Theo các chuyên gia từ Kaspersky, các mối đe dọa đối với tài khoản mạng xã hội của doanh nghiệp đang ngày một nhiều hơn, bên cạnh đó, kỹ năng sử dụng phương pháp kỹ thuật xã hội của kẻ tấn công cũng tăng lên với tốc độ chóng mặt. Đôi khi, thủ pháp của chúng đã đạt đến trình độ mà ngay cả những quản trị viên nhanh nhạy với công nghệ nhất cũng không phân biệt được thật giả.

Chia sẻ về những nguy cơ này, Anna Larkina - Chuyên gia phân tích nội dung web tại Kaspersky và Roman Dedenok - Chuyên gia phân tích spam tại Kaspersky đã tổng kết những "bí kíp" giúp bảo vệ tài khoản mạng xã hội của doanh nghiệp. 

Cẩn trọng với tin nhắn và thư mục nháp

Các công ty nên cẩn thận khi giữ những thông tin nhạy cảm trong các tin nhắn. Mọi người thường sử dụng tài khoản mạng xã hội của công ty để gửi trực tiếp cho các thương hiệu, yêu cầu trợ giúp, sử dụng sản phẩm hoặc dịch vụ của chủ tài khoản. Ngoài ra, một số quan hệ đối tác, chẳng hạn như quan hệ với các blogger, có thể được thương lượng qua tin nhắn trực tiếp. Đôi khi thông tin cá nhân hoặc thông tin tài chính được chia sẻ trong các cuộc trò chuyện và có thể vẫn còn trong thư mục tin nhắn rất lâu sau khi tương tác. Nếu tội phạm mạng có quyền truy cập trái phép vào tài khoản, dữ liệu nhạy cảm có thể bị rò rỉ hoặc sử dụng để thực hiện tấn công.

Để phòng tránh nguy cơ này, các doanh nghiệp nên tạo thói quen xóa tin nhắn khi cuộc hội thoại kết thúc. Tương tự đối với các bài đăng, nên thường xuyên xem lại những nội dung trong thư mục nháp.

Rà soát bài đăng cũ 

Sức mạnh của danh tiếng đang ngày càng khẳng định tầm quan trọng của nó khi mỗi lời nói, hành động và quyết định đều có thể xây dựng hoặc gây tổn hại đến hình ảnh công ty. Mỗi thông tin được đăng tải trực tuyến xét về khía cạnh bảo mật cũng không kém phần quan trọng: khi thông tin nhạy cảm xuất hiện (hoặc tái xuất) trên phương tiện đại chúng, nó sẽ làm ảnh hưởng rất lớn đến danh tiếng công ty và có thể gây ra thất thoát về tài chính.

Để an toàn, công ty nên dành thời gian đánh giá lại những bài viết đã đăng trên tài khoản mạng xã hội, vì có thể nó sẽ chứa những thông tin nhạy cảm không còn phù hợp với hiện tại, bao gồm những câu chuyện cười cho đến những chiến dịch quảng cáo gây tranh cãi. Những gì bình thường vào hôm qua có thể dẫn đến phản ứng bất thường từ cộng đồng trong hôm nay.

Cẩn thận khi đăng tải những câu chuyện thành công

Sau khi ký một hợp đồng béo bở hoặc đạt được một thỏa thuận, các công ty thường muốn đăng nó lên mạng xã hội để nói với tất cả mọi người về những thành công đó. Nhưng doanh nghiệp thực sự cần nhận thức rằng tội phạm mạng cũng sẽ chú ý đến những thông tin này. Nếu kẻ tấn công biết nhà cung cấp hoặc nhà thầu của bạn là ai, chúng có thể cố gắng thực hiện một cuộc tấn công mạo danh họ hoặc xâm phạm tài khoản của họ và hành động thay mặt họ.

Ngoài ra, nếu công ty đăng tải cấu trúc và cách làm việc của công ty mình trên mạng xã hội càng rõ ràng thì thủ phạm càng dễ dàng tổ chức tấn công. Ví dụ, nếu có thể lần ra ai là người chịu trách nhiệm về tài chính, kẻ tấn công có thể giả làm người giám sát của người này và cố dụ dỗ họ chuyển gấp một số tiền lớn vào tài khoản giả để “chốt giao dịch” hoặc “mua hàng” hoặc “mua thiết bị cần thiết”. Thực hiện các kỹ thuật lừa đảo khác nhau, thủ phạm có thể mạo danh người khác một cách thuyết phục và nạn nhân sẽ khó nhận ra hành vi lừa đảo.

Cảnh báo nhân viên mới về các chia sẻ trên tài khoản mạng xã hội

Sau khi nhận việc, những nhân viên mới thường chia sẻ lên mạng xã hội về nơi làm việc mới của mình. Thế nhưng họ chưa hiểu cách thức xây dựng các quy trình an ninh mạng trong công ty, ví dụ: việc xác minh thông tin hoạt động như thế nào hay họ có thể chia sẻ thông tin nhạy cảm với ai. Do đó, nhân viên mới sẽ dễ bị tấn công mạng hơn.

Hãy hình dung như sau: tội phạm mạng theo dõi nhân viên mới này trên mạng xã hội và thu thập thông tin về họ. Sau đó, chúng thay mặt quản trị viên CNTT của công ty viết cho nhân viên mới một lá thư yêu cầu chia sẻ mật khẩu để thiết lập tài khoản kỹ thuật. Rất có khả năng người mới sẽ chia sẻ mật khẩu vì họ không biết rằng các quản trị viên sẽ không bao giờ viết một bức thư như vậy. Hơn nữa, nhân viên mới thường ngại ngùng và họ có thể ngại hỏi đồng nghiệp xem bức thư đó có xác thực hay không. Một bài đăng nhỏ trên phương tiện truyền thông xã hội có thể biến nhân viên thành điểm xâm nhập của tội phạm mạng.

Để giảm thiểu rủi ro, đào tạo cho người mới một khóa học về bảo mật thông tin ngay lập tức và yêu cầu họ phải hết sức cẩn thận khi đăng tin cập nhật về nghề nghiệp mới của mình trên tài khoản mạng xã hội.

Kiểm soát quyền truy cập tài khoản 

Thông tin đăng nhập, mật khẩu và quyền truy cập vào địa chỉ email được sử dụng để tạo tài khoản mạng xã hội cũng có giá trị như các tài liệu nội bộ khác của công ty. Nếu một nhân viên có quyền truy cập vào tài khoản và dữ liệu xác thực rời khỏi công ty, sẽ rất hữu ích nếu áp dụng các quy tắc tương tự như khi chặn quyền truy cập của họ vào mạng công ty. Để bắt đầu, hãy thay đổi mật khẩu cho tài khoản email được liên kết với mạng xã hội của công ty; sau đó hủy liên kết số điện thoại di động của nhân viên cũ và kiểm tra các phương thức xác thực khác, ví dụ như email dự phòng.

Không được bỏ qua xác thực 2 yếu tố

Xác thực hai yếu tố là cài đặt hoàn toàn cần thiết cho bất kỳ loại tài khoản mạng xã hội nào.

Địa chỉ email được liên kết với tài khoản phải được bảo vệ giống như chính tài khoản mạng xã hội đó. Thông thường, cuộc tấn công bắt đầu với quyền truy cập ban đầu vào email. Sau khi xâm phạm tài khoản, kẻ tấn công có thể định cấu hình bộ lọc trong cài đặt hộp thư để xóa tất cả email hỗ trợ khỏi mạng xã hội. Do đó, người dùng sẽ không thể khôi phục quyền truy cập vào tài khoản của họ vì tất cả các email sẽ tự động bị xóa. Chưa kể, trong tình huống căng thẳng, doanh nghiệp sẽ không kiểm tra bộ lọc nào hiện được định cấu hình trong hộp thư của mình.

Tốt nhất là đăng ký tài khoản truyền thông xã hội bằng địa chỉ email công ty để được bảo vệ tốt hơn (nếu công ty quan tâm đến an ninh mạng). Hơn nữa, các chuyên gia bảo mật nội bộ có thể chặn quyền truy cập vào hộp thư này cùng với tất cả quyền truy cập vào mạng công ty.

Đào tạo nhân viên về chống lừa đảo

Để giảm thiểu rủi ro mạng trên các mạng xã hội, việc bảo vệ tài khoản của công ty bạn về mặt kỹ thuật là chưa đủ, điều quan trọng không kém là tiến hành đào tạo đặc biệt cho nhân viên về bảo mật thông tin, các loại lừa đảo và các mối đe dọa khác. Theo số liệu thống kê của người dùng trên Công cụ đánh giá Kaspersky Gamified, được thiết kế để giáo dục nhân viên và hỗ trợ các nhà quản lý đo lường các kỹ năng mạng của họ, chỉ 11% trong số gần 4.000 nhân viên thể hiện mức độ nhận thức về an ninh mạng cao vào năm 2022, trong khi 28% không thể chứng minh mức độ am hiểu về an ninh mạng.

Yếu tố sai sót do con người không thể giảm xuống bằng 0, nhưng nó sẽ giảm thiểu nhiều nhất có thể với sự trợ giúp của đào tạo chuyên biệt.