Bezpečnost na sociálních sítích

Říjen 1, 2019

Bezpečnost na sociálních sítích

Bezpečnost týkající se osobních a firemních účtů na sociálních sítích je (ostatně stejně jako u dalších technologií) hrubě podceňovaná, často přesně do chvíle, než nastane menší či větší průšvih. V knize najdete na straně 144–148 základní text o bezpečnosti, který si zde můžete přečíst v rozšířené verzi obohacené o řadu informací a zajímavostí.  

Na konci článku najdete jednoduchý bezpečnostní checklist pro vás i vaše kolegy. 

Tento text koloval v roce 2019 na Facebooku. V minulých letech měl několik podobných verzí. Možná jste na něj narazili u svých přátel. A třeba jste zvažovali, jestli se také nepojistit a pro jistotu ho nezveřejnit. Hlavním problémem bezpečnosti v drtivé většině případů nejsou dané služby a jejich technologické možnosti, ale my lidé. Nečteme podmínky používání a nemáme čas přemýšlet nad tím, co nám která práva a povinnosti uživatelů ukládají, ale někde hluboko v hlavě víme, že na sociálních sítích není bezpečno. Ale myslíme si, že to je problém jejich, ne náš

Jistě, často se stává, že hackeři prolomí bezpečnost určité služby nebo hromadně ukradnou hesla. Někdy dokonce udělá přešlap sama internetová společnost a její zaměstnanci. Je ale mnohem pravděpodobnější, že tu chybu uděláte vy sami.

Týká se to i (a především) vás samotných
Nezapomínejte být obezřetní při běžných aktivitách se svými osobními profily. Obzvlášť s těmi, skrze které spravujete firemní stránky. Na sociálních sítích se pohybuje obrovské množství podvodníků, což je celkem známý fakt. Jejich vynalézavost vás může ale nepříjemně překvapit. 

Pozor na falešné profily 
Častým jevem je zakládání falešných profilů, které vypadají zcela identicky jako profil reálného člověka – někoho z vašich přátel. Takový účet vás požádá o přátelství (požádá všechny, které má v přátelích reálný člověk), vy nad tím v každodenním shonu moc nepřemýšlíte nebo si řeknete, že si asi založil účet nový, a je zaděláno. Takové profily dost často od „svých přátel“ podvodně lákají peníze nebo jim posílají obsah, který může ohrozit jejich telefon, počítač, nebo dokonce i daný profil. 

Nejznámější případy:
SMSky pro mobilní platby (Policie ČR)
Fiktivní stránky e-shopu (Novinky.cz)

Co s tím? Nepřidávejte si do přátel ty, které už tam máte. Jestli vás tímto způsobem někdo osloví, zvedněte ideálně telefon (nebo použijte jiný ověřený komunikační kanál) a zjistěte, jaká je situace. Případně dejte přiteli či známému vědět, že se za něj někdo vydává. Falešné profily nahlašujte daným službám, pokud to umožňují. Když vám přijde od někoho z přátel podezřelá zpráva, například s nějakým nevysvětleným odkazem, opět jiným kanálem ověřte pravost zprávy. 

Pokud nechcete, aby se za vás někdo vydával, schovejte si na Facebooku před veřejností seznam vašich přátel. Tuto možnost najdete v Nastavení – Soukromí – Kdo vidí seznam vašich přátel. Ideálně ji nastavte na Jenom já. Když podvodník nevidí seznam vašich přátel, nemůže je oslovit s falešným profilem. Na LinkedInu je pravděpodobnost této aktivity vcelku malá, i tak ale můžete nastavit, že seznam svých spojení vidíte jen vy. Na Instagramu a Twitteru tomu v tuto chvíli preventivně předcházet nelze, o to víc je důležitější nahlašovat jakýkoliv falešný profil – vaši přátelé a sledovaní to určitě ocení. 

Phishing (aka fišing neboli rybaření)
Rybaření proto, že rybáři se snaží ulovit vaše přihlašovací údaje. Phishing může mít různé podoby. Přijde vám e-mail, který vypadá jako od PayPalu, vaší banky nebo sociální sítě. Může to ale být i soukromá zpráva někde na sítích, nebo dokonce šokující příspěvek od kamaráda. Vy kliknete, vyplníte přihlašovací údaje a bum, má je i útočník. Protože jste je vyplnili na stránce, která vypadá jako originál jen na první pohled.  

Nejznámější případy:
Teroristický útok v Palladiu (Novinky.cz)
Útoky na české banky (ČT24)

Zkuste věnovat pozornost detailům, například zda je správná URL adresa. Když najedete kurzorem na odkaz, většinou se vám rozbalí její náhled. Případně klikněte pravým tlačítkem, dejte kopírovat adresu a zkuste ji vložit například do poznámky nebo jiného textového prostředí. Podvodné URL adresy vypadají buď úplně jinak a na první pohled podezřele, nebo (a to je nebezpečnější) se v nich schovává nějaký nenápadný překlep. Poznáte například rozdíl mezi URL adresou google.cz a googIe.cz? Zadávejte svoje přihlašovací údaje jen na stránkách, které začínají https. Jestli chybí písmenko s, stránka není zabezpečená.  

I když je to e-mail nebo zpráva od kamaráda, jeho e-mail nebo účet mohou být v rukách podvodníka, případně může jít o falešný účet. To samé platí pro výzvy od bank, e-shopů či jiných úřadů. Ideální je vždy neklikat na odkazy v mailu, ale jiným kanálem ověřit jejich pravost. Například pokud po vás naléhavě vyžadují změny v nastavení vašeho účtu z důvodů „bezpečnosti“, otevřete si jejich stránky standardně v prohlížeči a ověřte si, jestli se opravdu něco děje, nebo jde o falešný poplach. 

Máte pocit, že phishing poznáte na první dobrou? Zkuste kvíz technologického inkubátoru Jigsaw (v angličtině): https://phishingquiz.withgoogle.com.

Pravidelně kontrolujte nastavení a možnosti zabezpečení
Kdy naposledy jste si na své nejpoužívanější sociální síti odshora dolu projeli její nastavení a upravili jste si všechno tak, jak máte? Tipneme si, že většina z vás možná tak jednou či dvakrát za celou dobu, co danou službu používáte. Nastavení se často mění, možnosti přibývají. Asi vás překvapí, co všechno můžete ovládat. 

Na Facebooku si můžete například nastavit přátele, kteří vám pomohou dostat se k zablokovanému účtu, zobrazit si veškerou svoji aktivitu, odstranit si kompletní historii vaší polohy, určit, na základě jakých informací na vás může být zacílena reklama, kdo vás může označovat na fotografiích, jak často budete dostávat notifikace (a při jakých příležitostech) nebo v případě potřeby přepnout u všech předchozích příspěvků soukromí na verzi „Přátelé“, aby žádný z nich nezůstal veřejný. Na Instagramu najdete možnosti, jako povolit komentáře pouze od sledovaných, skrýt vybrané (nebo všechny) fotky, na kterých jste označení, vytvořit si užší seznam Blízkých přátel, kterým můžete posílat vybrané Stories. Twitter vás možná potěší tím, že si můžete skrýt nejen tweety od konkrétních účtů, ale dokonce i na základě konkrétních slov – neuvidíte pak tweety, které tato slova obsahují. Na LinkedInu se můžete při prohlížení jiných profilů přepnout do anonymního módu. YouTube vám ukáže celou historii sledování. A můžete ji samozřejmě vymazat. 

Na většině sociálních sítí pak najdete možnosti zobrazit si přihlašovací aktivitu (tedy zkontrolovat, jestli se k vašemu účtu nepřihlašuje někdo jiný) nebo nastavit dvoufaktorové (či dvoufázové) ověřování. O tom si povíme více za chvíli. 

Facebook: https://www.facebook.com/settings
Instagram: https://www.instagram.com/accounts/edit (desktop) nebo menu u profilu ve vaší mobilní aplikaci a následně ozubené kolečko s názvem Nastavení. Podívejte se na obě varianty (počítač i mobil), na obou místech najdete různé možnosti. 
Twitter: https://twitter.com/settings/account
LinkedIn: https://www.linkedin.com/psettings/
Pinterest: https://cz.pinterest.com/settings/
YouTube: https://www.youtube.com/account

Používejte antivirové programy a VPN služby
Význam antivirových programů je široké veřejnosti poměrně známý, ostatně jsou s námi už nějaký ten pátek. Mnozí z vás si možná ještě pamatují časy, kdy jsme museli být obezřetní při spouštění programů a her z disket. S přístupem k internetu se ale mnohonásobně rozšířily možnosti, jak nějakého nepěkného škůdce potkat. A ty šikovnější dokonce dokážou pracovat se sociálními sítěmi, šířit se dál skrze váš profil a rozesílat automaticky generované zprávy přátelům, které v sobě obsahují právě nebezpečný odkaz. Kromě funkčního antiviru je důležitou prevencí i pravidelné aktualizování vašich operačních systémů, prohlížečů, programů a aplikací. Aktualizace totiž často obsahují záplaty na nově odhalené bezpečnostní slabiny. 

Zatímco antivirové služby se starají primárně o bezpečí vašich dat, VPN služby (Virtual Private Network) chrání pro změnu vaše soukromí (a tím pádem vlastně i vaše data). Bohužel jsou v povědomí lidí mnohem méně než antivirové programy. Umožňují zašifrované spojení vašeho počítače nebo mobilního telefonu s internetem. Když brouzdáte po internetu, obzvlášť na veřejných wi-fi, pro hackery není příliš komplikované vaše počínání sledovat, případně doslova sbírat vaše data, třeba přihlašovací údaje do online služeb. Stejně tak mohou do vašeho soukromí nahlížet poskytovatelé internetových služeb. VPN služby tomu umějí zabránit. Nejdříve data na vašem počítači zašifrují, pak je teprve vypustí na internet, kde projdou serverem dané VPN služby, rozšifrují se a v původní podobě dorazí tam, kam mají. Jako kdybyste z domu chodili nepovšimnutí tam a zpátky tajným tunelem. Nebo, chcete-li něco modernějšího, oknem, zatímco rodiče v obývacím pokoji nic netuší a mají pocit, že ve svém pokoji svědomitě studujete. Pokud se chcete na veřejných wi-fi v kavárnách, restauracích, obchodních centrech a kdekoliv na cestách cítit se svým počítačem i mobilem opravdu bezpečně, rozhodně VPN doporučujeme. 

Nejpopulárnější VPN služby jsou například NordVPN nebo ExpressVPN, Eliška na svých zařízeních už několik let používá český Avast SecureLine VPN.  

Používejte silná hesla
Bezpečnostní expert Michal Špaček považuje za silné heslo mimo jiné takové, které není použité nikde jinde. Hesla totiž bohužel našim oblíbeným online službám unikají ve velkém. Na internetu se vyskytují celé databáze ukradených přihlašovacích údajů včetně hesel a stáhnout si je může kdokoliv. A třeba je i vyzkoušet v jiné službě. Vytvářením unikátních hesel pro jednotlivé služby a weby tomu můžete předejít. Zkuste si schválně na stránce www.haveibeenpwned.com zadat e-mail, který používáte pro přihlašování. Dozvíte se, z kolika služeb vaše přihlašovací údaje v minulosti unikly. A to jde jen o úniky, o kterých se ví.  

Silné heslo je zároveň dlouhé heslo. Prolomit „123456“ trvá necelou vteřinu. I tak je ale nejpoužívanějším heslem na světě. A tipnete si druhé nejpoužívanější heslo? Je to „password“. Délka představuje pro kvalitu zabezpečení významnější faktor než komplikovanost v podobě různých znaků, čísel a písmen. Skvělou taktikou může být série několika po sobě jdoucích náhodných slov, jež netvoří smysluplnou větu. Například „petrzelpaprikakoniklechamburgerpetrmraz“, nicméně u celkové délky nad 15 znaků je bezpečné použít i nějakou méně obvyklou, ale smysluplnou větu (i s mezerami). Lze také vzít první dvě tři písmena ze slov pro vás snadno zapamatovatelné věty. Pro Elišku, skalního fandu Hvězdných válek, by to mohlo být třeba „Kdysi dávno v předaleké galaxii se narodil Anakin Skywalker“, což v převodu na heslo vypadá takto: „KdDaVPrGaSeNaAnSk“.

Dvoufázové ověřování
Kdekoliv to je možné, používejte dvoufázové ověřování. Pravděpodobně ho znáte z přihlašování do internetového bankovnictví. Po zadání přihlašovacích údajů po vás služba v druhém kroku vyžaduje zadání kódu, který vám přijde na telefon (= telefon je vaše druhé zařízení, onen druhý faktor). Dvoufaktorové ověřování už zvládá velká část internetových služeb včetně nejvýznamnějších sociálních sítí. Můžete si zvolit i jiné varianty, například ověřování pomocí mobilní aplikace typu Google Authenticator či Authy. 

Dvoufaktorové zabezpečení si aktivujte rovněž na e-mailu, se kterým se do svých sociálních sítí přihlašujete. Pamatujete si, co se stane, pokud od některé služby zapomenete heslo? Instrukce k zadání nového hesla vám přijdou do e-mailu. A když bude mít do e-mailu přístup někdo cizí, získá doslova přístup k celému vašemu online životu. Dvoufaktorové ověřování představuje v dnešní době extrémně důležitou a nezbytnou ochranu. Pokud se staráte o firemní profily, platí to dvojnásob.   

Používejte správce hesel
Radíme vytvářet si silná hesla. Ale ještě důrazněji bychom vám doporučily vytvářet si ke každé službě heslo zcela unikátní. Fajn, ale jak si je zapamatujete? K tomu se vám bude hodit správce hesel. Jedná se o zabezpečený program, do kterého si svá hesla můžete uložit a pamatovat si jen jedno – to, kterým budete správce odemykat. Nejznámějšími pomocníky jsou na tomto poli 1Password a LastPass. Obě služby nabízejí i varianty pro byznys, s jejichž pomocí lze v rámci firmy spravovat jednotlivé přístupy a oprávnění. Což poskytuje skvělou pomůcku právě pro monitorování držitelů přihlašovacích údajů k jednotlivým účtům na vašich sítích. Pokud nějaký zaměstnanec ukončí pracovní poměr, poznáte, kam konkrétně měl přístup, a můžete mu ho odebrat. Jde o lepší řešení, než jaké nabízí pravidelná aktualizace hesel, která ostatní zaměstnance obtěžuje a na bezpečnosti nijak nepřidá. Odborníci příliš nedoporučují správce hesel zabudované v prohlížečích, které nebývají zabezpečené tak dobře, jako programy k tomu přímo určené. Určitě jsou ale lepší variantou, než dodnes velmi populární notýsek v batohu. 

Aplikace na správu hesel často umí pracovat i s dvoufaktorovým ověřováním. Pokud je tedy používáte, nemusíte pro dvoufaktorové ověřování využívat další služby, jako například zmíněný Google Authenticator.

Pečlivě hlídejte, kdo má správcovský přístup 
Pravidelně kontrolujte, komu jsou přidělena jaká administrativní práva. Pokud se zaměstnancem či externistou ukončíte spolupráci, měl by mu být odebrán přístup (případně změněna hesla) ještě předtím, než se dostane do pokušení napsat na váš profil něco nehezkého. Facebook dokonce nabízí více úrovní administrace. Tu nejvyšší (jmenuje se „Správce“) by mělo zastávat minimum lidí. Jeden je málo, tři jsou často moc. Pro vytváření samotného obsahu bohatě vystačí role nazvaná „Editor“. Mít pouze jednoho správce je riskantní proto, že se může s ním nebo s jeho účtem něco stát a už se ke své stránce nikdy nedostanete. U více správců pak vzniká riziko, že se nepohodnou. Každopádně pouze správce může přidat či odebrat dalšího administrátora s libovolnou rolí. 

Varovných příběhů o ukradených, smazaných či odebraných stránkách a jejich zoufalých majitelích existuje bezpočet. Například v roce 2018 proletěla médii zpráva o tom, že odcházející tisková mluvčí Prahy 1 po změně vedení odmítla předat přístupové údaje a následně kompletně smazala facebookový profil městské části. I když byl odkaz na tento profil uvedený na stránkách města, jeho správa nebyla nijak oficiálně ošetřena. Radnici tak nezbylo než založit nový profil a začít na zelené louce. Podobným situacím lze předejít tím, že správu profilů právně konkretizujete: v pracovních smlouvách, v dohodách o spolupráci, předávacích protokolech nebo jiných oficiálních dokumentech.

Spravujte firemní profil se svým reálným osobním účtem
V tomhle případě mluvíme hlavně o Facebooku. Naši klienti mají občas strach spravovat nebo zakládat stránky ze svého skutečného profilu. Ničeho se nebojte. Tak to má správně být. Nic špatného se vám nestane; informace, kdo stránku spravuje, není veřejná (pokud se sami nerozhodnete ji zveřejnit a ke správě se přihlásit). Naopak: je nebezpečné zakládat další soukromý profil za účelem zřízení firemního. Jak už jsme psaly, odporuje to pravidlům Facebooku a jednoho dne byste tak mohli zjistit, že vám ho Facebook zablokoval. Další rozšířenou formou chůze po laně nad hlubokou propastí je dát kolegům nebo zaměstnancům k dispozici přístupové údaje ke svému osobnímu profilu, aby se skrze něj starali o firemní profil. Tohle opravdu nikdy nedělejte. Stačí z nich v nastavení stránky udělat spolusprávce, ideálně v roli Editorů. 

Nespoléhejte se v otázkách bezpečnosti na podporu daných sociálních sítí
I přes všechna opatření se může – jak říkají pojišťováci „nedejbože“ – přihodit, že vám někdo účet ukradne, bývalý zaměstnanec ho smaže, rozzlobený obchodní partner vás odebere ze správců nebo změní hesla. V takových případech raději počítejte s tím, že podpora dané sítě vám často nedokáže pomoci. Pokud ano, budete patřit mezi šťastlivce. Snažte se proto podobným situacím předcházet, dodržovat výše uvedené zásady a pečlivě kontrolovat, kdo má kam přístup.


Zajímavé zdroje týkající se bezpečnosti na internetu:
https://www.budsafeonline.cz
https://csirt.cz
https://www.internetembezpecne.cz
http://hoax.cz/


Bezpečnostní checklist (ideálně zkontrolujte pro každou službu samostatně):

  • Mám heslo, které nepoužívám nikde jinde.
  • Heslo je dostatečně dlouhé.
  • Heslo jsem si uložil/a do správce hesel.
  • Pečlivě jsem si prošel/la nastavení dané služby.
  • Mám zapnuté dvoufázové ověřování (pokud to služba umí).
  • Používám antivirový program.
  • Minimálně na veřejných wi-fi používám VPN.
  • Pravidelně aktualizuji svůj počítač i mobilní zařízení.
  • Vím naprosto přesně, kdo má přístup k firemním profilům. 
  • Mám pečlivě zabezpečené i e-mailové účty, aby všechny zmíněné body nepřišly nazmar jen proto, že někdo získá přístup k mému e-mailu.

Následující položky se sice do odškrtávacího checklistu nehodí, ale berte je prosím jako závazek do budoucna, na který nezapomenete. Zkuste si je dát třeba do svého úkolníku jako pravidelnou připomínku, abyste je měli na paměti co nejdéle. 

  • Pravidelně kontrolujte, kdo má kam přístup.
  • Neklikejte na podezřelé odkazy.
  • Vždy ověřujte, koho si přidáváte mezi přátele.