Skip to main content
Szukaj
Logowanie
Dane logowania.
Nie masz konta? Załóż je tutaj.
Zarejestruj się
Zarejestruj się
Masz konto? Zaloguj się tutaj.
  1. Strona główna
  2. Wydania
  3. Artykuł
Powrót

Jak chronić konta firmowe przed wyłudzeniami? Facebook, X i TikTok

05 październik 2023

Jak chronić konta firmowe przed wyłudzeniami? Facebook, X i TikTok
Redakcja

Redakcja

Social media to ważny element promowania marek w sieci. Korzystanie z nich niesie jednak sporo zagrożeń, które w konsekwencji prowadzą do utraty pieniędzy oraz zaufania do danej firmy. Jednym z popularnych cyberataków w social mediach jest phishing. Na czym on polega w kontekście mediów społecznościowych? Jak chronić przed nim konta firmowe na Facebooku, X i TikToku?

Jak chronić konta firmowe przed wyłudzeniami? Facebook, X i TikTok

Co to jest phishing w social mediach?

Taktyk phishingu jest wiele i mogą przybierać różne formy. Do tej najbardziej znanej należy tworzenie przez oszustów fałszywych stron imitujących marki, które cieszą się zaufaniem. Nieświadomi phishingu użytkownicy klikają linki i w ten sposób przekazują przestępcom swoje dane. Od ataków phishingowych nie są, oczywiście, wolne social media, o czym zapewne doskonale wiedzą osoby, które prowadzą profile firmowe na Facebooku, TikToku czy X (dawniej Twitter).

Firmy, które padły ofiarą cyberataków, tracą nie tylko pieniądze, ale przede wszystkim zaufanie, które żmudnie budowały. Dlaczego? Bo jeśli nieprawdziwy profil jest pierwszym kontaktem z „marką”, istnieje duże prawdopodobieństwo, że potencjalny klient zostanie na zawsze utracony, jeśli będzie miał złe doświadczenia.

To samo dotyczy stałych klientów. Gdy z marką skojarzone zostanie negatywne doświadczenie, nawet jeśli był to efekt cyberataku, prawdopodobieństwo, że klient ponownie jej zaufa w przyszłości, będzie mniejsze. Co więcej, niezadowoleni użytkownicy mogą nawet rozpowszechniać negatywne recenzje na temat brandu za pośrednictwem mediów społecznościowych.

Typowe taktyki phishingowe w social mediach

Jedną z powszechnych taktyk phishingowych pojawiających się w mediach społecznościowych są oszustwa związane z podszywaniem się pod kierownictwo, znane również jako „oszustwo dyrektora generalnego”. Taki cycyberatak ma miejsce wtedy, gdy dyrektor generalny lub członek kadry kierowniczej zajmujący wysokie stanowiska w firmie, żąda informacji lub pilnego przelewu pieniężnego od pracownika zatrudnionego na niższym stanowisku.

Oszust wykorzystuje ludzką skłonność do bezkrytycznego wykonywania poleceń przełożonego. Ten rodzaj oszustw nasilił się podczas pandemii, kiedy praca zdalna stała się nową normą, a współpracownicy nie byli już fizycznie razem w biurze.

Kolejną metodą jest tworzenie fałszywych profili firmowych, które mogą podszywać się pod daną markę. Taki profil wówczas może tworzyć nieprawdziwe reklamy, prezentując produkty lub usługi skopiowane od legalnego sprzedawcy.

Cyberprzestępcy, aby wyłudzić dane, mogą również tworzyć fałszywe oferty pracy. Do tego typu oszustw najczęściej dochodzi na LinkedIn, czyli platformie stworzonej do szukania pracy. Media społecznościowe to także miejsce, gdzie wiele firm prowadzi również obsługę klienta. Oszuści, aby wprowadzić w błąd użytkowników danej platformy, kopiują elementy identyfikujące markę, a następnie deklarują chęć pomocy. Wówczas klient, wierząc, że jest w bezpiecznych rękach, udostępnia im np. swoje hasła.

Udany atak phishingowy w social mediach

Ataki phishingowe w mediach społecznościowych są stosunkowo powszechne, a ich skutki mogą być różnorodne. Dla przykładu, w sierpniu 2019 r. firma Fstoppers zgłosiła kampanię phishingową rozpoczętą na Instagramie, podczas której oszuści wysyłają prywatne wiadomości do użytkowników Instagrama, ostrzegając ich, że naruszyli prawa autorskie do zdjęć i żądając od nich wypełnienia formularza, aby uniknąć zawieszenia konta.

Jedna z ofiar otrzymała prywatną wiadomość z oficjalnego konta North Face, w której zarzucano jej naruszenie praw autorskich, i nakłoniono ją do skorzystania z łącza do „InstagramHelpNotice.com”, pozornie legalnej strony internetowej, na której użytkownicy proszeni są o podanie danych logowania. Ofiary, które wpadły w pułapkę, ostatecznie zapewniły hakerom dostęp do informacji o swoim koncie i innych danych osobowych powiązanych z kontem na Instagramie.

Największe włamanie w historii Twittera

Z kolei w lipcu 2020 roku na ówczesnym Twitterze, z kont znanych osobistości świata polityki, mediów i show biznesu wysłane zostały tweety zachęcające do wpłat na wskazany portfel bitcoinowy, aby otrzymać zwrot podwojonej kwoty. W ciągu półtorej godziny hakerzy zebrali kwotę bitcoinów odpowiadającą kwocie 118 tysięcy dolarów, czyli ok. 466 tysięcy złotych.

Wśród zhakowanych kont znalazły się te należące do m.in.: Apple, Ubera, Baracka Obamy, Joe Bidena, Billa Gatesa, Kanye Westa czy Kim Kardashian.

Czy to oznacza, że promowanie biznesu w social mediach się nie opłaca, bo jest zbyt niebezpiecznie? Oczywiście, że nie. Dlatego, zanim zostanie założone konto biznesowe na jakiejkolwiek platformie, warto najpierw dokładnie zapoznać się z jej specyfiką.

Facebook a phishing

Zacznijmy od Facebooka. Serwis ten uruchomiono na początku XXI wieku i stał się podstawową platformą łączącą ludzi, firmy, rodziny i klientów. Typowy atak phishingowy na tej platformie bazuje na wiadomości lub odnośniku z prośbą o podanie lub potwierdzenie danych osobowych. Niestety, gdy atak odbywa się w postaci wpisu na Facebooku lub wiadomości wysłanej przez Messenger, trudno jest go odróżnić od aktywności realnych osób lub marek.  

Phishing na Facebooku służy cyberprzestępcom do zebrania danych, które umożliwiają hakerowi uzyskanie dostępu do kont użytkowników tego portalu. Po udanym ataku mogą pojawiać się wiadomości informujące o problemie z kontem na Facebooku oraz zawierające prośbę o zalogowanie się w celu rozwiązania problemu.

Takie wiadomości, oczywiście, bardzo często zawierają odnośnik, w który wystarczy kliknąć, aby znaleźć się na stronie do złudzenia przypominającej stronę Facebooka. Gdy użytkownik trafia na nią, pojawia się prośba o zalogowanie do konta. W ten sposób haker wykrada dane, dlatego zawsze przed zalogowaniem należy sprawdzać adres URL, aby mieć pewność, że przeniesienie nastąpi na stronę www.facebook.com. Wszystkie inne adresy prawdopodobnie są fałszywe.

Jak zabezpieczyć konto firmowe na Facebooku?

Oto kilka wskazówek:

  • Wyszukaj nazwę swojej marki lub produktu/ usługi w wyszukiwarce Google (lub innych popularnych wyszukiwarkach) i sprawdź wyświetlane strony na Facebooku. Jeśli pojawią się strony, które nie należą do Ciebie, przejrzyj je.

  • Przejdź bezpośrednio do Facebooka, a następnie użyj funkcji wyszukiwania, aby wyszukać nazwę swojej marki i produktu. Skorzystaj z funkcji filtra wyszukiwania, wybierz „Strony”, a następnie przejrzyj wyniki, aby sprawdzić, czy nie ma fałszywych stron.

  • Możesz także użyć hashtagów (np., jeśli nazwa Twojej marki to „myrestaurant”, możesz spróbować wyszukać #myrestaurant. Spróbuj także wyszukać odmiany nazwy swojej marki, takie jak moja-restauracja, myrestaurantt itd. Niektórzy cyberprzestępcy mają tendencję do używania błędnej pisowni podczas tworzenia fałszywych stron na Facebooku, aby oszukać markę i potencjalnych gości.

  • Możesz także skorzystać z wyszukiwarki Google i Grafiki Google, aby wyszukać swój produkt, a następnie ręcznie sprawdzić, gdzie na Facebooku wykorzystano zdjęcia Twojego produktu (w Grafice Google). Może to być świetny sposób na znalezienie ukrytych stron.

W kontekście zabezpieczenia konta firmowego w ten sposób, by cyberoszust nie wykorzystał prywatnego konta na Facebooku Twojego lub osoby z firmy do dostania się np. do menedżera reklam musisz pamiętać o kilku kluczowych sprawach:

  • Ustaw silne hasło. Twoje hasło powinno być unikalne i skomplikowane, zawierające kombinację liter, cyfr i znaków specjalnych. Unikaj używania łatwych do odgadnięcia haseł, takich jak nazwy zwierząt, daty urodzenia czy nazwy firmy.

  • Włącz dwuetapowe uwierzytelnianie. To dodatkowa warstwa zabezpieczeń, która wymaga podania kodu wysłanego na Twój telefon komórkowy lub adres e-mail podczas próby logowania z nieznajomego urządzenia. Zresztą, bez tego administrator i inne osoby przypisane do menedżera firmy mogą szybko stracić do niego dostęp. Facebook podał, że “jeśli uwierzytelnianie dwuskładnikowe jest wymagane w przypadku Twojego Menedżera firmy, osoby korzystające z niego muszą je włączyć, aby uzyskać dostęp do Menedżera firmy. Osoby, które nie skonfigurowały uwierzytelniania dwuskładnikowego, nie będą mogły uzyskać dostępu do Twojego Menedżera firmy, dopóki nie włączą uwierzytelniania dwuskładnikowego na swoim osobistym koncie na Facebooku.”

  • Włącz Facebook Protect — zaawansowany program zabezpieczeń, który pomaga chronić konto przed nieautoryzowanym dostępem.

  • Regularnie monitoruj aktywność na koncie. Sprawdzaj regularnie dziennik aktywności na Facebooku (“Twoje informacje na Facebooku” — “Wyświetl aktywność swojego profilu i zarządzaj nim”, zwłaszcza “Lokalizacja zalogowania”), aby upewnić się, że nie ma podejrzanych działań. Jeśli zauważysz coś niepokojącego, natychmiast zmień hasło.

  • Ogranicz dostęp do konta. Upewnij się, że tylko zaufane osoby mają dostęp do Twojego konta firmowego. Regularnie przeglądaj listę osób, które mają uprawnienia do zarządzania Twoją stroną i usuwaj tych, którzy nie są już potrzebni.

  • Bądź ostrożny z wiadomościami i linkami. Nie klikaj w podejrzane linki ani nie otwieraj podejrzanych wiadomości, nawet jeśli pochodzą od znajomych. Mogą to być próby phishingu.

  • Aktualizuj regularnie swoje oprogramowanie. Upewnij się, że system operacyjny, przeglądarka i inne aplikacje są regularnie aktualizowane, aby chronić się przed znanymi lukami bezpieczeństwa.

X a phishing

Facebook jest postrzegany jako platforma do utrzymywania kontaktu między znajomymi i rodziną, a X umożliwia interakcję z ludźmi z całego świata, których nigdy się nie spotkało w prawdziwym świecie. Ten poziom komfortu w kontaktach z obcymi ludźmi sprawił, że X stał się popularną platformą do przeprowadzania ataków phishingowych.

Hakerzy działający na X wykorzystują te same taktyki i techniki, co w innych mediach społecznościowych. Przestępca wysyła fałszywe wiadomości, które rzekomo pochodzą od X. Ich celem jest nakłonienie użytkownika do ujawnienia wrażliwych informacji, takich jak dane logowania, dane osobowe, a nawet dane karty kredytowej.

Po tego typu atakach phishingowych mogą następować kolejne, w tym atak „płać za obserwujących” (pay for followers). W tym przypadku haker wysyła ofierze wiadomość z propozycją załatwienia określonej liczby „obserwujących” za jedyne pięć dolarów. Ujawnienie danych osobowych oraz numeru karty kredytowej przez użytkownika otwiera mu furtkę do pobrania środków z jego konta i zalogowania się na jego koncie na X, aby kontynuować proceder wśród obserwujących ofiarę.

Jak chronić profil firmowy na X przed cyberatakami?

Zabezpieczenie konta firmowego na X jest kluczowe dla ochrony danych firmy i reputacji. Jak to robić skutecznie? Na początek warto stworzyć silne hasło, które jest długie, złożone oraz zawiera wielkie i małe litery. Dobre zabezpieczenie konta nie powinno się składać z łatwo dostępnych informacji jak np. nazwa firmy, imię i nazwisko właściciela czy nazwy miejscowości, w której znajduje się firma. Aby utrudnić cyberprzestępcom włamanie się na konto, warto też regularnie zmieniać hasło oraz mieć włączone uwierzytelnienie dwuskładnikowe.

Aby chronić konto firmowe na X, warto ograniczyć liczbę osób, które mogą nim zarządzać. Najlepiej, aby tę możliwość miały tylko osoby, które są zaangażowane w działania marketingowe lub administracyjne. Pamiętaj także o regularnym przeglądaniu i aktualizacji listy osób mających dostęp do konta.

Ponadto warto zorganizować szkolenia dla pracowników, aby ich uświadomić na temat zagrożeń związanych z bezpieczeństwem internetowym, phishingiem oraz regularnie robić kopie zapasowe ważnych danych i treści na swojej stronie X, aby zapewnić możliwość ich odtworzenia w przypadku utraty lub uszkodzenia. Należy również pamiętać, że zabezpieczanie konta firmowego na X to ciągły proces, który wymaga uwagi oraz świadomości ze strony właścicieli i administratorów konta.

TikTok – dlaczego jest narażony na cyberataki?

Kolejną platformą, na której coraz częściej pojawiają się konta firmowe, jest TikTok. Ma on ogromną bazę użytkowników, liczącą ponad 1 miliard osób, a treści hostowane na platformie gromadzą ponad miliard wyświetleń dziennie. Do tej pory konsumenci wydali na TikToku ponad 2,5 miliarda dolarów. Popularność tej platformy sprawiła, że stała się ona celem cyberataków.

Ze względu na specyfikę TikToka bardzo trudno odróżnić treści prawdziwe od tych, które produkują hakerzy. Jedną z najczęstszych prób oszustwa na tej platformie jest obietnica zwiększenia liczby polubień/obserwatorów/zasięgu. Oszuści często kontaktują się z ofiarami z propozycją zakupu polubień na Tik-Toku, co zwiększy popularność i zasięg treści profilu. Jednak w wielu przypad-kach oszuści przejmują pełną kontrolę nad kontem i blokują pierwotnemu użytkownikowi możliwość korzystania z niego.

Podobnie jak w przypadku serwisu X lub Facebook, oszuści nierzadko podszywają się pod inne marki lub osoby wpływowe. Dla profili firmowych jest to szczególne niebezpieczne w kontekście np. współpracy z influencerami.

Hakerzy, podszywając się pod znane, wpływowe osoby, zdobywają jak najwięcej niczego niepodejrzewających obserwujących, a następnie rozpowszechniają oszustwa związane np. z inwestycjami w kryptowaluty, publikują linki do złośliwego oprogramowania i dopuszczają się innych działań cyber przestępczych. Dlatego przed rozpoczęciem współpracy bardzo dokładnie trzeba sprawdzić profil osoby, z którą chcemy współpracować.

Kradzież tożsamości marki na TikToku jest również niebezpieczna ze względu na phishing. Niestety cyberprzestępca podszywający się pod nasz brand może wysyłać wiadomości tekstowe, obiecując np. ogromny wzrost liczby obserwujących i polubień wraz z niebezpiecznym linkiem. Klikając link, użytkownik ryzykuje przekazanie hakerom danych konta i poufnych informacji lub ściągnięcie na swój sprzęt złośliwego oprogramowania.

Jak chronić konto firmowe na TikToku?

Aby ochronić swoje konto na TikToku przed cyberatakami, staraj się nie pobierać bez weryfikacji aplikacji promowanych na TikToku. Zanim to zrobisz, przeprowadź rozeznanie i przeczytaj recenzje, aby mieć pewność, że dostajesz to, za co płacisz i że nie będziesz pobierać oprogramowania reklamowego ani złośliwego na swoje urządzenie. Warto też dokładnie sprawdzać autentyczność kont gwiazd. Najprostszym sposobem na znalezienie konta prawdziwej gwiazdy jest sprawdzenie zweryfikowanej odznaki. Każda legalna gwiazda będzie miała tę odznakę. Jednak nierzadko zdarza się, że oszuści wymyślają sposób na uzyskanie jej, dlatego np. w wyszukiwarce Google warto sprawdzić danego influencera wpisując jego nazwę oraz frazę „TikTok”, aby znaleźć jej legalną nazwę.

Ponadto, jeśli jakieś konta promują szybkie sposoby na zdobycie polubień i obserwujących, to istnieje duże prawdopodobieństwo, że jest to oszustwo. Rozwój na TikToku zapewni Ci jedynie tworzenie wysokiej jakości treści.

Jak uniknąć phishingu w mediach społecznościowych?

Najlepszym sposobem na uniknięcie uwikłania w oszustwo w mediach społecznościowych, niezależnie od tego, czy jesteś firmą, czy osobą fizyczną, jest połączenie edukacji i technologii. Do najbardziej skutecznych sposobów zapobiegania i unikania oszustw typu phishing w mediach społecznościowych należą takie zachowania jak:

  • Nigdy nie akceptuj zaproszeń do grona znajomych od osób, których nie znasz.

  • Nie używaj tego samego hasła i nazwy użytkownika do wszystkich swoich kont. Jeszcze lepiej jest aktualizować swoje dane co kilka miesięcy.

  • Jeśli podejrzewasz witrynę internetową lub wiadomość e-mail, zawsze sprawdź adres URL lub adres e-mail pod kątem jakichkolwiek charakterystycznych oznak phishingu, takich jak literówki lub nieprofesjonalne adresy e-mail.

  • Jeśli ktoś prosi o pieniądze, pamiętaj o potwierdzeniu jego tożsamości w trybie offline, podczas rozmowy telefonicznej.

  • Nie bierz udziału w quizach z prośbą o podanie danych osobowych.

  • Nie klikaj żadnych podejrzanych linków.

  • Edukuj klientów i pracowników na temat kanałów komunikacji, których używasz do różnych celów.

  • Wykrywaj fałszywe profile i podrabiane towary za pomocą zautomatyzowanego oprogramowania. 

Oceń artykuł

Jak możesz czytać Security Magazine?

  1. Kliknij w POBIERZ - rozpocznie się pobieranie PDF-a na Twoje urządzenie.
  2. Śledź nasze kanały na Facebooku, LinkedIn i TikTok - tam również udostępniamy informacje na temat wydania
  3. W przystępny sposób korzystaj z lektury za pomocą ISSUU — poniżej.

Sprawdź się!

Powiązane materiały

Zapisz się do newslettera

Bądź na bieżąco z najnowszymi informacjami na temat
cyberbezpieczeństwa



Zasady ochrony danych osobowych - polityka prywatności