Hogyan tegyük biztonságossá a Meta fiókokat és mit tegyünk, ha feltörték?

  2023. május 25. - 15:20/  Seregi-Balogh Inez

Mindenki ismeri a hasonlatot, amely szerint egy jó jelszó olyan mint az alsónemű: gyakran cseréljük, nem hagyjuk szerteszét, és nem osztjuk meg mással. Mindenki azt gondolja, hogy ő bizony nem ad lehetőséget (vagy okot) a támadásra. Mégis, az elmúlt években folyamatosan és egyre többször halljuk azokat a történeteket, melyek feltört accountokról és hackelt számítógépekről szólnak. A kiberbűnözők egyre kifinomultabb módszerekkel dolgoznak. Lehet hogy egy jó jelszó önmagában már nem elég?

A Meta folyamatosan dolgozik olyan biztonsági mechanizmusok kifejlesztésén, melyek segítenek megőrizni a felhasználók és a vállalkozások online biztonságát. A biztonságot minden tevékenység alapvető részének tekinti, ezért 2016 óta több mint 13 milliárd dollárt fektetett be csapatok és technológiák fejlesztésébe ezen a területen.

A következő cikkben segítséget nyújtunk a veszélyes helyzetek felismeréséhez és elkerüléséhez, valamint összefoglaljuk azokat a lépéseket, melyeket végrehajthatunk, ha már megtörtént a baj.

Gyakori forgatókönyvek és technikák

Bár hajlamosak vagyunk azt gondolni, hogy minket aztán nem lehet átverni, a tapasztalat azt mutatja, hogy mégis, gyakran megtörténik a felhasználók nagy részével. Ezért tartjuk fontosnak, hogy ne csak a baj megoldásával foglalkozzunk, hanem azzal is, hogyan tudjuk megelőzni azt. 

Adathalászat (Phising)

Az egyik leggyakoribb és elszomorítóan hatékony technika az, amikor a hackerek egészen egyszerűen megkérdezik tőlünk a jelszavainkat, vagy egyéb értékes adatainkat. Természetesen nem szemtől szemben teszik ezt, hanem álcázott levelekkel, üzenetekkel, játékokkal. A két legjellemzőbb formája ennek az, amikor vagy egy általunk is ismert szervezet nevében küldik a hamis üzenetet arra kérve minket, hogy azonosítsuk magunkat. Az is előfordulhat, hogy egy korábban már meghackelt ismerősünk fiókjából küldenek egy üzenetet, mely az ártalmas linket tartalmazza videónak, vagy egyéb minket érdeklő tartalomnak álcázva.

A cégek nevében küldött tipikus üzenet:

  • tájékoztat arról, hogy valaki megpróbált belépni a nevünkben a fiókunkba, és kéri hogy adataink megadásával azonosítsuk magunkat
  • esetleg azt jelzi, hogy valamilyen probléma van az accountunkkal, mely szükségessé teszi a belépést
  • egyszerűen csak adataink megerősítését kéri
  • lehetséges, hogy hamis számlát vagy más dokumentumot tartalmaz
  • vagy arról tájékoztat, hogy valamilyen visszatérítésre, vagy nyereményre vagyunk jogosultak.

Bár ezeket a leveleket nem tudjuk elkerülni, rákattintani – és főleg az adatainkat megadni – egyáltalán nem muszáj. A legfontosabb teendő, hogy ne kattintsunk rá semmilyen linkre, gombra, hacsak nem vagyunk benne teljesen biztosak, hogy hiteles a levél. Erre a fejléc vagy a logo ellenőrzése nem elegendő, mindig nézzük meg a feladó email címét, és ha kicsit is bizonytalanok vagyunk, hívjuk fel az érintett cég ügyfélszolgálatát és kérdezzünk rá, hogy valóban küldtek-e ilyen üzenetet. A Meta soha semmilyen üzenetben nem kéri felhasználóitól a jelszavuk megadását. Ha úgy gondoljuk, hogy adathalász levelet kaptunk, mindig érdemes jelenteni is, hogy a jövőben már ki tudja szűrni a rendszer ezeket a leveleket, és feladókat.

Megtévesztő oldalak használata (Bait and Switch Attack)

Akár fizetett hirdetésből is terelhetnek minket olyan weboldalra a csalók, amelyek nagyon hasonlítanak az eredeti weboldalra, amelyet meg szerettünk volna látogatni, de valójában kártékony szoftvert telepíthetnek a gépünkre, vagy kicsalhatják az adatainkat.

Ezért különösen fontos, hogy mindig ellenőrizzük a weboldalakat, amelyekre megérkeztünk, hogy valódiak-e. Ha valami akár egy kicsit is furcsa, inkább navigáljunk el róla. Semmiképp ne telepítsünk a gépre semmilyen szoftvert aminek nem ellenőriztük a megbízhatóságát.

Érdemes szem előtt tartani, hogy az ártalmas szoftverek nem feltétlenül okozzák a számítógép teljes összeomlását. Sokszor elég ha észrevétlenül olyan apróságot csinálnak, mint hogy rögzítik az általunk leütött billentyűket (keylogger). Ezekből a “log”-okból aztán könnyedén kinyerhetőek a jelszavaink, és szabad az út a fiókjainkhoz.

Számos más módja is van egy számítógép vagy szerver megtámadásának, de felhasználóként ezek a leggyakoribb esetek, amikkel szinte biztos, hogy találkozni fogunk.

A fentieken kívül mit tehetünk a Meta fiókjaink biztonságáért?

  1. Sose osszuk meg a jelszavainkat senkivel, ne mentsük el őket a gépen, cseréljük rendszeresen, és használjunk különböző jelszavakat a különböző weboldalakon. Ha nehéz mindegyiket észben tartani, akkor megpróbálhatunk egy jelszókezelő szoftvert használni jelszavaink észben-, és karbantartására,de ne felejtsük el, hogy ez is biztonsági rést jelenthet.
  1. Használjunk csak a Meta belépéshez választott, nehezen kitalálható, egyedi jelszót, mely egyaránt tartalmaz számokat, kis-, és nagybetűket és egyedi írásjeleket. A Password123! sajnos nem egy jó választás.
  1. Ha másokkal közösen használjuk a számítógépet, jelentkezzünk ki, amikor végeztünk.
  1. Csak biztonságos internethálózathoz csatlakozzunk. A jelszóval nem védett, ingyenes wifi hálózatok például egyáltalán nem biztonságosak, sose csatlakozzunk rájuk. Tovább növelhetjük a biztonságunkat, ha VPN-en keresztül csatlakozunk az internethez.
  1. Kapcsoljuk be az értesítéseket. Ez segíthet abban, hogy azonnal értesüljünk róla, ha szokatlan aktivitás történik a fiókunkban. Ha bármi olyan aktivitást észlelünk, ami nem tőlünk származik, azonnal ellenőrizzük, és szükség esetén jelentsük. Ezzel elkerülhető, hogy csak a hónap végén, egy hatalmas hirdetési számla megérkezésekor szembesüljünk azzal, hogy fiókunkat feltörték.
    Súgó: Az értesítésekről részletesen
  1. Ne fogadjunk el ismerősnek jelölést olyantól, akit nem ismerünk. Ha ismerősnek fogadunk el egy csalót, az illető kéretlen tartalom elhelyezése céljából hozzá tud férni az idővonalunkhoz, megjelölhet bejegyzésekben, és veszélyes üzeneteket küldhet nekünk.
  1. Ahol csak lehet, állítsuk be a kétlépcsős azonosítást. Ez az egyik legfontosabb dolog, amit meg kell tennünk Meta fiókjaink biztonságának érdekében. Amennyiben valamilyen probléma történik a fiókkal, szinte biztos, hogy felmerül a kérdés, hogy a kétlépcsős azonosítás be volt-e kapcsolva. 

Figyelem! A kétlépcsős azonosítás jelenleg még SMS kód igénylésével is működik, ez azonban hamarosan kivezetésre kerül, ezért érdemes egyből valamilyen más megoldást választani. Javasoljuk a valamilyen harmadik fél által biztosított hitelesítő alkalmazás (pl Google hitelesítő vagy DUO) használatát.
Súgó: A kétfaktoros hitelesítés bekapcsolása és kezelése 

  1. Ha már a mi fiókunkban is elérhető a funkció, akkor mindenképpen állítsuk be a megbízható email címek tartományát. Ez a beállítás a vállalkozáskezelőn belül a Biztonsági központban érhető el.
  1. Adjunk meg tartalék adminisztrátort a fiókunkhoz, így elkerülhető, hogy esetleg kizárjuk magunkat a fiókból. Ez a beállítás a Vállalkozáskezelőn belül szintén a Biztonsági központban található.
  1. Ellenőrizzük rendszeresen és tartsuk karban, kinek van, és milyen szintű hozzáférése a hirdetési fiókjainkhoz. A lehető legrövidebb időn belül távolítsuk el a távozó munkatársak hozzáférését, és ne osszunk ki magasabb szintű jogosultságokat a szükségesnél.
    Súgó: A hirdetési fiókok felhasználóinak kezeléséről
  1. Ha nem vagyunk biztosak benne, hogy mindent megtettünk, a Meta saját eszközével ellenőrizhetjük is fiókunk biztonságát. Az eszköz a képre kattintva elérhető.

Mit tehetünk, ha már megtörtént a baj?

Az első lépés, hogy kiderítsük, pontosan mi történt, illetve, hogy tényleg feltörték-e a fiókot. Előfordulhat, hogy letiltottak minket, vagy elvesztettük a hozzáférésünket a page-hez vagy a hirdetési fiókhoz. Első lépésként ezért mindig kérdezzük meg az adott oldal vagy fiók adminisztrátorát, hogy nem vonta-e vissza jogosultságunkat. 

Súgó: Teendők profil tiltás esetén 

Ha nem ez történt, derítsük ki, hogy más is hozzáfér-e a fiókjainkhoz. Ennek számos jele lehet:

  • olyan bejegyzést (posztot) vagy üzenetet találunk, amelyet nem mi (vagy egy általunk engedélyezett applikáció) hoztunk létre
  • a hirdetési fiókunkban olyan hirdetések futnak, melyeket nem mi, vagy általunk megbízott személy indított el
  • nyilvánossá váltak olyan posztok vagy kommentek, amiket nem tettünk azzá
  • módosult a nevünk, vagy születésnapunk
  • módosult az email-címünk és/vagy a jelszavunk
  • számunkra ismeretlen emberek kaptak ismerősnek jelölést a fiókunkból.

Ha azt tapasztaljuk, hogy illetéktelen személyek léptek be a fiókunkba, ne halogassuk a dolgokat, azonnal cselekedjünk! 

  1. Ha be tudunk lépni, akkor első lépésben igyekezzünk visszaszerezni az irányítást a fiókunk felett. Mihamarabb változtassunk jelszót, vagy küldjünk magunknak jelszó-visszaállító emailt. Vonjuk vissza a hozzáférést az esetleges gyanús külső alkalmazásoktól és töröljük az összes ismeretlen felhasználó hozzáférését. 
  1. Ha be se tudunk lépni a profilunkba, akkor kérjünk támogatást a Meta ügyfélszolgálattól a profiloldalról indulva.

    Súgó: Facebook-fiók visszaállítása, amelybe nem tudsz bejelentkezni
    Irányított súgó: Segítségnyújtás feltört fiókhoz

Mindkét esetben keressük fel a www.facebook.com/hacked weboldalt, és menjünk végig az ott megadott lépéseken.

+1 biztonsági réteg: Meta partnerség

Abban az esetben ha a hirdetői fiók részt vesz a Meta ASP programjában, melyet Magyarországon a Httpool biztosít, lehetőség van további segítségnyújtás kérésére is a Httpool kapcsolattartóin keresztül. 

Súgó: További információk a Meta ASP programról
Kapcsolat: meta@httpool.hu

A szerző

Seregi-Balogh Inez

Tapasztalt PPC szakember, a Httpool Meta ASP partner magyarországi csapatának tagja.
PPC Pro Facebook-csoport

Csatlakozz Facebook-csoportunkhoz!

PPC és analitika, nem csak Pro felhasználóknak.

Belépek

Írj nekünk!

Kérdésed van? Cikket írnál? Van egy jó képzésed? Feladnál egy álláshirdetést? Írj üzenetet!