企业社交媒体面临的威胁正随着作恶者的社交工程技术飞速发展。
有时他们的技术达到了如此高的水平,即使是精通技术的公司网络管理员也无法区分骗局和真相。
由于许多企业使用社交媒体来推广他们的产品和服务,这些威胁与非常多的公司有关。
为了帮助他们保持安全,卡巴斯基专家、网络内容分析专家Anna Larkina和垃圾邮件分析专家Roman Dedenok提供了以下建议,以减轻2023年与社交媒体相关的网络风险。
请谨慎使用直接邮件和草稿文件夹,删除E旧的无关信息
公司在直接发送信息时应谨慎保存敏感信息,因为这可能会带来网络风险。人们经常使用企业社交媒体直接给品牌写信,寻求帮助,使用账户持有人的产品或服务。
此外,一些合作伙伴关系,比如与博客作者的合作,可以通过直接消息进行谈判。有时在这些对话中共享个人或财务信息,这些信息可能在交互后很长一段时间内仍保留在消息文件夹中。
如果存在漏洞,允许网络犯罪分子未经授权访问帐户,敏感数据可能会被泄露或用于组织攻击。
为了避免这种风险,养成一个有用的习惯,当对话结束时,删除不相关的信息,其中包含的信息不再相关。这同样适用于帖子——值得仔细检查草稿文件夹中保存的内容。
回顾旧的帖子,尽量减少声誉部分风险
声誉的力量正在增长:每一句话、每一个行动和每一个决定都可能有助于或损害公司的形象。在网络安全方面,所有发布在网上的信息都非常重要:当敏感信息(再次)出现在公众面前时,几乎总是会损害公司的声誉,并可能造成经济损失。
为了保险起见,花点时间回顾一下已经发布的帖子,因为它们可能包含不符合当前现实的信息——从不合适的笑话到有争议的广告活动。
昨天还很正常的事情,今天可能会引起公众的负面反应。回顾过去几年发表的文章,在很大程度上降低了相关的声誉风险。
小心发布你的成功故事
签下一份利润丰厚的合同或达成一笔交易后,我们希望将其发布在社交网络上,让尽可能多的人知道我们的成功。
但我们真的需要意识到不受欢迎的网络罪犯的注意力。如果潜在的攻击者知道您的供应商或承包商是谁,他们可能会试图冒充他们或破坏他们的帐户并代表他们进行攻击。
此外,在社交媒体上反映公司的结构和工作方法越清晰,就越容易被攻击者组织起来。
例如,如果可以追踪到谁负责财务,攻击者可以假装是这个人的主管,并试图引诱他们紧急转移一大笔钱到一个假账户,以“完成交易”或“购买必要的设备”。
运用各种社会工程技术,犯罪者可以令人信服地模仿另一个人,而受害者几乎不会注意到欺诈行为。
提醒新来者在社交媒体上发布“新工作”的风险
获得新工作后,新人通常会在社交网络上分享这一消息,但他们还不了解这家公司的网络安全流程是如何构建的:例如,身份识别是如何工作的,或者他们可以与谁共享敏感信息。因此,新来者更容易受到网络攻击。
想象一下:一个犯罪者在社交媒体上跟踪这个人,并收集有关他们的信息。然后,犯罪分子代表公司的IT管理员给新员工写了一封恶意信,要求分享密码以建立一个技术帐户。
新人很可能会分享密码,因为他们不知道管理员永远不会写这样的信。此外,新员工通常很害羞,他们可能会犹豫是否要问同事信的真实性。
社交媒体上的一个小小的帖子可能会让员工成为网络罪犯的切入点。
为了降低风险,立即为新人提供信息安全课程,并告诉他们在发布新工作信息时要非常小心。
有限公司控制帐户访问权限(员工离开时不要忘记更改密码)
用于创建社交媒体帐户的登录名、密码和访问电子邮件地址与其他公司内部文件一样有价值。如果有权访问帐户和身份验证数据的员工离开了公司,那么应用与阻止他们访问公司网络时相同的规则是有用的。
首先,修改与公司社交网络相连的电子邮件账户的密码;然后断开前员工的手机号码,并检查其他身份验证方法——例如,一个备用邮箱。
不要忽略双因素身份验证
社交网络上的任何账户都必须受到安全保护,更不用说公司账户了。双因素身份验证对于任何类型的帐户都是绝对必要的设置。
链接到该账户的电子邮件地址应该像社交媒体账户本身一样受到保护。通常攻击始于对电子邮件的初始访问。攻破帐户后,攻击者可以在邮箱设置中配置过滤器,删除社交网络中的所有支持电子邮件。
因此,用户将无法恢复其帐户的访问权限,因为所有电子邮件将被自动删除。更不用说在有压力的情况下,我们不会检查当前在邮箱中配置了哪些过滤器。
最好使用公司的电子邮件地址注册一个社交媒体账户。首先,它得到了更好的保护(假设公司关心网络安全)。此外,内部安全专家可以阻止对该邮箱的访问以及对公司网络的所有访问。
为员工提供反钓鱼培训
要降低社交媒体网络的网络风险,仅仅从技术上保护你公司的账户是不够的,对员工进行信息安全、各种类型的网络钓鱼和其他威胁的专门培训同样重要。
卡巴斯基游戏化评估工具旨在教育员工并协助管理人员衡量他们的网络技能,根据该工具的用户统计数据,2022年,在近4000名员工中,只有11%的人表现出较高的网络安全意识,而28%的人无法证明自己对网络安全足够熟练。
攻击者使用复杂的社会工程方法。即使是Z世代最先进的代表也会屈服于它们。人为因素不可能减少到零,但在专门的训练帮助下,它可以尽可能地最小化。
