ใช้ Facebook ทำธุรกิจอย่างไร ไม่ให้โดนแฮก (สำหรับ Admin เพจ)

22 พฤศจิกายน 2019

NT cyfence
NT cyfenceทีมงาน NT cyfence ที่พร้อมให้คำปรึกษา และ ดูแลความปลอดภัยให้กับทุกองค์กร อย่างครบวงจร ด้วยทีมงานมืออาชีพ

Facebook เป็นอีกหนึ่งช่องทางที่ได้รับความนิยมในการนำมาประชาสัมพันธ์องค์กรมากขึ้น โดยสามารถจัดการผ่านบัญชีของผู้ดูแลเพจ ซึ่งอาจจะเป็นเจ้าขององค์กร หรือ ใครก็ตามที่ถูกมอบหมายในเป็นผู้ควบคุมข้อมูลองค์กร และคอยให้ข้อมูลต่าง ๆ แก่ลูกค้า รวมถึงการกำหนดวงเงินสำหรับการซื้อโฆษณา ฯลฯ หากบัญชีผู้ที่เป็น Admin ถูกแฮก ก็อาจสร้างความเสียหายแก่องค์กร หรือ ธุรกิจได้

ดังนั้น NT cyfence รวบรวมวิธีปกป้องเพจ Facebook สำหรับ Admin เพื่อช่วยให้เพจปลอดภัยจากการถูกแฮกมาฝาก

1. เช็ค URL ให้รอบคอบก่อนคลิกอะไร ไม่ว่าจะที่ไหนก็ตาม

กลลวงแบบ Phishing ถูกพัฒนาให้แนบเนียนขึ้นมาก เพื่อล่อให้เหยื่อกรอกชื่อผู้ใช้และรหัสผ่าน ซึ่งจะต้องพิจารณาให้ดีว่า URL ที่กำลังจะคลิกนั้น เป็น URL ที่ถูกต้องหรือไม่ มีวิธีในการสังเกต ดังนี้

  1. ข้างหน้าของ URL มีสีเขียวหรือเป็น https ไม่ใช่ http ซึ่ง Facebook ของแท้ต้องเป็น Secured Site ที่เข้ารหัสเพื่อความปลอดภัยเท่านั้น
  2. Domain ต้องสะกดอย่างถูกต้อง เช่น www.facebook.com ไม่ใช่ www.faecbook.com 
  3. แยกให้ออกว่ามี Sub-domain แทรกเพื่อหลอกตาอยู่หรือไม่ เช่น www.facebook.com.faecbook.com ไม่มีเครื่องหมาย / หลัง www.facebook.com ซึ่งหมายความว่า Domain หลัก คือ faecbook.com ซึ่งเป็น domain ปลอม เนื่องจากสะกดผิด ถ้าเป็นไปได้ แนะนำให้ใช้ Firefox เนื่องจากเว็บเบราเซอร์ค่ายนี้จะมีการไฮไลท์ Domain หลักให้ผู้ใช้เห็นได้ชัดเจนเพื่อความปลอดภัย

2. อย่าใช้ข้อมูลส่วนตัวจริง ในการกำหนดคำตอบของคำถาม

ในบางคำถามในการกู้คืนบัญชี อาจเป็นคำถามที่เป็นข้อมูลส่วนตัวที่มีคนอื่นรู้อยู่แล้ว เช่น บ้านเกิด เมืองที่อยู่ หรือแม่ชื่ออะไร การที่ตั้งคำตอบเป็นความจริง อาจทำให้คนอื่นสามารถกู้รหัสผ่านของเราได้ ทางหนึ่งที่พอจะแก้ไขปัญหานี้ได้คือการกำหนดคำตอบที่ไม่ตรงกับความเป็นจริง แต่ก็ควรจำได้ด้วย เพื่อป้องกันผู้ประสงค์ร้ายสั่งรีเซตรหัสผ่านเพื่อเข้าสู่ระบบ

3. อย่าใช้รหัสผ่านซ้ำกันหลาย ๆ เว็บไซต์ และควรเปิดใช้ 2FA

การตั้งรหัสผ่านเข้าสู่ Facebook จะต้องไม่ซ้ำกับรหัสผ่านที่ใช้เข้าบัญชีเว็บไซต์อื่น ๆ ซึ่งแฮกเกอร์มีความสามารถในการเจาะเว็บไซต์ที่มีระบบจัดเก็บของผู้ใช้แบบไม่เข้ารหัส และ สามารถอ่านออกได้ (Plain Text) หรือ แฮกเกอร์อาจสร้างหน้าเว็บไซต์ปลอมเพื่อเก็บฐานข้อมูลของเหยื่อ จุดประสงค์เพื่อนำเอารหัสผ่านของเหยื่อที่ใช้ล็อคอินกับบัญชี Facebook หรือ เว็บไซต์อื่น ๆ เพื่อทำสิ่งมิดีที่สร้างความเสียหายแก่เหยื่อ แน่นอนว่า ในปัจจุบันยังคงมีผู้ใช้ Facebook ที่ถูกแฮกบัญชีเพราะใช้รหัสผ่านซ้ำกัน

เพื่อการเสริมความปลอดภัยขึ้นอีกระดับ ควรมีการเปิดใช้งานการยืนยันตนแบบสองปัจจัย (2FA) ในรูปแบบ SMS เข้ามือถือ หรือแบบ Security Key ก็จะช่วยป้องกันอย่างแน่นหนายิ่งขึ้น

4. อย่าใช้คอมพิวเตอร์สาธารณะเข้าบัญชี Facebook ส่วนตัว

พึงระวังภัยจาก Key Logger มัลแวร์ที่แอบบันทึกการกดปุ่มบนคีย์บอร์ด ซึ่มีทั้งที่เป็นซอฟท์แวร์และฮาร์ดแวร์ ถ้าเป็นฮาร์ดแวร์ก็อาจจะสังเกตุได้จากการที่มีอุปกรณ์เชื่อมต่ออยู่พอร์ตใดพอร์ดหนึ่ง ฯลฯ บนคอมพิวเตอร์ ถ้ามีอุปกรณ์เชื่อมต่อแปลก ๆ แนะนำว่าไม่ควรใช้เด็ดขาด

แต่หากจำเป็นต้องใช้งานจริง ๆ และไม่มีฮาร์ดแวร์ดังที่กล่าวมา การใช้เปิดใช้ On Screen Keyboard หรือ แป้นพิมพ์บนหน้าจอ เพื่อใช้เม้าส์คลิกแทนใช้คีย์บอร์ดเพื่อแก้ปัญหาการดักแป้นพิมพ์ โดยสามารถเปิดใช้งานได้โดย

  1. กดปุ่ม Windows พร้อมกับปุ่ม R เพื่อเปิดฟังก์ชั่น Run
  2. พิมพ์คำว่า OSK แล้วกด Enter

5. หลีกเลี่ยงการดาวน์โหลด Browser Extensions ที่ไม่น่าเชื่อถือ

Browser Extensions หรือส่วนขยายของเบราเซอร์ มีไว้ใช้เพื่อความสะดวกในการใช้งานแอปนั้น ๆ ผ่านเบราเซอร์ ซึ่งผู้ใช้บางรายมักดาวน์โหลดมาใช้โดยรู้เท่าไม่ถึงการณ์ ส่วนขยาย ฯ บางตัวกลับแฝงไปด้วยฟีเจอร์ที่สามารถแก้ไขปรับปรุงเพจ Facebook ของเหยื่อได้โดยที่เหยื่อไม่รู้ตัว เช่น เปลี่ยน Status, แอดเข้ากลุ่ม หรือ Like เพจบางเพจ ถึงแม้ภัยในลักษณะนี้ไม่รุนแรงถึงขึ้นสามารถเข้ายึดครองเพจได้ แต่สามารถสร้างความเสียหายต่อภาพลักษณ์ของเพจไม่มากก็น้อย จึงควรหมั่นเช็ค Activity Log ของ Facebook เราอยู่เสมอ

6. อย่าดาวน์โหลดแอปแปลกปลอม

มีแอปปลอมจำนวนมากให้ดาวน์โหลด มักจะที่เลียนแบบแอปทางการของ Facebook หรือมีคุณสมบัติ อวดอ้างฟีเจอร์ที่ไม่มีอยู่จริง หากดาวน์โหลดแล้วอาจถูกแฮกบัญชีได้ ที่สำคัญเมื่อดาวน์โหลดแอปใดๆ แล้ว ก่อน Install ควรแสกนด้วยโปรแกรมป้องกันไวรัสและมัลแวร์ เพื่อป้องกันการถูกโจมตีด้วย มัลแวร์ประเภท Trojan Horse ที่แอบแฮกโดยที่เราไม่รู้ตัว แนะนำให้ผู้ใช้ควรป้องกันดังนี้

  1. ดาวน์โหลดแอปจากผู้ให้บริการที่เชื่อถือได้
  2. อย่า Root หรือ Jailbreak เฟิร์มแวร์ของเครื่อง
  3. สั่ง Log-out บัญชี Facebook ในมือถือหลังใช้งานทันทีเพื่อไม่ให้มีช่องโหว่ที่แอปอื่นที่มีอันตรายเข้าถึง access-token ของ Facebook ได้
  4. เปลี่ยนรหัสผ่าน Facebook บ่อย ๆ

7. อย่าบันทึกชื่อผู้ใช้ / รหัสผ่านไว้ในเบราเซอร์

แฮกเกอร์สามารถแฮกข้อมูลเข้าระบบได้ไม่ยากผ่านเบราว์เซอร์ที่ผู้ใช้บันทึกชื่อผู้ใช้และรหัสผ่าน เช่น การดูรหัสผ่านที่ถูกปิดบังไว้ (****) ผ่าน Source Code ของหน้าเพจ แนะนำให้เปลี่ยนพฤติกรรมเสียใหม่โดยใช้วิธีกรอกชื่อผู้ใช้และรหัสผ่านเองทุกครั้ง หากใช้ Chrome ให้ไปที่ chrome://settings/passwords เพื่อดูชื่อผู้ใช้และรหัสผ่านที่เคยบันทึกไว้ในเบราว์เซอร์ คลิกที่เครื่องหมาย 3 จุด ขวามือ และสั่ง Remove การบันทึกรหัสผ่าน

8. กำหนดบทบาทผู้บริหารเพจให้เหมาะสมกับหน้าที่

หากเป็นองค์กร หรือ ธุรกิจขนาดใหญ่ มักจะมี Admin จำนวนหลาย ๆ คน เพื่อช่วยกันบริหารเพจ (ระดับผู้ดูแลเพจ มีอยู่ 5 ระดับ Admin, Editor, Moderator, Advertiser, และ Analyst) ตั้งแต่ โพสต์เนื้อหา ตอบ comment และ inbox ซื้อโฆษณา ตั้งวิธีชำระค่าโฆษณา ไปจนถึงลบเพจ (delete page) ควรมีการตั้งระดับผู้ดูแลเพจสูงสุด (Admin) 2-3 คน หากเกิดปัญหาอะไรขึ้น จะยังมี Admin อีกบัญชีเพื่อดูแลอยู่ ในส่วนระดับอื่น ๆ ทำตามหน้าที่ได้รับมอบหมายเพื่อให้การทำงานสำเร็จและมีประสิทธิภาพยิ่งขึ้น

ผู้บริหารเพจควรหมั่นอัพเดทสถานะอยู่เป็นประจำ ยกเลิกสถานะ Admin ทันที เมื่อพบว่าอาจมีความเสี่ยงต่อเพจ เช่น ลูกจ้างที่กำลังออกจากงาน หรือ พนักงานเอาท์ซอร์สที่กำลังจะหมดสัญญา

9. เลี่ยงการสร้างบัญชีเฉพาะกิจเพื่อใช้บริหารเพจ

การสร้างบัญชีเฉพาะกิจที่ไม่ได้ผ่านการยืนยันตัวตนกับ Facebook เพียงเพื่อความสะดวก เช่น การสร้างบัญชี ที่ไม่ได้ใส่ข้อมูลส่วนตัวครบถ้วน แล้วให้พนักงานจำนวนมากเวียน log-in เพื่อบริหารเพจโดยเฉพาะ เสี่ยงต่อการถูก Facebook ปิดเพจ หากมีการตรวจพบหรือมีผู้แจ้ง ดังนั้นควรใช้บัญชีที่ผ่านการยืนยันตัวบุคคลแล้วเท่านั้น

10. ตั้งค่าการแจ้งเตือนเกี่ยวกับการเข้าสู่ระบบ Facebook จากที่ที่ไม่รู้จัก

เมื่อป้องกันทุกวิธีแล้ว ก็ไม่ควรประมาท อย่าลืมว่าความพยายามลอบเข้าระบบอาจเกิดขึ้นได้ทุกเมื่อ ให้ไปที่ https://www.facebook.com/settings?tab=security เพื่อตั้งค่าให้ Facebook เตือนเข้ามายังอุปกรณ์ที่เรานำติดตัวไว้เสมอ เมื่อมีการเข้าสู่ระบบจากอุปกรณ์หรือเบราเซอร์แปลกปลอม เราสามารถคลิกยืนยันว่า “This wasn’t me” เพื่อปฎิเสธไม่ให้เข้าระบบและสั่งให้ตั้งรหัสผ่านใหม่ได้

อ้างอิงที่มา:
https://thezerohack.com/hacker-hack-facebook-prevention
https://threatbrief.com/top-10-ways-hackers-use-hack-facebook-accounts/
https://techxerl.net/hack-facebook-accounts/
https://www.facebook.com/help/289207354498410
https://www.joomconnect.com/blog/facebook-101-fake-profiles-and-your-business-page-social-media-101
https://www.facebook.com/help/162968940433354

บทความที่เกี่ยวข้อง