Facebook advertentie account misbruik Hoe je voorkomt dat je (advertentie) account misbruikt wordt

Enkele weken geleden hoorden we via via dat opnieuw een bedrijf slachtoffer is geworden van een cyberaanval. Ditmaal werd een Facebook-account overgenomen dat gekoppeld was aan meerdere advertentieaccounts bij Meta. Waarschijnlijk is via social engineering een sessietoken gestolen en misbruikt om toegang te krijgen tot dit account. Met deze toegang zijn malafide advertenties opgezet voor duizenden euro’s. Een schrikwekkend incident en een aanzienlijke schadepost voor het bedrijf en de betrokken klanten.

Als beheerder van dergelijke advertentieaccounts kan dit verhaal zeker beangstigend zijn. Gelukkig zijn er manieren om de kans op een dergelijke gebeurtenis te verkleinen. In dit artikel gaan we dieper in op hoe deze aanvallen plaatsvinden en wat je zelf kunt doen om de kans op een succesvolle aanval te verminderen.

Hoe een cybercrimineel toegang kan krijgen tot je (facebook) account:

In verband met geheimhouding en privacy kunnen we niet in detail treden over de exacte handelingen van deze aanval. Daarom baseren we ons op een verhaal dat door een andere eigenaar van een Facebook-account op Reddit is geplaatst als basis voor dit artikel.

Een cybercrimineel begint met het proberen toegang te krijgen tot een Facebook-account dat is gekoppeld aan advertentieaccounts. Er zijn echter obstakels, zoals een wachtwoord en in sommige gevallen ook tweefactorauthenticatie (2FA).

Wachtwoord

Een cybercrimineel kan op verschillende manieren toegang krijgen tot het wachtwoord van je Facebook-account. Het wachtwoord kan bijvoorbeeld zijn uitgelekt bij een datalek. Dit hoeft niet per se een datalek van Facebook te zijn; als je je wachtwoorden hergebruikt voor andere accounts, maakt dit ze ook kwetsbaar.

Je wachtwoord kan ook geraden worden als je bijvoorbeeld gebruik hebt gemaakt van raadbare elementen zoals je naam, adres of geboortedatum. Als je dus niet gebruik maakt van complexe, lange en unieke wachtwoorden dan maak je het een cybercrimineel wel simpel om toegang te krijgen tot je accounts.

2FA & MFA

Omdat wachtwoorden relatief kwetsbaar zijn, wordt het gebruik van 2FA vaak aangeraden. 2FA fungeert als een tweede factor voor het inloggen op je account en is vaak iets wat je hebt. Het is een extra beveiligingslaag naast je wachtwoord.

Het is belangrijk 2FA niet alleen via SMS in te stellen, omdat deze berichten door cybercriminelen kunnen worden onderschept. Kies bij voorkeur voor 2FA via een aparte app of fysieke sleutel. Lees meer over 2FA in dit artikel: Accountbeveiliging met een extra factor

Session token

Zelfs als je alle bovenstaande adviezen hebt gevolgd, kan je account nog steeds worden overgenomen. Hoe? Na het inloggen moet een website weten of jij toegang hebt tot bepaalde pagina’s. Dit gebeurt met een sessietoken, een reeks cijfers die je toegang geeft voor een bepaalde periode, vaak minder dan 12 uur.

Deze oplossing is handig maar wordt misbruikt door cybercriminelen. Met social engineering technieken zoals phishing proberen ze toegang te krijgen tot je actieve sessietoken, opgeslagen in je browser.

Hoe je je beschermt tegen deze aanvallen

Jij en het betrokken bedrijf kunnen stappen ondernemen om de kans op een succesvolle aanval te verminderen. Banken bijvoorbeeld maken sessietokens kort geldig, waardoor een geslaagde aanval minder waarschijnlijk is. Sommige bedrijven gebruiken extra controles, zoals IP-verificatie. Als bijvoorbeeld je IP-adres plotseling verandert en lijkt te komen uit Duitsland, kan extra verificatie nodig zijn.

Hier volgen enkele algemene adviezen die je zelf kunt toepassen om je accounts te beveiligen. Neem contact met ons op als je advies op maat wilt voor jouw bedrijf.

Wat jij kan doen

• Zorg voor complexe, lange en unieke wachtwoorden en bewaar deze in een wachtwoordmanager zoals Dashlane, Bitwarden of MindYourPass.
• Schakel minimaal 2FA in voor kritieke en gevoelige accounts, zoals je e-mail, accounts met toegang tot klantgegevens of andere gevoelige informatie, en accounts die direct of indirect toegang hebben tot je bankrekening, zoals een advertentieaccount bij Meta.
• Gebruik een 2FA-app of fysieke beveiligingssleutel en vermijd het gebruik van sms.
• Stel in dat je een melding ontvangt wanneer iemand probeert toegang te krijgen tot je account vanuit een onbekende locatie of apparaat. Instructies voor Facebook vind je hier: https://www.facebook.com/help/162968940433354
• Stel een veilige herstelmail in indien mogelijk, zodat je je account kunt herstellen na een aanval.
• Zorg voor goede phishingbeveiliging met behulp van phishingfilters en stel je e-mail veilig in.
• Train jezelf en je personeel om social engineering te detecteren en te melden als er per ongeluk is geklikt of informatie is ingevuld. Een hack gebeurt niet direct; je hebt vaak tijd om dit te voorkomen.
• Maak gebruik van sterke antivirusoplossingen, die mogelijk een kwaadaardig systeem kunnen detecteren als er op een link is geklikt of een schadelijk bestand is geopend.
• Wees alert en reageer tijdig op meldingen van beveiligingsoplossingen zoals je antivirus of e-mails van de beveiligingsafdeling van een bedrijf.

Maken deze adviezen je volledig weerbaar voor een succesvolle aanval? Nee, jammer genoeg niet.. Maar! Als je al deze adviezen volgt dan maak je het cybercriminelen wel veel lastiger. Grote kans dat ze het opgeven voordat er succes is.