Skydda företagets Twitter-konto

Under natten mot måndagen blev Socialdemokraternas Twitter-konto kapat. Kaparna drog nytta av det stulna kommunikationsverktyget för att twittra ut allt från obehagliga påståenden som ”1 like = 1 död muslim” till potentiellt marknadsstörande påståenden om att Stefan Löfven skulle avgå från sin statsministerpost.

Strax efter nio på morgonen försvann kaparnas Twitter-inlägg, vilket tyder på att Socialdemokraterna har återfått kontrollen över sitt konto. Frågan om hur kaparna lyckades få åtkomst kvarstår.

Tips! Med anledning av incidenten ändrar vi i Bli säker-poddens planering. Veckans avsnitt dedikeras till hur du skyddar dina egna och ditt företags sociala medier. Vi tar tacksamt emot frågor från er som jobbar med sociala medier åt större organisationer (anonymt om så önskas).

Att situationer som dessa uppstår är mycket allvarligt. Det handlar inte bara om att kapare har kunnat missbruka ett partis kommunikationsmedier. Kaparna har med högsta sannolikhet även fått tillgång till privata meddelanden som skickats till och från partiet via Twitter-plattformen. Här följer därför tre tips på hur incidenter som dessa förhindras.

Aktivera tvåstegsverifiering

För att hålla ett Twitter-konto säkert är det först och främst viktigt att skydda kontot med ett starkt lösenord som inte används någon annanstans. Utöver detta bör kontot också skyddas med tvåstegsverifiering så att det både krävs rätt lösenord och en tidsbegränsad sexsiffrig kod för att logga in. Twitter stöder tvåstegsverifiering via bland annat SMS-metoden och Google Authenticator-metoden. Den sistnämnda metoden är att föredra (skillnaderna behandlas i Bli säker-boken), men båda metoderna är mycket bättre än ett ensamt lösenord.

Obs! För att aktivera tvåstegsverifiering med Google Authenticator-metoden (av Twitter kallat “Mobil säkerhetsapp”) måste du först aktivera SMS-metoden. Därefter kan du aktivera Google Authenticator-metoden och inaktivera SMS-metoden.

Aktivera tvåstegsverifiering (Twitter.com)

Twitters inställningssida för tvåstegsverifiering.
Aktivera tvåstegsverifiering för att skydda ditt Twitter-konto.

Tips! Som du ser på bilden ovan stöder Twitter även riktig tvåfaktorsautentisering med säkerhetsnyckel, till exempel Yubikey. Detta är ett ännu säkrare autentiseringssätt för konton med extrema säkerhetskrav.

Skydda sociala medie-verktyg

Förtydligande 2019-04-15: Detta stycke syftar på webbaserade verktyg, till exempel Hootsuite, Sprout Social och Agora Pulse (inte lokalt installerade applikationer).

Större organisationer använder ofta ändamålsutvecklade verktyg för att administrera alla sina sociala medie-kanaler. Sådana verktyg måste skyddas på samma sätt som Twitter-kontot i sig, det vill säga med ett starkt, unikt lösenord och med tvåstegsverifiering. Om verktyget inte stöder tvåstegsverifiering bör det inte användas under några som helst omständigheter. Tumregeln är att inget verktyg får ha sämre säkerhet än kontona som det hanterar.

Granska appåtkomst och aktivitet

I Twitters webbgränssnitt kan Twitter-användare se vilka appar som har åtkomst till det aktuella kontot. Det är en god idé att se över denna lista på regelbunden basis och återkalla åtkomsten från appar som inte längre används.

Från samma sida går det även att se vilka enheter som har loggat in på kontot på senare tid. Ifall suspekta inloggningar upptäcks i listan finns det goda anledningar att byta lösenordet. Observera att geopositionens noggrannhet är bristfällig (det kan stå Stockholm i listan trots att inloggningen gjordes från Malmö).

Granska appåtkomst och inloggningar (Twitter.com)

Twitter visar appar med åtkomst till kontot.
Granska vilka appar som har åtkomst till ditt Twitter-konto.

Mänskliga misstag kan ändå ske

Avslutningsvis är det viktigt att komma ihåg att inget skyddar mot mänskliga misstag. Riktigt avancerade nätfiskeattacker kan lura oss att släppa in en bedragare. Det gäller därför att ständigt vara på sin vakt och att vara medveten om hur kaparna arbetar (läs mer i Bli säker-boken).  

Alla som ansvarar för en organisations sociala medier bör också tänka på hur ett mänskligt misstags följdeffekter kan minimeras. Ett tydligt exempel på detta berör alla som hanterar företagets sociala medier från sin privata mobil. Vad händer om den privata mobilen blir stulen? Skyddas den tillräckligt väl eller kan den i orätta händer få ödesdigra konsekvenser för företaget?

Kommentarer

Delta i diskussionen. Logga in med ditt befintliga konto på Nikka Systems Academy eller skapa ett nytt konto helt gratis.

Kommentar