David Lorentzen

Smil! Du er blevet hacket.

Jeg ved ikke, om der overordnet er sket en stigning i tilfælde af hackede Facebook-konti i år, men set fra min stol er vi gået fra ”det er noget, jeg hører om med mellemrum og en sjælden gang får en henvendelse om” til ”det er noget, jeg hører om jævnligt og i perioder har fået ugentlige henvendelser om”…

Jeg bliver lige lamslået hver gang, for det er ikke nødvendigvis den lille, nystartede erhvervsdrivende, som henvender sig. Det er i lige så høj grad den lidt større eller måske ligefrem store virksomhed eller organisation, som pludselig må konstatere, at

  • en medarbejder ikke kan logge ind på sin profil,
  • folk bliver nedgraderet fra admin til ansat i Business Manager,
  • de mister adgang med og kontrol til Facebooksiden
  • der bliver kørt annoncering på deres annoncekonto, som de betaler for, men ikke har noget at gøre med.

– Eller det hele på en gang. Det, jeg bliver lamslået over, er ikke, at det sker, men at folk med social media-ansvar sætter sig selv i den situation.

Fyr IT-medarbejderen!

Forestil dig dette: Du er ansat i en organisation hvor I har en IT-ansvarlig. Vedkommendes opgaver er f.eks. opdatering af servere og computere, indkøb af udstyr, løbende intern support, måske noget vedligehold af hjemmesiden og så videre.

En dag kommer du på arbejde og kan ikke logge på din computer. I er blevet hacket. Det viser sig, at jeres IT-ansvarlige for seks år siden installerede en firewall, men siden har vedkommende ikke rørt den. Den er ikke på noget tidspunkt blevet opdateret og faktisk skulle der vist også have været betalt noget licens.

En Facebook-konto bliver ikke hacket fordi Facebook er nemt at hacke. Den bliver hacket fordi personen bag kontoen ikke tager sikkerhed alvorligt.

Hvad vil du umiddelbart tænke om den IT-ansvarlige? Mon ikke ord som ”amatør”, ”skidespræller”, ”ferskvandspirat” kunne være blandt dem? Og hvis nogen sagde, at man burde tage vedkommendes ansættelse op til overvejelse, ville du så ikke tænke, at det måske ikke ville være en helt urimelig konsekvens hvis vedkommende blev fyret?

Kan man bestride et job som IT-ansvarlig hvis man glemmer eller undlader noget så basalt som at sikre virksomhedens IT-infrastruktur med en opdateret firewall? Når vi nu er i gang med at fyre den IT-ansvarlige, kunne du måske i samme åndedrag lige overveje, om du har set på dit eget glashus for nyligt?

Sociale medier er i dag en vigtige kommunikations- og marketingkanal for mange virksomheder, og sociale medier er i vid udstrækning stadigvæk lig med Facebook.

Hvis du er ejer af virksomheden, må du naturligvis selv om, hvordan du forvalter og beskytter din virksomheds aktiver på Facebook

Men hvis du er ansat og har noget at sige i forhold til eller måske ligefrem ansvar for din arbejdsplads’ aktiver på Facebook, så er du førnævnte IT-medarbejder, hvis du ikke har styr på sikkerheden. Du passer kort og godt ikke dit job.

En Facebook-konto bliver ikke hacket, fordi Facebook er nemt at hacke. Den bliver hacket fordi personen bag kontoen ikke tager sikkerhed alvorligt. Den gode nyhed er: Det er både nemt og enkelt at sikre sig. Herunder har du en liste med hvad både du personligt og hvad virksomheden kan gøre for at minimere sandsynligheden for, at I bliver ramt.

Brug en passwordmanager

Generel IT-sikkerhed og Facebook-sikkerhed er en og samme ting. En passwordmanager er i mine øjne fuldstændigt uomgængelig for en person, der vil tage sig selv seriøst i forhold til sikkerhed.

En passwordmanager genererer og gemmer volapyk-passwords, der er umulige at huske og i praksis umulige at gætte. Du har et masterpassword du logger ind med for at få adgang til dine andre passwords.

Indrømmet: Det virker til at begynde med besværligt, men man vænner sig til det. Eksempler på passwordmanagers er 1password, Keeper, Lastpass, Dashlane m.fl.

Når jeg skriver ”brug en passwordmanager”, skriver jeg dermed også: Drop de nemme, korte kodeord. Men det har IT-folk jo forsøgt at banke ind i hovedet på folk i årtier…

Brug to-faktor login

Facebook tilbyder – lige som utallige andre tjenester – at du kan benytte to-faktor login. Hvis to-faktor login er en mulighed, så benytter du to-faktor login. Du finder ikke på undskyldninger, du brokker dig ikke over, at det er besværligt, du gør det bare. Punktum.

Med to-faktor login er det ikke nok, at en hacker har fået fat i brugernavn og password til din Facebook-profil. Vedkommende skal også have fat i din telefon. Personligt har jeg ydermere sat min telefon op således, at sms’er ikke vises på låseskærmen – fordi koden, der sendes fra Facebook (eller andre services), så også bliver vist.

Når jeg har slået notifikationer på låseskærmen fra, kan hackeren ikke blot nøjes med at stjæle min telefon; vedkommende skal også have den låst op for at kunne læse sms’en med koden.

Hvis du har slået to-faktor login til, så kan du stå i en situation, hvor du ikke har din telefon og kan modtage en sms. Til de tilfælde kan du bruge gendannelseskoder, som du genererer på din Facebookprofil under indstillinger > sikkerhed og login > totrinsgenkendelse.

Denne liste kan du f.eks. gemme som et sikret dokument i din passwordmanager.

Klik aldrig på links i mails eller sms’er, som handler om Facebook og sikkerhed

Nej, din Facebookkontos sikkerhed er ikke kompromitteret. Nej, der er ikke registreret mystisk aktivitet, nej, nej og atter nej.

Uanset hvor officiel, korrekt og sandsynligt det virker, så klik aldrig på links i en mail eller sms, der påstår at komme fra Facebook.

Men, sender Facebook slet ikke den slags? Jo, det gør de. I hvert fald mails. Men selv hvis der er noget galt, så er det første du skal gøre under alle omstændigheder at gå på Facebook, logge ud af alle enheder (https://www.facebook.com/settings?tab=security) og skifte dit password.

Ved ganske enkelt aldrig at klikke på links i denne type mail kan du undgå størstedelen af forsøgene på phishing eller installering af ondsindede scripts.

Indrømmelse: Jeg har indført denne regel efter en sen aften for omkring 6 år siden at have fået en mail, som jeg læste på min mobil. Jeg nåede at tænke: “Vent til i morgen, når du er ved computeren”, men fik alligevel trykket på linket. En kundes kontakt hos Facebook fik stoppet rodet før det kom helt ud af kontrol.

Selv efterfølgende havde jeg svært ved at se, at mailen var falsk, så fra da af indførte jeg reglen, som gør at selv en træt, uopmærksom David ikke kommer i problemer: Ingen klik på links. Nogensinde.

En mail om noget sikkerhedsrelateret vil i øvrigt som oftest have genereret en tilsvarende notifikation til dig på Facebook. Klik på dén notifikation. Det er sikkert.

Brug Business Manager

Facebook Business Manager har utallige fordele i forhold til administration af rettigheder og adgange, og dermed øger det både direkte og indirekte din sikkerhed. Samtidigt har Business Manager nogle features som gør, at du nemmere kan få rettet op på tingene hvis uheldet er ude.

Et helt overordnet råd er derfor: Hvis du har en Facebook og måske også en annoncekonto, så brug Business Manager.

Tag stilling til administrator- og ansat-adgange

Du bør altid have to administratorer i din Business Manager – hvis nu den ene skulle få en tagsten i hovedet. Men overvej, om det egentlig er nødvendigt at have flere end to?

Der er fint med tillid, men jo flere administratorer der er i en Business Manager, jo flere veje ind har en eventuel hacker. Overvej om selv kernemedarbejdere ikke kunne nøjes med en ansat-adgang, for Business Manager er ikke et sted, man til dagligt arbejder (selvom mange fejlagtigt tror det) det er blot kassen som virksomhedens aktiver (sider, annoncekonti m.v.) er organiseret i.

Slå tvungen to-faktor login til i Business Manager

Sørg for at ingen kan få adgang til din Business Manager, hvis ikke de har to-faktor login aktiveret på deres personlige profil. Det gør du under virksomhedsindstillinger > sikkerhedscenter > totrinsgodkendelse.

Personligt mener jeg, at alle bør være underlagt dette krav, men du kan også nøjes med at gøre det til et krav for personer med admin-rettigheder.

Hvis det går galt

Først og fremmest: Hvis du følger ovenstående råd, så kommer du (sandsynligvis) aldrig ud for, at hverken du eller din virksomhed bliver hacket på Facebook.

Men hvis det nu sker alligevel, så er der også en række ting, du kan gøre for at sikre dig, at du hurtigt (eller i hvert fald hurtigere) kan få kontrollen tilbage. Det drejer sig blandt andet om at have dokumentation for at din virksomhed eller organisation rent faktisk er den retmæssige ejer af aktiverne

Udfyld dine virksomhedsoplysninger

Sørg for, at du har udfyldt virksomhedsoplysningerne i Business Manager korrekt og i overensstemmelse med din registrering i CVR. Det gør du under virksomhedsindstillinger > virksomhedsoplysninger.

Hvis du vil gøre krav på en Business Manager, så vil du skulle bevise, at din virksomhed er den reelle ejer og det er nemt hvis Facebook kan se at oplysningerne stemmer overens.

En hacker kan naturligvis altid ændre dem – men det vil Facebooks support så kunne se i historikken.

Få verificeret dit domæne

Verifikation af domæne skal ikke forveksles med Facebook Pixel. Med en verificering af dit domæne gennem Business Manager fortæller du Facebook, at dette domæne tilhører samme organisation som ejer Business Manageren. Igen vil det være noget som styrker dit krav op Business Manageren.

Lav en liste over aktiver, personer og partnere

Igen er vi ovre i kategorien løft af bevisbyrde. Lav en liste over dine aktiver – altså Facebooksider, annoncekonto, pixels, Instagram-konti og så videre. Ud for hver aktiv skriver du det unikke ID, d.v.s din Facebooksides ID, annoncekontos ID, din Business Managers ID.

Skriv også hvilke domæner, som er verificeret gennem Business Manager.

I forhold til personer og partnere, så er en liste med navne tilstrækkeligt. Det vil typisk også være noget Facebooks support spørger til.

Med en sådan liste i hånden, kan du med stor vægt godtgøre overfor Facebook, at du rent faktisk er den rigtige ejer af disse aktiver.

Kedeligt, men nødvendigt

Er du en af dem, som ikke rigtig har styr på tingene i forhold til sikkerheden? Så håber jeg, at denne artikel måske kan være det sidste skub i retning af at få det ordnet.

En del af rådene – som f.eks. to-faktor login er decideret idiotiske ikke at følge. Passwordmanager har jeg som sagt også en helt klar holdning til. Når vi kommer over i at skulle lave lister over aktiver m.v. skal jeg gerne erkende, at det er en lidt usexet opgave.

Men for pokker hvor er det også usexet – kl. 1 om natten – at skulle skrive til en kundes Facebookkontakt: “AAAARGHHH!!! JEG TRYKKEDE PÅ ET LINK!!!!”.

Jeg har været der, jeg har gjort det for dig, så du kan spare dig selv for oplevelsen. Selv tak 🙂

0 replies

Skriv en kommentar

Want to join the discussion?
Feel free to contribute!

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *