Facebook har haft det tufft den senaste tiden: Cambridge Analytica (och andra), desinformationskampanjer, dataintrång – de dåliga nyheterna verkar komma tätt och snabbt. Det är inte förvånande att säkerheten för vår en gång så älskade sociala media har granskats.
Trots att ha fallit i onåd hos allmänheten är Facebook fortfarande den dominerande sociala medieplattformen med över två miljarder aktiva månadsanvändare, och då är Instagram, Messenger och Whatsapp inte medräknade.
Med tanke på att så många människor använder plattformen är det viktigt att ta hänsyn till användarnas, och i förlängningen företagens, säkerhetsproblem och hur hoten kan minskas.
Varför bör företag vara oroliga för Facebook?
Som företagsägare eller IT-proffs tänker du förmodligen att Facebook egentligen inte är något problem för din organisation, du har blockerat det på nätverket, vilken skada kan det göra?
Ja, det finns direkta och indirekta hot.
Oavsett den demografiska sammansättningen av din arbetsstyrka är det troligt att majoriteten av dina anställda kommer att ha ett Facebook-konto. Om jag är cynisk kan detta i sig självt sätta din organisation i fara.
Det är häpnadsväckande hur mycket information människor är villiga att avslöja i ett mycket offentligt forum. Du kan ta reda på människors jobb, nuvarande plats, utbildning, politiska åsikter, intressen, födelsedagar, familj och relationer, listan är lång.
Om inte rätt integritets- och säkerhetsinställningar finns på plats är det mycket lätt för en hackare att göra spaningsarbete, koppla ihop profiler i sociala medier och utforma en nätfiskeattack som är skräddarsydd för den enskilde individen. Det finns exempel på hur en enkel statusuppdatering har lett till att användare har blivit utpressade, hotade under pistolhot och att deras hus har blivit rånade. Ja, detta är civila exempel, men det skulle lätt kunna tillämpas på företagsmiljön.
Företagen måste se till att de anställda inte oavsiktligt ger bort känslig information – något som måste tas med i organisationens bredare policy för säkerhet och sociala medier.
Fake Facebook-profiler
En stor del av den bedrägliga eller ”oäkta aktiviteten” på Facebook kan tillskrivas falska profiler och sidor. De är en olägenhet och ett ständigt problem för plattformen.
Under första kvartalet 2018 tog Facebook bort 583 miljoner falska profiler, det är nästan 6,5 miljoner per dag.
Facebooks nyhetsrum svämmar över av pressartiklar om hur de kämpar mot samordnad inautentisk aktivitet i länder som Brasilien, Iran och Myanmar, en aktivitet som sprider propaganda och politisk oro i dessa länder. Trots framgångar med kampanjer på statlig nivå misslyckas man med att ta itu med de hot som påverkar den bredare användarbasen.
Varje dag ser vi historier på nyheterna om nya nätfiskeattacker på Facebook, där de sårbara är måltavlor och utnyttjas. Bättre övervakning av dåliga aktörer är ett måste och utan detta kommer Facebooks redan skamfilade rykte att fortsätta att skadas.
Facebook är väl medvetet om behovet av att göra mer, men användarna kan inte frigöra sig från sitt ansvar, de måste ha säkra surfvanor och närma sig interaktioner på nätet med en hälsosam portion skepsis. För det första måste användarna veta hur man identifierar en falsk Facebook-profil.
Hur upptäcker man en falsk profil på Facebook?
I grund och botten är de sociala medierna utformade för att skapa nätverk, en del av Facebooks uppdragsbeskrivning är faktiskt ”att föra världen närmare varandra”. Någon gång kommer användarna att stöta på främmande profiler, det är plattformens natur, så det är viktigt att kunna identifiera de egenskaper som falska profiler tenderar att ha:
- Användning av andras foton och information
Användning av andras foton och information är en vanlig taktik för falska Facebookprofiler, tanken är trots allt att verka under ett alias. Foton är vanligtvis den största boven i dramat och tenderar att vara attraktiva huvudbilder, kändisar eller fruktansvärt generiska lagerfotografier. Det finns ett enkelt sätt att ta reda på om bilderna är legitimt knutna till kontot.
Vi snubblade över den här Facebook-profilen på en dejtingsajts Facebook-sida:
Genom att göra en omvänd bildsökning på ett par foton på profilen var det mycket uppenbart att det rörde sig om foton av en modell.
2. Namnet i webbadressen stämmer inte med namnet på Facebook-profilen
När du skapar din Facebook-profil är webbadressen ditt Facebook-ID och ska se ut ungefär så här:
Som med allt annat på Facebook kan du anpassa din webbadress Att ha en webbadress som inte stämmer överens med profilnamnet kan vara ett varningstecken på att det rör sig om ett falskt eller hackat konto. Till exempel är namnet på profilen nedan Sarah Collins, men namnet i webbadressen är Oking Akin.
3. Dubbel profilinformation
Det är sällan man snubblar över en profil som är ”komplett”, Facebook har så många fält att det är svårt att hänga med. Du bör dock akta dig för inkonsekvenser i profilinformationen. Det här är introrutan för en annan Facebook-profil som vi hittade:
Detta särskilda konto arbetar på modellagenturer i Sydafrika, har studerat i Australien och bor i Kalifornien. Hon kan vara en internationell jetsetmodell som söker kärlek på Facebook, men det är osannolikt.
4. Oregelbunden profiltidlinje/historik
Med alla konton finns det troligen luckor i aktivitet och historik, men användarna måste hålla utkik efter inkonsekvenser. En profil som vi hittade gick på universitetet innan den gick på gymnasiet.
- Publicering av innehåll av låg kvalitet
Vid granskning av Facebook-sidor för nätdejtingtjänster visade de falska kontona ett tydligt beteendemönster – offentliga presentationer och tillkännagivanden om att de är ute efter ett förhållande. I sig själva kan kommentarerna verka ganska oskyldiga, men när man gräver i profilerna och jämför med annan aktivitet blir det väldigt tydligt.
Vad är de vanligaste nätfiskebedrägerierna på Facebook?
Romantiska bedrägerier
Romantiska bedrägerier är på intet sätt nya och är inte heller isolerade till Facebook, men Facebook är en plattform som är perfekt för bedragare som utför den här typen av phishing-attacker.
Marknaden för nätdejting har spridit sig under de senaste åren; människor har blivit mycket mer bekväma med konceptet och stigmat tycks ha sjunkit. Online dejtingföretag som Tinder, Match.com och Bumble har dykt upp och skapat egna program och webbplatser för att tillgodose sina användare, och i släptåg har de fått en betydande närvaro i sociala medier.
Mindre ”officiella” grupper och sidor har dykt upp för att tillgodose ett bredare spektrum av dejtingpreferenser.
Naturen av sociala medier och nätdejtingtjänster innebär att det finns en oklarhet mellan de två, båda är till sin natur sociala och bygger på interaktivitet mellan användarna.
Så vi gav oss ut på jakt efter falska konton för att se vad vi kunde avslöja.
Vid genomgång av kommentarerna på Tinders Facebook-sida såg vi tecken på att falska profiler var i arbete. I sammanhanget av sidan kan nedanstående kommentar verka ganska oskyldig, men något verkade lite falskt, så vi grävde i profilen.
Profilen i sig har alla kännetecken på ett falskt konto: begränsad tidslinje för aktivitet och information, dubblering av foton, intressen mycket fokuserade på dejting och lastbilschaufförer och är dessutom baserad i Texas, som har identifierats som en grogrund för romantiska bedrägerier på senare tid.
När man gör en omvänd bildsökning för en av bilderna på kontot kan man se att profilens bild har indexerats med ett Twitter-konto och funktioner på relaterade konton, vilket ökar sannolikheten för att detta är en falsk profil…
Det tog inte lång tid att hitta det här falska kontot, och det var inte heller det enda fallet. Vi tog en titt i kommentarsfältet och snubblade över flera fler:
Match.coms Facebooksida lider av samma problem. En snabb genomgång av kommentarerna på sidan och vi hittade den här profilen:
På ytan kan dessa profiler tyckas ganska harmlösa. de bidrar bara till en ständigt ökande mängd meningslöst prat på plattformen, men de kan bara vara föregångaren till att skapa konton för nätdejtingappar som Tinder, Happn och Bumble, som alla använder Facebook för att hämta information och autentisera användare.
Typiskt sett är romansbedrägerier en form av social ingenjörsattack som syftar till att vinna måltavlornas förtroende och sedan manipulera dem till att lämna över pengar, gåvor eller känslig information. Var försiktig med användare som:
- kommer för starkt, överöser dig med kärlek och tillgivenhet på kort tid
- försöker flytta konversationen till en privat kanal och bort från den ursprungliga domänen
- begär mycket personlig information, men är ovillig att ge bort mycket själv
- är ovillig att träffas öga mot öga, videosamtalar och undviker att delta i konversationer i det verkliga livet
- uppfinner en anledning till att du ska skicka pengar eller gåvor.
Giveaway & Prisbedrägerier
Människor älskar gratis saker, därför är giveaways ett effektivt marknadsföringsverktyg på sociala medier. Föga förvånande är det en taktik som bedragare har anammat för att få tag på personlig information från ivriga tävlingsdeltagare.
Vi sökte ”giveaway” på Facebook och det tog inte lång tid innan vi stötte på vårt första misstänkta inlägg.
Denna giveaway verkar vara lite för bra för att vara sann.
Länken tar användaren till blogspot-sidan: https://new-yingtoying.blogspot.com/, en gratis bloggplattform från Google. .
Om man klickar på både knapparna ”registrera dig gratis” och ”logga in som medlem” kommer användaren till samma sida via en rad omdirigeringar.
Alla bedrägerier är inte lika uppenbara.
Det har funnits bedrägerier som gett bort Primark-kuponger, flygresor med Norwegian Air och Virgin Atlantic, där den sistnämnda använde sig av ordkodsfel för att lura folk.
Var också uppmärksam på annonser. Bara för att det är en annons och har ”granskats” betyder det inte nödvändigtvis att det inte är en bluff.
Oppenbarligen kommer du att frestas om du ser en tävling om en resa med alla omkostnader till Karibien, men var uppmärksam på tävlingar som:
- är för bra för att vara sanna (som den ovan)
- dirigerar användarna till misstänkta URL:er (t.ex.
- som kräver för mycket information eller ”engagemang” (t.ex. tagga 10 vänner och dela på alla dina konton i sociala medier) från dem som deltar
- kräver en deltagaravgift för att få vara med i utlottningen
- främjas av ett konto med många tävlingar utan uppenbara tecken på vinnare
Facebook Phishing Emails
Vi känner alla till phishingmails. Filtreringssystemen har blivit så sofistikerade att vi inte ser huvuddelen av dem, men ibland smiter de igenom.
Fishingmejl hävdar alltid att de kommer från support eller säkerhet när de utger sig för att komma från stora företag och följer liknande sociala metoder – ditt konto har blivit hackat, verifiera ditt lösenord etc etc.
Det här är ett exempel på ett phishingmejl från Facebook som vi har hittat. Det är på intet sätt den mest sofistikerade e-postbedrägerin och inte heller den mest lockande. Avsändaradressen är inte den typiska Facebook-domänen för e-post (@facebookmail), själva e-postmeddelandet är inte riktigt logiskt och det finns egentligen inte så mycket som lockar det potentiella offret. Tror inte att alltför många kommer att bli lurade av just detta e-postmeddelande.
Om du är osäker på om ett e-postmeddelande från Facebook är giltigt kan du alltid kontrollera de e-postmeddelanden som Facebook har skickat till dig. Du kan komma åt detta genom att gå till inställningarna på din Facebook-profil, säkerhet och inloggning och sedan scrolla ner till botten för avancerad säkerhet:
Vad gör Facebook för att skydda användarna?
Det är en utmaning utan motstycke för Facebook, att övervaka två miljarder användare på en plattform som har utformats för att sammanföra människor och som använder en mängd tekniker som ständigt utvecklas – det är inte konstigt att Facebook kämpar med att lösa problemet.
Det försöker dock.
Den sociala mediejätten har över 20 000 anställda som ägnar sig åt säkerhet, men att ha en människa som granskar varje enskilt inlägg, konto och annons på sajten skulle vara orealistiskt enbart på grund av den stora volymen. Det skulle också förändra människors sätt att använda Facebook; om du visste att någon skulle granska allt du gör på plattformen skulle du troligen filtrera ditt beteende.
Facebook har upprättat riktlinjer för integritet och äkthet för att avskräcka bedragare som är verksamma på plattformen, men som med de flesta riktlinjer av det här slaget verkar det vara den tunnaste av avskräckande åtgärder.
Det är därför Facebook vänder sig till artificiell intelligens (AI) för att lösa säkerhetsproblemen.
AI är den trendiga tekniken, till synes botemedlet för alla moderna åkommor, men det är vettigt.
Facebook har haft stor framgång med användningen av Microsofts PhotoDNA-teknik, som ursprungligen infördes för att ta bort barnpornografi från plattformen och vidareutvecklades för att identifiera annat oönskat innehåll.
Samtidigt som Facebook kan blockera miljontals falska konton varje dag, erkänner Facebook att det finns ett behov av att upptäcka bedragare som undgår den inledande granskningen. Maskininlärningstekniker tränas på tidigare inlärda bedrägerier, på samma sätt som MI:RIAM används för att upptäcka mobila hot. Om ett konto misstänks vara oäkta måste det kringgå ett antal tester för att bedöma trovärdigheten.
Hur kan användarna annars vara säkra på Facebook?
Facebook-användare kan inte förlita sig på att plattformen ska upprätthålla korrekt styrning och polisarbete, utan de måste ta ett visst ansvar för sin egen säkerhet. Det finns ett antal säkerhetsfunktioner på Facebook som kan aktiveras och kontrolleras regelbundet för att öka den personliga säkerheten, bland annat integritetshantering, tvåfaktorsautentisering (2fa), inloggningsvarningar och enhetshantering.
Facebook har dessutom byggt in rapporteringsfunktioner i plattformen för att hjälpa användarna att själva övervaka.
Det är också viktigt att hålla koll på de senaste teknikerna som används av bedragare. Det finns sidor och grupper på Facebook, till exempel Facecrooks, som ägnar sig åt att upptäcka och avslöja dessa bedrägerier.