Aby vás nehackli jak McDonald’s. 10 zásad pro zabezpečení firemních účtů na sociálních sítích

Firemní profily na sociálních sítích mají zásadní vliv na pověst značky a jsou klíčovým nástrojem marketingu. Jenže kdo se k nim přihlašuje? Máte ve firmě pod kontrolou, kdo má v nastavení vašich profilů jaká oprávnění? A kdy se sociální sítě můžou stát branou pro kyberútoky? Zjistěte, jaké zásady je třeba dodržovat, aby vaše profily byly dobře zabezpečené.

V srpnu 2024 obletěla svět zpráva o útoku na instagramový účet řetězce McDonald’s. Ve chvíli, kdy podvodníci s kryptoměnami získali přístup k oficiálnímu účtu McDonald’s na Instagramu, rychle upravili popisek firemního profilu a pak na něm zveřejnili hned několik příspěvků propagujících smyšlenou kryptoměnu Grimace. Jednotlivé posty přitom obsahovaly odkazy na kryptoměnové adresy a snažily se nalákat co nejvíce lidí do podvodného schématu.

Už za půl hodiny od začátku útoku zasáhl bezpečnostní tým řetězce – příspěvky smazal a firma nad účtem opět získala kontrolu. Než se to ale podařilo, podvodníci vylákali od uživatelů investice ve výši 700 000 dolarů. Kromě toho se jim podařilo prolomit také účet X (dříve Twitter) marketingového ředitele společnosti McDonald’s Guillauma Huina. 

Během útoku se nicméně v popisu instagramového profilu společnosti McDonald’s objevila věta: „Sorry mah n-ga you have just been rug pulled by India_X_Kr3w thank you for the $700,000 in Solana“, která odkazuje na název techniky, jejíž obětí se uživatelé stali – šlo o tzv. metodu rug pull.

Tuto metodu hackeři často využívají právě v oblasti kryptoměn, kdy nejprve donutí lidi, aby investovali peníze do falešné kryptoměny, načež peníze vyberou, kryptoměnu zruší a zmizí.

Příklad McDonaldu ukazuje, že desítky minut ke zneužití firemního profilu a dalekosáhlým škodám na straně firmy i dalších uživatelů bohatě stačí. Pro firmu znamená takový útok velké reputační riziko. A ačkoliv se v případě společnosti McDonald’s hackeři zaměřili především na propagaci falešné kryptoměny, existuje celá škála dalších způsobů, jak lze firemní účty na sociálních sítích zneužít.

Místo dárkové karty hacknutí údajů

Někdy k tomu není zapotřebí ani účet hacknout. Tak se například Sephora, populární mezinárodní řetězec známý svým širokým výběrem kosmetických produktů a vzorků, rovněž stala prostředkem k promyšlenému podvodu s falešným programem na recenze svých výrobků. Podvodníci při něm vytvořili přesvědčivé webové stránky, na kterých zvali uživatele internetu k recenzím produktů Sephora výměnou za dárkovou kartu v hodnotě 750 amerických dolarů (tedy asi 17 400 Kč). Sociální sítě jako Facebook a Instagram přitom využili k placeným reklamám, které uživatele odváděly rovnou na falešné webové stránky s přihláškami do programu. A cíl? Stejný jako vždycky – sběr citlivých údajů umožňujících krádež identity, nabourání se do účtu nebo šíření malwaru.

V čem firmy nejčastěji chybují

V případě firemních účtů na sociálních sítích typicky dochází ke zneužití účtů, pokud firma nezajistí bezpečnostní opatření jako vícefázové ověřování (MFA) nebo pravidelnou kontrolu přístupů. Riziko je přitom veliké. Přes kompromitovaný firemní účet na sociálních sítích přece jen snáz získáte důvěryhodnost a prostředky k tomu, abyste následně mohli provést útok typu spear-phishing na další zaměstnance a získali přístupové body do interních systémů. O důležitosti zpravodajství z otevřených zdrojů jsme psali v jednom z minulých článků. Zde jsou ve stručnosti 4 pravidla pro práci s osobními účty.

Bezpečnostní zásady pro osobní účty v kontextu OSINT

• Sdílejte informace o sobě s rozvahou. Pečlivě zvažte, jaké informace sdílíte online, a to i na osobních profilech – detaily jako místo pracoviště, pracovní pozice nebo pracovní nástroje lze snadno zneužít.
• Dbejte na své soukromí. Omezte viditelnost citlivých informací a nastavte si silnou ochranu soukromí na sociálních sítích.
• Uvědomte si, že útočníci o vás můžou sbírat informace. Využívají metodu OSINT ke sběru informací pro následné phishingové nebo spearphishingové útoky.
• Kontrolujte svou digitální stopu. Pravidelně prověřujte a odstraňujte nepotřebné informace, které o sobě nebo firmě sdílíte online.

Častý problém představuje také nedostatečný monitoring vlastních sociálních sítí, což může vést k tomu, že firmy nepostřehnou neobvyklou aktivitu nebo pokusy o tvorbu podvodných účtů, které simulují nebo jinak zneužívají ty skutečné. Použití nástrojů pro monitorování sociálních médií přitom může pomoci tyto hrozby detekovat.

Desatero zásad pro bezpečné profily na sociálních sítích

1. Nastavte si silná hesla

Nejdůležitější věcí, kterou můžete udělat pro zabezpečení svých účtů na sociálních sítích, je nastavení silných a jedinečných hesel pro každou platformu. Je to nejlepší způsob, jak zajistit, aby váš účet zůstal neproniknutelný. Zároveň je to věc, kterou mnoho uživatelů zanedbává – často používají stará hesla, používají stejné heslo pro více účtů nebo volí něco, co lze snadno uhodnout. Nezapomínejte přitom na změnu hesel v rámci offboardingu.

2. Použijte 2FA nebo MFA

Co je lepší než bezpečné heslo? Přidání dvoufaktorového ověřování (2FA) nebo vícefaktorového ověřování (MFA) do procesu přihlašování. Tato opatření vyžadují, aby uživatelé pro přístup k účtu poskytli více forem identifikace. 2FA například zahrnuje použití hesla (něčeho, co znáte) a časově omezeného jednorázového hesla (OTP) vygenerovaného aplikací v chytrém telefonu (něčeho, co máte) či skrze biometrický údaj, jako je třeba otisk vašeho prstu.

3. Udržujte svůj tým v obraze

V posledních několika letech se například objevil ransomware jako služba (RaaS), což je zákeřná variace na obchodní model software jako služba (SaaS). V reakci na to spustila Agentura pro kybernetickou bezpečnost a bezpečnost infrastruktury (CISA) portál věnovaný pomoci podnikům získat informace o ransomwaru. Využijte tyto zdroje ke školení svého týmu o aktuálním prostředí hrozeb a buďte stále informovaní o vývoji hrozeb na sociálních sítích.

Ransomware je v roce 2024 ještě zákeřnější než kdy dřív. Co o něm dnes musíte vědět?

Ransomware je v roce 2024 ještě zákeřnější než kdy dřív. Co o něm dnes musíte vědět?

Zobrazit článek

4. Omezte přístupová práva

Firmy by měly omezit přístupová práva a povolit přístup k profilům na sociálních sítích pouze oprávněným zaměstnancům. Zajistěte, aby práva správce měli pouze ti zaměstnanci, kteří potřebují přístup k určitým účtům a funkcím pro svou práci. Pro zachování kontroly nad bezpečností účtů by se měla přístupová práva pravidelně ověřovat a aktualizovat.

5. Aplikace třetích stran používejte opatrně

Než začleníte aplikace třetích stran do svých účtů na sociálních sítích, pečlivě prověřte jejich bezpečnostní postupy a pověst. Věnujte pozornost oprávněním, která jsou těmto aplikacím udělena, protože by mohla umožnit přístup k soukromým informacím, ke kterým by mít přístup neměly. Pravidelně kontrolujte oprávnění a nepotřebným aplikacím je odebírejte. 

6. Chraňte mobilní zařízení

Pro správu sociálních médií se stále častěji využívají mobilní zařízení, proto je nutné přijmout opatření pro jejich bezpečné používání. Zajistěte, aby tyto přístroje měly rovněž aktivované biometrické ověřování nebo bezpečné ověřování heslem. Data, která jsou v nich uložena, by měla být šifrována a operační systémy a software by měly být často aktualizovány, aby se odstranily bezpečnostní chyby.

Co je behaviorální biometrika a k čemu slouží?

Co je behaviorální biometrika a k čemu slouží?

Zobrazit článek

7. Pravidelně aktualizujte a záplatujte software

Útočníci mohou využít zastaralý software a ohrozit tak bezpečnost vašich účtů na sociálních sítích. Všechny aplikace a platformy pro správu sociálních médií by měly být aktualizovány nejnovějšími bezpečnostními záplatami a aktualizacemi. Firmy by měly provádět časté skenování zranitelností a neprodleně implementovat všechny čekající záplaty.

8. Vytvořte jasné pokyny, které rozlišují aktivity pro osobní vs. profesionální použití

Jedním z nejdůležitějších aspektů zásad používání sociálních médií je rozlišení mezi osobním a profesionálním používáním sociálních sítí. Firemní zásady by měly definovat, kdy a jakým způsobem se mohou zaměstnanci na sociálních sítích identifikovat jako zástupci vaší společnosti. Zvažte, zda by neměly být osobní profily zaměstnanců na sociálních sítích soukromé.

9. Vyjasněte očekávání, která u zaměstnanců máte ohledně profesionálního chování

Zvláště pokud lze konkrétní zaměstnance identifikovat jako zásadní osoby spojené s vaší společností. Pokud chtějí vaši zaměstnanci reprezentovat vaši společnost online, musí být schopní dodržovat stejná pravidla jako tým, který má na starosti správu sociálních médií.

10. Firemní zásady pro sociální média by měly chránit citlivé informace

Musí se proto týkat těch typů informací, které by se nikdy neměly sdílet na sociálních sítích, jako jsou údaje o zákaznících, finanční informace a nevydané produkty.

Kdo má za co odpovědnost, když jde o správu firemních profilů na sociálních sítích?

• Marketingový tým. Odpovídá za správu obsahu a kampaní. Pravidelně monitoruje metriky, interakce a případné varovné signály (neobvyklé příspěvky nebo komentáře). Udržuje vztahy s publikem a včas hlásí jakékoli podezřelé interakce nebo aktivity bezpečnostnímu týmu.
• IT tým. IT by mělo spravovat přístupová práva k účtům na sociálních sítích, zajistit, že každý tým má správná oprávnění, a pravidelně provádět audit přístupů. Zajišťuje silná hesla, dvoufaktorové ověřování (2FA) a bezpečné připojení (například VPN) pro ty, kteří se k účtům přihlašují vzdáleně. Pravidelně kontroluje zabezpečení platforem a zařízení používaných ke správě sociálních sítí.
• Právní oddělení. Stanovuje právní zásady pro správu obsahu a souhlas se shromažďováním a zpracováním dat na sociálních sítích. Sleduje, aby komunikace na sociálních sítích splňovala veškeré právní normy a pravidla pro ochranu osobních údajů.
• Management. Vytváří jasnou hierarchii pro správu sociálních médií a schvaluje zásady pro přístup a zabezpečení účtů. Zajišťuje, aby všichni relevantní zaměstnanci byli školeni o bezpečnostních rizicích spojených se sociálními sítěmi a byli připraveni na případné incidenty.
• Externí agentury či partneři. Všechny externí společnosti spravující sociální sítě musí dodržovat bezpečnostní standardy firmy. Přístup k účtům by měl být co nejvíce omezený.

Co si z článku odnést?

• Firemní účty na sociálních sítích představují riziko reputačního i finančního poškození, pokud nejsou řádně zabezpečené.
• Pro zvýšení bezpečnosti je nutné využívat silná hesla a dvoufaktorové ověřování (2FA), pravidelně aktualizovat přístupová práva a monitorovat aktivitu na jednotlivých profilech.
• Každý tým, od marketingu po IT a právní oddělení, má v ochraně sociálních sítí svou specifickou odpovědnost, což pomáhá předejít zneužití.
• Používání nástrojů pro monitoring sociálních médií a ověřených aplikací třetích stran je nezbytné k včasné identifikaci neobvyklých aktivit a hrozeb.
• Vzdělávání zaměstnanců o bezpečnostních zásadách na sociálních sítích může výrazně snížit riziko útoků, jako jsou phishing nebo podvodné reklamy.

Kateřina Benešová
Marketingový specialista pro B2B