowa bywa ograniczona. Jednak w dobie sieci tak powszechnych jak Facebook nie można ignorować tego kanału przekazu. To ryzykowna gra, gdyż w przypadku udanego ataku na popularny profil firma może odczuć poważną stratę wizerunkową.

Przykładem udanego ataku socjotechnicznego było przejęcie strony fanpage’u Gazety Wyborczej na Facebooku. Atak przeprowadzono w prosty sposób. Z fałszywego konta wysłano wiadomość, która przekierowywała na sfałszowaną stronę logowania do Facebooka. Strona służyła do zbierania pozyskanych haseł za pomocą prostego skryptu w PHP i była hostowana w serwisie boo.pl. W ten sposób napastnikom udało się przejąć nie tylko stronę związaną ze znanym portalem i gazetą, ale także fanpage marek: Kia, Tyskie, Gorzka Żołądkowa i Durex. Sprawę nagłośnił portal Niebezpiecznik.pl.

Wysłana wiadomość zawierała link prowadzący do podmienionej strony. Tym, którzy byli podejrzliwi i pytali atakującego, dlaczego obejrzenie zdjęcia przekierowuje na stronę logowania, napastnicy odpowiadali, zasłaniając się rzekomą niewiedzą i zachęcali do zalogowania.

Po uzyskaniu hasła przejmowali kontrolę nad profilem. Redakcji Gazety udało się odzyskać profil po kontakcie z przedstawicielem Facebooka, ale mniejsze firmy i organizacje mają dużo mniejsze szanse na podobną pomoc. Przestępstwo zgłoszono policji i trwa postępowanie w celu wykrycia sprawcy.

Ataki socjotechniczne korzystające z Facebooka są proste do przeprowadzenia i nie wymagają wielkiej wiedzy technicznej. Z kolei administratorzy służbowych stron na Facebooku nadal są podatni na prostą socjotechnikę, działają zbyt wolno i nie włączają dwuskładnikowego uwierzytelnienia.

Pięć zasad bezpieczeństwa dla administratorów profili firmowych

Strona firmowa stanowi kanał komunikacji przedsiębiorstwa, a zatem należy poważnie traktować kwestie jej bezpieczeństwa. Typowym zagrożeniem jest przejęcie kontroli nad profilem za pomocą fałszywej strony logowania umieszczonej w innym serwisie.

1. Sprawdź, gdzie się logujesz

Pierwszą czynnością przed każdym zalogowaniem powinno być sprawdzenie, czy strona, do której jest wprowadzane hasło, rzeczywiście jest tą, za którą się podaje. Oznacza to logowanie z użyciem SSL, kompletna i poprawna domena w pasku adresu oraz typowy adres logowania. Należy sprawdzić, czy certyfikat SSL jest poprawny. Nie wolno logować się do stron, które nie są szyfrowane. Nie warto prowadzić stron w serwisach, które nie udostępniają SSL choćby do logowania.

2.Wprowadź dwuskładnikowe uwierzytelnianie

Druga czynność zakłada włączenie i korzystanie z żelazną konsekwencją z dwuskładnikowego uwierzytelnienia przy logowaniu do Facebooka. Metoda ta jest wystarczająco skuteczna, gdyż wymaga wprowadzenia kodu wysyłanego w wiadomości SMS na zarejestrowany w usłudze telefon komórkowy. Chociaż jest możliwe przeprowadzenie ataku pośredniczącego polegającego na podstawieniu fałszywej strony logowania, która przechwyci prawdziwe hasło, szyfrowane połączenie SSL chronione poprawnym certyfikatem znacząco zmniejsza ryzyko.

Dwuskładnikowe uwierzytelnienie można włączyć także w innych usługach, takich jak Google Mail czy Dropbox.

3.Zachowaj ostrożność

Kolejna zasada zakłada podwyższoną czujność wobec wszelkich obiektów, zdjęć i linków proponowanych z zewnątrz. Włamanie za pomocą podstawionego zdjęcia wydaje się mało prawdopodobne, ale nie można tego powiedzieć o obcej aktywnej zawartości w obiektach takich jak Flash, Java czy zestawie skryptów JavaScript wykorzystujących podatności Cross-Site Scripting lub Cross-Site Request Forgery. Należy zachować podejrzliwość także wobec treści dostarczanej z obcych sieci, takich jak reklamy. W historii włamań obserwowano już umieszczanie szkodliwego kodu w reklamach, nawet tych legalnie serwowanych przez duże sieci.

4.Pamiętaj o wylogowaniu

Po wprowadzeniu aktualizacji lub nowych komentarzy do stron należy bezzwłocznie się wylogować. Dzięki temu nawet w przypadku odwiedzin na obcych stronach ze skryptami wykorzystującymi Cross-Site Request Forgery napastnicy nie będą mogli wprowadzić żadnych zmian do profilu w sieciach takich jak Facebook.

5. Nie zapomnij o ochronie stacji roboczych przed złośliwym oprogramowaniem

Im popularniejsza jest dana strona, tym większą wartość dla włamywaczy mają jej czytelnicy. Przy dużych portalach lub stronach związanych z dobrze rozpoznawalną marką niezbędne jest zastosowanie dopracowanej ochrony przed obcym kodem w systemach Windows. Jednym z takich sposobów jest użycie wirtualizacji desktopowej, która oddzieli aplikacje i dane od obrazu systemu operacyjnego, umożliwiając automatyczne "czyszczenie" desktopów przed startem oraz ochronę przed obcym kodem - w przypadku wykrycia infekcji wystarczy restart danej sesji z czystego obrazu systemu. Połączenie takiej ochrony z typowymi narzędziami antywirusowymi dostosowanymi do pracy w wirtualizowanym środowisku minimalizuje poziom ryzyka.