Il Business Manager di Facebook è un tool utilizzato per gestire account pubblicitari, pagine Facebook, accesso alle API e account sui servizi Facebook.
Questo perché, oltre alla funzione di social network, Facebook offre diversi servizi business riservati alle aziende, quali servizi di advertising per la creazione di campagne pubblicitarie, la creazione e gestione delle pagine aziendali che permettono l’interazione con clienti, svariati servizi a supporto degli sviluppatori di app che, tramite API, possono utilizzare strumenti di analisi delle abitudini e delle interazioni con le app dei propri utenti e, tra le altre cose, anche il login con Facebook.
Come in ogni altro sistema informatico, a ogni utente che ha accesso al Business Manager di Facebook viene assegnato un ruolo.
Il ruolo più importante nel Business Manager è ricoperto dall’amministratore. L’amministratore ha la facoltà di assegnare i ruoli agli altri utenti del business manager, creare nuove risorse e soprattutto modificarne o cederne la proprietà nel rispetto dei termini e condizioni e linee guida della piattaforma.
Ovviamente i servizi di Facebook sono a pagamento. Pertanto chi ha il ruolo di impostare una campagna pubblicitaria per l’azienda, stabilisce il budget giornaliero. Una volta che la campagna sarà attiva, questo budget verrà consumato e fatturato all’azienda titolare del Business Manager.
Accesso abusivo, i danni all’azienda
Come visto, controllando il Business Manager di un’azienda si può disporre del pieno accesso a tutte le risorse, in maniera assoluta con il ruolo di amministratore.
Questa possibilità attira da sempre l’attenzione di criminali informatici.
Uno dei motivi di attacco più frequente è quello di sfruttare le risorse economiche di altre aziende per attivare campagne pubblicitarie.
Spesso vengono messe in piedi campagne pubblicitarie con budget altissimi. Parliamo di migliaia di euro al giorno che promuovono attività fraudolente.
In questi casi, l’azienda, ignara di tutto, si trova a finanziare queste azioni con i propri capitali. La scoperta delle attività fraudolente avviene in molti casi alla ricezione della fattura. Quando ormai i criminali hanno già provveduto a cancellare ogni traccia del passaggio.
In altri casi, i criminali non si limitano all’attivazione di campagne, ma scelgono l’azienda target con il preciso obiettivo di rubare la proprietà di alcune risorse come pagine Facebook o App.
Questo provoca incalcolabili danni. Poiché, per riottenerne la proprietà, i tempi sono imprevedibili e possono passare addirittura mesi prima di riprendere la gestione delle risorse.
Nel frattempo, i criminali agiscono indisturbati proprio perché, in qualità di amministratori, possono disporre a piacimento delle risorse media. Promuovendo propri prodotti e/o riassegnandole ad altri scopi.
Nel caso delle app, oltre che sfruttare appieno i servizi di Facebook a nome di altri, possono arrecare seri danni. Per esempio, disattivando i servizi attivi in quel momento, come il login con Facebook. O rivendendo i dati raccolti per le app. E sappiamo bene l’importanza dei dati nei tempi in cui viviamo.
Come avviene l’attacco e come difendersi
Il sistema informatico, se parliamo di una multinazionale come Facebook, è senza dubbio ben controllato e protetto.
Per questo motivo l’opzione più semplice è agire con le tecniche di “ingegneria sociale”.
Presa di mira un’azienda, gli hacker studiano l’intera struttura: i titolari, i dipendenti e i collaboratori, per attaccare i profili Facebook.
Le tecniche adoperate da questi hacker ricadono sotto il nome di phishing. E, come per le credenziali bancarie, allarmano l’utente circa l’esistenza di pericoli per il proprio account Facebook. Invitando poi a inserire credenziali di accesso in pagine da loro realizzate appositamente con il preciso scopo di ingannare e infiltrarsi.
Sono tecniche ormai note e conosciute da molti. Tuttavia, continuano a essere efficaci poiché i criminali hanno a disposizione milioni di indirizzi e‑mail su cui tentare la fortuna.
Infatti, anche riuscire a “bucare” un solo profilo su milioni può ripagare ampiamente tutti gli sforzi.
Per proteggersi da questi attacchi è bene tenere a mente che Facebook, così come le banche e altri big del settore tecnologico, non chiederà mai l’inserimento delle credenziali via e‑mail.
Il primo check che occorre effettuare per verificare la genuinità dell’e‑mail è guardare gli indirizzi da cui proviene.
Poi, occorre altresì verificare il dominio, in quanto esso deve necessariamente appartenere a quello principale dell’azienda in questione.
Un’arma fondamentale di cui possiamo avvalerci, oltre al buon senso, è l’autenticazione a due fattori.
Anche nota come 2FA, affida l’accesso a un sistema informatico a 2 o più fattori preposti a certificare la nostra identità. Attivato questo sistema di sicurezza, oltre alle credenziali di accesso, e‑mail e password, che rappresentano il primo fattore di autenticazione, viene richiesto anche un passaggio ulteriore. Come l’inserimento di un codice inviato tramite un numero di telefono precedentemente autenticato. O la convalida tramite l’app installata su un altro dispositivo in nostro possesso.
Responsabilità del dipendente/collaboratore
Compresi i rischi più diffusi, partiamo subito dal presupposto che l’autenticazione a due fattori è una funzione di sicurezza facoltativa. Facoltativa, ma estremamente consigliata per proteggere il proprio Business.
Se mai dovesse succedere qualcosa, perché il profilo non aveva attivato questa funzione, la responsabilità ricade sul titolare. Che solitamente è l’amministratore dell’account.
Questo perché è il titolare che deve attivare dal principio l’autenticazione a due fattori. Essendo egli il primo amministratore dal quale partiranno le altre nomine.
Infatti, “una volta attivata l’autenticazione a due fattori per Business Manager, anche gli utenti interessati dovranno attivare l’autenticazione a due fattori per il loro account Facebook per accedere a Business Manager”.
Pertanto, con l’attivazione da parte del primo amministratore, solitamente il titolare aziendale, delle misure di sicurezza, un’eventuale negligenza, in cui può incorrere il dipendente o collaboratore, può essere evitato a monte.
In questo caso, oltre ad aver posto tutto il necessario nell’interesse dei propri affari, il titolare potrà anche assicurarsi, una volta per tutte, che i ruoli assegnati sono gestiti da account con il medesimo livello di sicurezza.
Tale accortezza può altresì abbattere il rischio di essere messi nella spiacevole condizione di dover svolgere indagini sul tipo e livello di diligenza assunto dal proprio dipendente o, nel caso di rapporto con freelance, scongiurare il recesso del contratto.
Diversamente, se l’account amministratore è di un collaboratore esterno, potrebbe configurarsi una responsabilità per inadempimento contrattuale nel caso di precaria sicurezza dei profili Facebook. Con conseguente possibilità per il titolare dell’azienda di avanzare una richiesta di risarcimento dei danni patiti a seguito dell’attacco hacker.
Occorre precisare che in questi casi dipende molto dalle condizioni contrattuali stipulate dalle parti in seno al rapporto di collaborazione.
Conclusioni
Indipendentemente dal genere di attacco, la cosa migliore da fare e rivolgersi subito alla Polizia Postale.
In casi come il furto di proprietà a una pagina, ad esempio, la riassegnazione da parte di Facebook potrebbe essere abbastanza veloce. Sempre nel caso in cui si sottragga immediatamente e volontariamente ogni responsabilità dell’accaduto alla piattaforma.
Per altri casi di attacco a un Business Manager di Facebook, i tempi possono essere, per svariati motivi, un po’ lunghi.
Speriamo comunque che questo articolo ti sia stato di aiuto. Ci auguriamo che una cosa del genere non succeda mai a nessuno. Per questo consigliamo di prevenire il più possibile.
Per altri consigli per gestire al meglio le proprie attività, entra in Investhero, dove potrai conoscere e confrontarti con arti imprenditori e investitori.
0 commenti