CyberSec w social mediach: TikTok

TikTok to platforma najchętniej wybierana przez Pokolenie Zet, dlatego jeśli swoje produkty kierujesz właśnie do młodych dorosłych, to ciężko będzie Ci uniknąć obecności w tym medium. W związku z tym, czwarty odcinek serii CyberSec w social mediach przeprowadzi Cię przez zabezpieczenia konta na tym najmłodszym (tak metryką, jak i społecznością) z popularnych mediów społecznościowych.

Chińska aplikacja oparta o krótkie formy wideo bardzo szybko przerodziła się z „pochłaniacza czasu dla młodzieży” w narzędzie marketingowe dla biznesu. Dziś ciężko już sobie wyobrazić kierowanie przekazu do Zetek bez uwzględnienia TikToka w strategii komunikacji. Niestety oznacza to również, że scamy i próby przejęcia kont dotarły też tutaj. Tak jak i we wcześniejszych odcinkach serii (Facebook + Instagram, LinkedIn, X), także w tej niektóre rady dotyczące bezpieczeństwa się powtórzą. Niemniej jednak skupiam się tu przede wszystkim na zasadach bezpieczeństwa, które są specyficzne dla TikToka, w szczególności tego biznesowego.

1. Do założenia konta użyj dedykowanego adresu email

Tak, jak w przypadku pozostałych social mediów, najlepszym rozwiązaniem jest założenie konta z wykorzystaniem adresu (bądź aliasu) mailowego, którego nie użyjesz w żadnym innym miejscu. Dzięki temu oszustom dużo ciężej będzie ustalić tę część Twoich danych logowania, a jeśli adres jednak wycieknie, to będziesz w stanie z całą pewnością stwierdzić skąd wyciekł.

2. Zawsze używaj silnych i unikalnych haseł, a jeśli hasło wycieknie, od razu je zmień

TikTok w wersji biznesowej domyślnie wyposażony jest w narzędzie, które informuje o wyciekach. Jeśli dostaniesz takie powiadomienie, to (po upewnieniu się, że notyfikację wysłał TikTok) zmień swoje hasło najszybciej, jak to możliwe. Co do samego hasła, to oczywiście powinno być niepowtarzalne i spełniać wszystkie pozostałe wymagania, o których pisałam we wcześniejszych tekstach z tej serii (czyli składać się z minimum 12 znaków – wielkich i małych liter, cyfr i znaków specjalnych, nie być tworzone według żadnego wzoru, który może naprowadzić oszusta oraz nie powinno zawierać żadnych danych osobowych, ani firmowych).

3. Włącz dwuetapowe uwierzytelnienie

Opcję 2FA w Business Center TikToka mogą włączyć tylko osoby o statusie administratora (o czym za chwilę), ale warto aktywować ją dla wszystkich pracowników z dostępem do konta. Następnie już sami pracownicy muszą skonfigurować dwuetapowe uwierzytelnienie – jako drugi etap mogą wybrać wiadomość SMS, email lub aplikację uwierzytelniającą (taką jak Google Authenticator). Pierwsze dwie opcje wiążą się niestety z ryzykiem przechwycenia, dlatego najlepiej korzystać z tego ostatniego rozwiązania.

4. Role administratorów przyznawaj tylko osobom zaufanym

Podstawowa zasada przyznawania ról administratora jest taka, że osób z tym poziomem uprawnień powinno być przynajmniej dwie. Jeśli jedna z nich straci dostęp do konta, zawsze pozostaje drugi admin, który wciąż może zarządzać kontem Business Center i przyznawać uprawnienia. Administratorów nie powinno być też zbyt dużo i zawsze powinny to być osoby zaufane i należące do Twojej organizacji. Szeregowym pracownikom najlepiej przyznawać dostęp minimalny, czyli taki, który pozwoli im wykonywać ich obowiązki, ale nic ponadto.

5. Nie przyznawaj ról w TikTok Business Center osobom spoza Twojej firmy

Muszę przyznać, że TikTok mimo obszernej dokumentacji dotyczącej bezpieczeństwa konta, wcale nie ułatwia zrozumienia, w jaki sposób poszczególne elementy platformy biznesowej są ze sobą powiązane. Dlatego koniecznie zwróć uwagę, by uprawnienia do Business Center dostawały jedynie osoby z Twojej organizacji. Jeśli korzystasz z usług np. agencji marketingowej lub influencera, możesz im przypisać role w Ads Managerze, ale pamiętaj, by ograniczyć poziomy ich dostępu wyłącznie do zadań, które faktycznie będą wykonywać.

6. Sporządź listę dozwolonych domen

Aby dodatkowo zagwarantować, że nikt niepowołany nie otrzyma przypadkowo zaproszenia do Twojego Business Center, możesz stworzyć listę dozwolonych domen. W ten sposób tylko użytkownicy adresów email o określonych rozszerzeniach będą mogli uzyskać dostęp do konta, co wykluczy próby przechwycenia profilu na przykład przez tzw. typosquatterów (czyli oszustów, którzy wykupują domeny łudząco podobne do prawdziwego adresu www firmy).

7. Weryfikuj autentyczność komunikacji od przedstawicieli TikToka

Tak, jak w przypadku pozostałych mediów społecznościowych, również na TikToku nie brakuje scamerów, którzy podszywają się pod obsługę platformy. Dlatego zwróć szczególną uwagę na to, z jakiej domeny przychodzi wiadomość od obsługi technicznej lub przedstawiciela handlowego. Lista domen, których używają osoby związane z TikTokiem jest dostępna tutaj.

8. Regularnie sprawdzaj listę autoryzowanych urządzeń

TikTok for Business pozwala na połączenie z kontem autoryzowanych urządzeń, co ma tę zaletę, że po pierwszym zalogowaniu z użyciem 2FA, platforma więcej nie poprosi Cię o dwuskładnikową weryfikację na tym sprzęcie. Dlatego tym bardziej należy regularnie sprawdzać, czy wszystkie urządzenia na liście należą do pracowników firmy i nie dostały się w niepowołane ręce (np. w wyniku kradzieży lub zgubienia).

9. Włącz weryfikację bezpieczeństwa danych

Funkcja weryfikacji bezpieczeństwa danych reklamowych wzmacnia zabezpieczenie danych wrażliwych dostępnych na Twoim koncie biznesowym. Niestety na tę chwilę weryfikacja przebiega z użyciem kodu wysyłanego wiadomością SMS lub email, co nie jest idealnym rozwiązaniem ze względu na możliwość przechwycenia tej komunikacji. Niemniej jednak warto tę funkcję włączyć – jako dodatkową warstwę ochrony danych. TikTok rekomenduje, by włączyć obie metody weryfikacji, a ja ze swojej strony sugeruję, by do weryfikacji mailowej użyć tego samego dedykowanego adresu, który został wykorzystany przy zakładaniu konta.

10. Nie klikaj linków, co do których nie masz pewności, dokąd prowadzą

To oczywiście zasada bardzo uniwersalna i powinna być stosowana w odniesieniu do linków w ogóle, ale w kontekście TikToka, kierowanie użytkowników do stron ze złośliwym oprogramowaniem wydaje się być wyjątkowo powszechne. Mówi się wręcz o „TikTokowym wirusie”, choć oczywiście nie jest to jeden konkretny rodzaj malware’u. Dlatego też ze szczególną ostrożnością podchodź do linków, umieszczanych w viralowych wideo, które obiecują odblokowanie ekskluzywnych filtrów lub prowadzą do nowych wyzwań.

I to już wszystkie rady dotyczące bezpieczeństwa konta na TikToku, którymi chciałam się z Tobą dziś podzielić. Z pewnością nie jest to katalog zamknięty, zwłaszcza, że zarówno sama aplikacja, jak i jej panel biznesowy, stale się rozwijają. Niemniej, powyższe dziesięć zasad będzie z pewnością dobrym punktem wyjścia do zabezpieczenia konta Twojej firmy na TikToku.

Koniecznie podziel się tym artykułem ze swoją społecznością i partnerami, aby tównież i oni mogli podnieść poziom bezpieczeństwa swoich profili. A w następnym odcinku serii opowiem Ci o zabezpieczeniach konta na Pintereście, który przez długie lata był bardzo niedoceniany w kontekście biznesowym.