7 ข้อรู้ไว้ไม่โดนแฮกสำหรับแอดมินเพจ Facebook

เรื่องสยองสองบรรทัดสำหรับเหล่าแอดมินเพจ “มียอดใช้ credit card ซื้อโฆษณาบน Facebook จาก account page ที่เราไม่ได้เป็นเจ้าของด้วยจำนวนหลายแสนบาท!” หรือ สามคำที่น่ากลัวไม่แพ้กัน “เพจ โดน ขโมย”

เรื่องพวกนี้ป้องกันได้หากแอดมินและเจ้าของเพจปกป้องตัวเองด้วยวิธีดังต่อไปนี้

1.จำกัดสิทธิ์ admin

วิธีนี้เรียกว่าเป็นการ “จำกัดวงผู้รับผิดชอบ” Facebook page มีระดับผู้ดูแลเพจอยู่ 5 ระดับ Admin, Editor, Moderator, Advertiser, และ Analyst เรียงตามอำนาจการดูแลเพจ ใหญ่สุดคือ level Admin ที่สามารถทำได้ทุกอย่างตั้งแต่ แต่งตั้ง admin คนอื่น โพสต์เนื้อหา ตอบ comment และ inbox ซื้อโฆษณา ตั้งวิธีชำระค่าโฆษณา ไปจนถึงลบเพจ (delete page) ถ้าเพจเรามีระดับ admin เป็นสิบคน นั่นหมายถึงเราต้องมั่นใจว่าทั้งสิบคนสามารถดูแลปกป้องบัญชีของตัวเองและเพจได้เป็นอย่างดี การจำกัดจำนวนจะทำให้เราสามารถควบคุมจำนวนคนที่ถือกุญแจสำคัญให้มีจำนวนเพียงไม่กี่คน ตามหลักดีที่สุดคือไม่ควรมี Level Admin สูงสุดเกิน 3-4 คนแต่ก็ไม่ควรน้อยกว่า 2 คน เพราะถ้าเกิดอะไรขึ้นกับอีกบัญชีหนึ่ง ยังมี admin อีกบัญชีดูแล ส่วน level ต่างๆก็ให้มีเท่าที่จำเป็นต้องใช้ตามความเป็นจริง ใครมีหน้าที่อะไรให้มอบ role ตามหน้าที่นั้นๆ ไม่ต้องมอบหมายแบบเผื่อๆไว้

(รายละเอียดจะต่างกันนิดหน่อยสำหรับคนที่ใช้ Business Manager แต่ใช้หลักการเดียวกัน)

Facebook admin levels

2. กำจัดคนที่ไม่เกี่ยวข้องแล้วออกจาก admin

ข้อนี้เหมือนจะเป็นเรื่องเบสิคที่น่าจะต้องปฏิบัติกันอยู่แล้ว แต่มีหลายๆเพจเลยที่พลาดตรงนี้ พนักงานลาออกไปแล้วหรือไม่ได้จ้าง agency เดิมดูแลแล้ว แต่ยังมีพวกเขาเหล่านั้นในฐานะแอดมินเพจ เช่นเดียวกับข้อ 1 เราต้องจำกัดวงจำนวนคนที่เกี่ยวข้องที่จะอาจก่อให้เกิดความเสียหายได้ (อย่างไรก็ดี ยังมีเคสที่ agency เดิมเป็น “page owner” ด้วย เรื่องนี้ต้องคุยรายละเอียดของการ transfer ownership ต่อไป)

3. หลีกเลี่ยงการใช้บัญชี admin กลาง

หลายบริษัทใช้บัญชีกลางในการดูแลเพจ บัญชีกลางที่ว่าหมายถึงเป็นการสมัครใช้บัญชีบุคคลเพื่อนำมาเป็น admin ของเพจโดยเฉพาะ แล้วมอบหมายให้คนที่เกี่ยวข้อง login เข้ามาดูแลเพจผ่านบัญชีนี้ การทำแบบนี้มีความเสี่ยงหลักๆอยู่สองเรื่องด้วยกัน

เรื่องแรกคือ Facebook ไม่ต้องการให้มีบัญชีที่ระบุตัวต้นเจ้าของบัญชีอย่างแน่ชัดไม่ได้ เพราะมีหลายๆบัญชีในระบบของ Facebook ที่ผู้ใช้งานตั้งใจสร้างมาเพื่อกิจกรรมสีเทาๆต่างๆ ตั้งแต่ Like Farm หรือกระจาย fake news ไปจนถึงขายของผิดกฎหมาย ดังนั้น Facebook มีระบบที่สุ่มตรวจสอบบัญชีพวกนี้ที่ส่วนใหญ่จะมี pattern ของการใช้งานแตกต่างจากบัญชีบุคคลจริงๆ ซึ่ง pattarn แบบนี้จะคล้ายกับบัญชีกลางของแอดมินเพจ นั่นคือไม่ได้มีการ interact กับเพื่อนหรือเนื้อหาต่างๆอย่างเป็นธรรมชาติ วันดีคืนดีบัญชีกลางดังกล่าวอาจจะโดนแบนแล้วพาลให้เข้าไปดูแลเพจไม่ได้

เรื่องที่สองคือ เมื่อเป็นบัญชีกลางที่ไม่ได้มีเจ้าของบัญชีที่เข้าใช้งานเป็นประจำ หากบัญชีนี้โดนแฮกแล้วโดนขโมย อาจจะกินเวลาเนิ่นนานกว่าที่เจ้าของเพจจะรู้ตัว รวมถึง password และ email ที่ผูกกับบัญชีกลางนี้อาจจะถูกลืมและสูญหายแล้วจะต้องวุ่นวายกับการตามกลับมา

จึงขอแนะนำให้ใช้บัญชีบุคคลที่เจ้าของบัญชีใช้งานเป็นประจำนำมาผูกเป็นแอดมินเพจจะดีที่สุด (สำหรับคนที่ใช้ Business Manager เรื่องการใช้บัญชีกลางน่าจะหมดความสำคัญตามไปด้วย)

4. ตั้ง password ที่เหมาะสมและเปลี่ยนบ่อยๆ

ข้อนี้ทำยากมากๆ แม้แต่ผู้เขียนเองก็ยังทำได้ไม่ดี ตามหลักแล้วเราทุกคนควรเปลี่ยน password บ่อยๆ อย่างน้อยทุกสามเดือน และที่สำคัญต้องพยายามตั้ง password ที่ยากต่อการเดาและเป็นคำที่ไม่อยู่ใน dictionary รวมทั้งควรมีทั้งตัวเล็กตัวใหญ่ตัวเลขและเครื่องหมายพิเศษต่างๆ หากใครยังใช้ password เป็น “name1234” หรือ “password123” อยู่ควรเปลี่ยนโดยด่วนครับ

5. ตรวจสอบว่าผู้ที่ติดต่อมาเป็นตัวแทนจาก Facebook จริงๆ

มีอยู่ช่วงหนึ่งที่ phishing ประเภทนี้ระบาดในหมู่แอดมินเพจ ผู้ไม่หวังดีหรือ hacker แอบอ้างเป็น Facebook แล้วส่ง message หรือโพสต์มาที่เพจ แจ้งว่าเราทำผิดกฎของ Facebook ให้รีบกด link นี้เพื่อติดต่อกลับ มิเช่นนั้นเพจจะถูกปิดภายใน 3 วัน ก่อนจะตอบกลับหรือดำเนินการใดๆ ขอให้มั่นใจก่อนว่าเป็นตัวแทนของ Facebook ติดต่อมาจริงๆทุกครั้ง

6. ตรวจสอบอย่างละเอียดเมื่อถูกขอให้ใส่ username และ password ใหม่

ต่อเนื่องจากข้อ 5 เมื่อผู้ไม่หวังดีส่งมาหลอกลวงว่าติดต่อมาจาก Facebook และส่ง link ให้เรากด เมื่อเปิดเข้าไปหน้าดังกล่าวจะเจอข้อความที่แจ้งให้เรายืนยันตัวตนโดยออกแบบหน้าตาเว็บไซต์ให้เหมือนของ Facebook พร้อมมีช่องให้ใส่ username password หากเราตรวจสอบไม่ถี่ถ้วนแล้วใส่ข้อมูลดังกล่าวส่งไปให้เมื่อไหร่ บัญชีของเราแทบจะถูกแฮกโดยทันที ดังนั้นตรวจสอบ URL ทุกครั้งเวลาที่เราถูกขอให้ใส่ username password ว่าเป็นช่องทางที่ถูกต้องหรือไม่

7. ตรวจสอบ Business Integrations ที่ผูกกับบัญชี

Business Integrations คือพวก Third Party tools/software ต่างๆที่เราอาจจะเคยไปลองสมัครใช้ หรือเคยใช้งานจริงเพื่อเอาไว้ manage Page หรือสำหรับช่วยวิเคราะห์สรุป performance ต่างๆของเพจ แล้วต่อมาเราอาจจะเลิกใช้มันแล้วจนลืมไป ถ้า tool เหล่านั้นเป็นเจ้าที่มีชื่อเสียงน่าเชื่อถือก็ไม่ค่อยมีปัญหา แต่เกิดเราเคยไปลองสมัครใช้เจ้าที่ไม่ค่อยโอเค ปิดตัวไปแล้ว หรือเคยโดน hack ระบบมา ข้อมูลของเราอาจจะไม่ปลอดภัยได้ ดังนั้นคนที่มีบัญชีเป็น admin page ลองทำตามขั้นตอนดังนี้เพื่อตรวจสอบ Business Integrations ที่ผูกกับบัญชีเรา > หากคุณเป็น Admin Page ตรวจสอบ Business Integrations ที่ผูกกับบัญชีด้วย

Bonus: ใส่เบอร์โทรไว้ในบัญชี Facebook ส่วนตัวของเรา

หากเราโดน hack บัญชี Facebook การยืนยันตัวตนกับ Facebook เพื่อนำบัญชีกลับมามีหลายวิธี แต่วิธีที่ดีและเร็วที่สุดคือ การยืนยันผ่านเบอร์มือถือ ที่ทาง Facebook จะส่งรหัสทาง SMS มายืนยันกับเราเพื่อกู้บัญชีกลับ แนะนำให้ใส่เบอร์มือถือไว้ในบัญชี Facebook โดยเราสามารถตั้งค่า privacy setting ได้หากไม่ต้องการแสดงข้อมูลนี้เป็นสาธารณะ

นอกจากนี้ หากใครอยากจะเพิ่มความปลอดภัยให้กับบัญชี Facebook ตัวเองให้สูงขึ้นไปอีก เช่น Two-Factor authentication สามารถเข้าไปจัดการเพิ่ม feature ต่างๆเหล่านี้ได้ที่ https://web.facebook.com/settings (ต้อง login Facebook ไว้ก่อน)

Photo by Liam Tucker on Unsplash

Comments

comments

Back to Top