חטיפת דף הפייסבוק העסקי עלולה להוות מסך עשן למתקפת סייבר

"הצילו. חטפו לנו את דף הפייסבוק העסקי. עם מי מדברים?" ● קריאה אמיתית שהשמיע השבוע מנהל אבטחת מידע ● אז עם מי באמת מדברים? וכמה זמן מהרגע שמוצאים עם מי לדבר משיגים שליטה בחזרה על הדף? אם בכלל...

21/06/2021 11:48
עינת מירון, יועצת לחוסן ארגוני בסייבר ולהתמודדות עם מתקפות סייבר בהיבטים העסקיים.

"הצילו. חטפו לנו את דף הפייסבוק העסקי. עם מי מדברים?". את הקריאה האמיתית הזו השמיע השבוע מנהל אבטחת מידע. מה שקרה הוא שבאמצעות גישה לחשבון פייסבוק פרטי, הוחלפה הסיסמה וממנו בוצעה חטיפה של הדף העסקי. כיצד מתמודדים עם המצב?

בפייסבוק שלי, שעוסק בהיערכות והתמודדות עם סיכון הסייבר בהיבט העסקי, יש פרק שלם שמתייחס לסיכוני הסייבר שבממשק עם אגף השיווק. מדובר בנושא מטריד לא פחות מהשאלה האם לשלם דמי כופר או לא (וזה לא המקרה), והוא עוד אחד מתוך רשימה ארוכה של נושאים שארגונים מפספסים בהבנת פוטנציאל סיכון הסייבר שלהם, עבורם.

נתחיל בהתחלה: פייסבוק מחייבת פתיחת דף עסקי בצמידות לפרופיל פרטי. אולי יש לדרישה הזו צידוק ברמת הזדהות אמינה, אבל מבחינת סיכון סייבר – זאת דרישה מסוכנת.

למה הדרישה מסוכנת? חטיפת פרופיל עסקי היא סיכון מורכב, ולא רק במובן של חוסר זמינות. למשל:

– התוקף מעלה בדף העסקי פוסט שמטרתו איסוף מידע במסווה של הגרלה. מאחר שמדובר בדף עסקי לגיטימי, ההגרלה נראית תקינה, הגם שהמניע מאחוריה עברייני.

– התוקף יכול להעלות באמצעות פוסט קוד זדוני שיבצע הדבקה המונית של חברי הדף, ובכך לייצר מתקפה רחבה שיוצאת מגבולות פייסבוק.

– התוקף יכול להעלות מסרים שיפגעו במוניטין העסקי של החברה.

במצב המצוי, עדכוני מדיה חברתית מבוצעים בין היתר גם באמצעות המכשיר הסלולרי של מנהל הדף, מתוך רצון לשמר דינמיות בקשר עם העוקבים. נוח אבל מסוכן.

לא להקל ראש. חטיפת הדף העסקי בפייסבוק. צילום אילוסטרציה: BigStock

לא להקל ראש. חטיפת הדף העסקי בפייסבוק. צילום אילוסטרציה: BigStock

התנהלות במדיה חברתית בראיית צמצום החשיפה לסיכוני הסייבר

אז אמנם פייסבוק (Facebook) מאפשרת כמה מנגנונים להבטחת שמירה על הדף מחטיפה שכזו, אבל האמת היא שמה שהיא עושה רחוק מלהיות מספק, ולכן המצב הזה מחייב תשומת לב נקודתית להתנהלות במדיה חברתית בראיית צמצום החשיפה לסיכוני הסייבר. 

הגם שנוח יותר לפתוח את האפליקציה במכשיר הסלולרי, צריך להבין שלנוחות יש מחיר. ככלל, מנהל אבטחת המידע חייב להיות מעורב בכל ההחלטות המתקבלות בצד השיווקי, אבל נתמקד כרגע בהיבט דף הפייסבוק העסקי.

המעורבות תתחיל בהעברת החשבון המנהל תחת נהלי אבטחת המידע הארגוניים, ולא כחשבון פרטי שבאמצעותו מנהלים את העסקי. המשמעות היא שהארגון יצטרך לעשות עבודת social engineering, ולייצר פרופיל פרטי שלא יחשד בעיני פייסבוק כפרופיל שמפר את כלליה, ורק אליו לשייך את הדף העסקי.

בהמשך, באחריות מנהל אבטחת המידע להוסיף מנגנון הזדהות – 2FA (אימות דו שלבי הכולל הוספת אישור באמצעות הודעת סמס, דוא"ל), ולא לסמוך על מנהל המדיה החברתית שידע לעשות זאת בעצמו. 

ככל שהפרופיל ינוהל בסטנדרטים נדרשים וגבוהים של אבטחת מידע, יקטן הסיכון לפגיעה בדף העסקי. יחד עם זאת, מאחר ואף פעם אין יותר מדי מנגנוני הגנה על נכסים חשובים, מומלץ להוסיף גם מנגנון MFA, המאפשר שליטה טובה יותר על תהליכי הזדהות בהתאם להרשאות (הזדהות מגוונת באמצעות טוקן ייעודי, אמצעי ביומטרי וכו').

כידוע, דף הפייסבוק העסקי מחייב מתן הרשאות לספקים שונים, בהם מנהלי תוכן, רוכשי מדיה וכדומה. יש לבחון היטב את חלוקת ההרשאות לגישה ישירה לפרטי החשבון העסקי, ולבחון מנגנוני גישה בהתאם. בנוסף, אסור להזניח את מדיניות החלפת הסיסמאות ואכיפתה. בהתאם למספר המורשים לגשת לחשבון הפייסבוק העסקי ולתכיפות השימוש בו, יש לבחור את מועד פקיעת תוקף הסיסמה הקיימת ולהגדיר סשן פעילות מאושר, שגם מנוהל.

כן, אני יכולה להבין שאלו המלצות לא קלות לעיכול, למי שהתרגלו לדינמיות של פוסט קצר ולחיצה על ה'שלח', אבל בבחירה בין התמודדות עם שחזור דף הפייסבוק ובין התאמת התנהלות עסקית וארגונית מולו, יש לתעדף את הסיכון הפחות מורכב.

נחזור לרגע להתחלה – מעבר לאתגר שבהחזרת פרופיל הפייסבוק לחשבון הלגיטימי שמפעיל אותו, בפני הארגון ומנהל אבטחת המידע שלו עומד אתגר נוסף: לבצע תחקיר יסודי שבוחן כיצד התאפשרה גניבת הסיסמה של מנהל הדף. האם מדובר במתקפה ייעודית ומטורגטת? האם מדובר ברשלנות או אפילו טעות אנוש של העובד, שלחץ על לינק זדוני או נכנס לאתר לא לגיטימי ודרכו הודבק? האם יש השפעה על יישומים נוספים – הרי ידוע לנו שעובדים רבים ממחזרים סיסמאות בשירותים שונים. האם הפוגען דילג בין המחשב בארגון למכשיר הסלולרי של העובד, וממנו למחשב הביתי שלו? האם חטיפת דף הפייסבוק היא כל הסיפור, או רק מסך עשן לאירוע גדול יותר? ועוד שאלות שנוגעות לפוטנציאל מתגלגל של מתקפת סייבר, שמתחילה בקטן והופכת לאירוע של ממש.

הכותבת היא מומחית Cyber Resilience ויועצת ל-CLevel בהערכות והתמודדות עם מתקפות סייבר בהיבטים העסקיים

תגובות

(0)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

אירועים קרובים