TIP#1787: Bezpečnost na internetu pro novináře: Sociální sítě (6)

Každá sociální síť dnes umí dvoufaktorovou ochranu přihlašování, některé i upozorňují na snahy o přihlášení (a řeknou i odkud). Facebook/Messenger, Instagram, Twitter, WhatsApp, Linkedin, prostě všechno musíte mít nejen se silným heslem, ale také s dvoufaktorovým ověřením (o tom byla už řeč v předchozích dílech seriálu).

Vedle hacknutí e-mailu (přes to se útočník dostane i k hacknutí sociální sítě) jsou právě sociální sítě velmi užitečný nástroj pro útočníky. Lze tam zjistit řadu vazeb (přátele na Facebooku) a objevit mnoho užitečného obsahu o tom, na čem novinář pracuje. V chatu se toho najde bohužel velmi často mnoho, ač by to tam nikdy být nemělo, není to bezpečné místo. Z chatu musíte případné vzniklé kontakty odvádět do bezpečné formy komunikaci a vše důsledně mazat.

Hacknutá sociální síť je vhodná i pro vydávání se za napadeného, útok na jeho přátele/kontakty. Využívá se i hacknutí právě přátel/kontaktů novináře, to pak umožní pokračovat v útoku na samotného novináře. Vedle možnosti novináře kompromitovat zveřejněním nevhodných věcí na jeho účtu a posíláním zpráv jeho jménem.

Obranu trochu vylepšíte tím, že nebudete mít stejný e-mail pro sociální sítě a vaši běžnou poštu. Ideálně pro každou síť jiný e-mail, ale to už je komplikace (vyžaduje to ochranu dalších a dalších e-mailů). Nezapomeňte nastavit cesty jak obnovit účet – různé sociální sítě to mají různě.

Sociální sítě nechrání vaše soukromí, zneužívají vše co tam dáte, šmírují vás po celém Internetu i v mobilních telefonech, tam včetně polohových informací, obsahu vašeho telefonu, kontaktů, používaných aplikací. Pokud tedy chcete mít soukromí tak řešení je jediné – žádné sociální sítě. Pokud je nutně potřebujete, tak to opět chce zcela jiný režim – Tor Browser nebo oddělené profily prohlížečů (Chrome, Firefox) pro každou síť. V mobilních telefonech nepoužívat aplikace ale webové podoby sociálních sítí.

TIP: Linkedin, Facebooku, nikomu nedávejte heslo ke své poštovní schránce je něco co vás snad nikdy nenapadne, dát práva přístupu k vaší poště nějaké aplikaci. Stejně tak nikdy Facebooku nedovolte přístup k SMS (v minulosti toho masivně zneužíval).

Velký pozor na sociální sítě, ke kterým mají přístup další lidé – z vašeho okolí nebo z firem, co je spravují. Tam je nutné vyžadovat aby si i oni chránili účty proti odcizení (dvoufaktor) a na sociálních sítích používat bezpečnější metody, tedy na Facebooku Business Manager, na Twitteru Tweetdeck. Tohle platí hlavně pro účty médií (novin, časopisů, webů) na sociálních sítích. Nezapomínejte ani na odebírání lidí, co už pro médium nepracují.

Jedna z nejčastější cest útoku je přes Linkedin. V Česku sice tak používaný není, ale stále je tu riziko. Linkedin navíc často ukazuje mnoho užitečných informací o vazbách mezi lidmi. Nezapomeňte, že Linkedin je jediná síť, která někomu řekne, že jste se byli podívat na jeho profil. Musíte to umět dělat tak, aby se to zkoumaný subjekt nedozvěděl, návod v  Jak se podívat na něčí profil na Linkedin tak, aby se o tom nedozvěděl? Linkedin se ale nejčastěji používá tak, že se vám do kontaktů dostane útočník a dlouhé měsíce s vámi bude komunikovat, zpracovávat vás, snažit se o získání důvěry.

Stejně tak zásadně rizikoví jsou přátelé na Facebooku – ty rozhodně musíte mít skryté (i před přáteli, tam se také může objevit útočník). Patří sem i ověřování žádostí o přidání (do přátel či kontaktů) zda žádající je skutečně tím kdo tvrdí. Ověřit to pochopitelně nejde jinak než osobním kontaktem (a to není e-mailem, chatem ani jinou podobnou formou). Velmi časté jsou zde okrádání přes hacknuté účty.

TIP: V Jak z Facebooku smazat naimportované kontakty? a Jak z Linkedin smazat importované (synchronizované) kontakty? jsou dva návody co použijte pokud jste již udělali to nešťastné rozhodnutí. A pamatujte, nikdy mobilním aplikacím nedávejte přístup ke kontaktům.

Útok (hack) sociální sítě bude zpravidla také doprovázen snahou, aby to napadení nezjistili. Útočníci často předají práva přístupu nějaké aplikaci/službě, rozhodně vám účet nebudou měnit, zasahovat do něj, budou ho měsíce sledovat aniž  byste to tušili.

Stáhnout obsah vašeho účtu je dnes velmi snadné s pomoci mechanismu přímo nabízeného každou sociální sítí (jak to funguje například na Facebooku se můžete podívat v Stáhněte si data z Facebooku). Je tam jediné riziko, informace o něčem takovém (o vyžádání a o dostupnosti připraveného archivu) přijde na e-mail, útoku tak hrozí prozrazení. Není ale problém stáhnout obsah jinak, stačí se přihlásit a spustit skripty, které postupně projdou všechny příspěvky i všechny přímé zprávy.

TIP: Detaily a souhrny v 

Jak nastavit soukromí na Facebooku
Jak nastavit soukromí na Instagramu?
15 kroků, jak nastavit soukromí na Twitteru
Jak nastavit soukromí ve WhatsApp?

jsou asi nejdůležitější konkrétní místa, kam pokračovat.

Bezpečnost na Internetu pro (nejen) novináře

Hack Hacker Instagram Linkedin Messenger Novinařina Seriál: Bezpečnost pro novináře Soukromí Twitter