Mark Zuckerberg sociala nätverk har arbetat hårt för att parera bedragare, men de håller på att komma med hopp om att lura en del av dess 1,5 miljarder användare
Gör skumma cyberbrottslingar har mönster på dina Facebook-uppgifter?
Foto: Fabrizio Bensch/Tt-Reuters
@stuartdredge
Måndag 21 Mars 2016 07.00 GMT
Senast ändrad måndagen den 21 Mars 2016 07.08 GMT
Nej, du kan inte vinna biljetter till Radio 1: s Stora Helg festival genom att gilla en Facebook-sida. Det är inte sant att det är gratis business-klass flygningar som ges bort av Qantas Luft. Och nej, TV-show Totalt Wipeout är inte att föra en tur till din lokala stad. Men alla tre är de senaste exemplen på övertygande bedrägerier på Facebook där bedragare utger sig för att vara betrodda varumärken har retat upp sidor i jakten på likes, kommentarer, aktier och mer från ovetande användare.
Dessa bedrägerier är ett tecken på hur Facebook är en magnet för cyberbrottslingar som ser nästan 1,6 miljarder månatliga aktiva användare som 1,6 miljarder frestande mål. Facebook-bedrägerier är de vanligaste online-attack metod, enligt 2016 upplagan av teknik företaget Ciscos Årliga Security Report, med 33,681,000 exempel som identifierats av företagets forskare – strax före JavaScript för angrepp i dess skadlig kod diagram.
De ses som en kostnadseffektiv metod för att kompromissa med många användare med relativ lätthet, enligt Cisco: s chef för it-säkerhet i STORBRITANNIEN, Irland och Afrika, Terry Greer-Kung. Facebook-bedrägerier ta ett antal former, från falska newshistorier att misstänka frågesporter till sidor som phish för användarnas personliga uppgifter.
En av de vanligaste knepen är att locka användare med clickbait rubriker som verkar för att länka till intressanta eller udda nyheter, men i själva verket leda till farliga vatten. Gavin Hammare, av sociala medier, programvara företaget Sendible, säger: “problemet är att de är legitima webbplatser som betalar för att annonsera, men senare ändrar innehåll. Det är genom att klicka med alla löften och ingen leverans.” Virus, maskar, trojanska hästar, ransomware, spionprogram och annan skadlig programvara som är installerad på detta sätt.
Dmitri M, it-analytiker på BestVPN, säger att ändringar initiallyinnocuous innehåll kan fånga Facebook-användare omedvetet. “En allt mer populära sken cyberbrottslingar börjar ta med det vardagliga. Ett potentiellt hot källa kommer att lägga upp en rolig meme -, video-eller söt pet-bild, typ högst troligt att det kommer att gå viral”, säger han. “Sedan, när post (eller på sidan med flera inlägg), har fått ett stort antal uppdrag, innehåll vänder till något mer ondskefull, eller helt enkelt blir dolda bakom en uppgift som användaren måste fylla för att visa innehållet.”
Jovi Umawing, en malware intelligens analytiker på Malwarebytes, säger bedragare dra nytta av verkliga händelser med falska nyheter länkar. “Vi har märkt av en växande trend där bedragare är inte bara att stjäla inloggningsuppgifter, men att be för offrets information om betalning, för”, tillägger hon.
Vara quizzical om frågesporter
Falska nyheter historier är inte den enda att sätta användarna är i riskzonen. De tester och undersökningar som dina släktingar glädje i att fylla i och dela? Vissa säkerhetsexperter tror att de är mycket farliga, för. AVG: s högre säkerhet evangelist Tony Anscombe säger social-engineering attacker domineras av undersökningar som lovar gratis saker, men faktiskt skörd personligt identifierbar information om användaren, med avsikt att använda detta för skadligt eller bedrägligt skäl.
Richard Patterson, direktör Comparitech.com, säger folk ofta omedvetet ge sitt samtycke till att deras data för att få godkänt på. “Konsumenterna lätt klicka på ‘acceptera’ om villkor och bestämmelser för Facebook apps och frågesporter, ofta utan en andra tanke, säger han.
Till skillnad från … mer än 18 miljoner människor registrerat sig för sina uppgifter för att säljas vidare till tredje part när du använder en Facebook-quiz 2015. Foto: Piotr Malczyk / Alamy Lager Phot/Alamy Stock Photo
Hans publicerade ett blogginlägg 2015 om en Facebook-quiz kallas Mest använda Ord, som skrivit mer än 18 miljoner människor de villkor som gav tillstånd till att deras uppgifter att säljas vidare till tredje part, samt ger appen tillgång till deras namn, profilbild, ålder, kön, födelsedag, vän-lista, hela historien om Facebook-inlägg genom att uppgifter om deras IP-adress och enhet.
“Det bör noteras att företaget bakom appen, Vonvon, har sedan förklarat att det inte gör kommersiell användning av eller sälja någon personlig data och har ändrat sina villkor efter denna berättelse, säger Patterson. “Det är dock inte alla företag kommer att vara etiska.”
Comparitech nyligen kartlagt 1,000 Brittiska användare av internet, och fann att endast 7% uppgav att de gärna skulle ge upp sin personliga information för att kunna använda Facebook apps som frågesporter om de visste att data skulle vara att gå till tredje part. “Denna siffra är i stark kontrast till de miljontals människor som kommit överens om att villkoren för de Mest använda Ord Facebook quiz och pekar på ett behov av utbildning av Facebook-användare att vara mer privatliv medvetna, säger Patterson.
Utöver Facebook
För alla bedrägerier att fånga människor på Facebook, det sociala nätverket har en hel del framgång i att stoppa många fler. Som har tvingat bedragare att röra sig utanför området för att försöka locka användare. Mike Lee, chef för sociala medier lösningar på bevakningsföretag Proofpoint, säger att det har varit en nedgång i den typ av bedrägerier som försöker få folk att klicka på länkar för att skadlig kod direkt från Facebook.
“Som ett resultat, dessa hot är på väg att ersättas av mer komplexa text-endast system som försöker lura folk till att köpa falska produkter eller direkt volontärarbete personlig information (bank-referenser, hälso-och sjukvård, identitet, etc.) utan att förlita sig på länkar, säger han. Han nämner som exempel ett gemensamt system som uppmuntrar folk att engagera sig i ett privat mail eller telefonsamtal, och sedan betala en avgift för att gå med i en “att Göra stora pengar arbeta hemifrån” – systemet.
“En av de saker som gör sociala medier attraktiv för dåliga aktörer är dess effektivitet på att leverera skadligt innehåll. En enda kommentar på en populär Facebook-sida kan ses av 10.000 anhängare,” säger Lee. “Det är mycket svårare för en gärningsman att skicka ut 10.000 bluff e-post att undvika spam filter.” Han varnar också för en trend för falska konton som låtsas att utge sig för att vara pålitliga varumärken att skapa profiler för att uppträda som varumärke och sedan leverera bluff beten. “Till exempel, en falska märkesvaror kundtjänst konto kan direkt fans till en falsk webbplats för att återställa sitt lösenord som en del av en systemuppgradering. Att falska webbplats är, naturligtvis, som ägs av den dåliga skådespelare som är att stjäla inloggningsuppgifter, säger han.
Flytta bedrägerier
Eftersom Facebook har utvecklats och skaffat fler tjänster, bedrägerier har utvecklats också. Facebook-användare är också riktas på Facebook Messenger, WhatsApp och Instagram. “Tillägg av interaktiva, en-till-en kommunikation har öppnat Facebook-användare att mer social engineering attacker. Dessa attacker är inte nya, men de följer populationen av användare från plattform till plattform, säger Tim Erlin, chef för säkerhet och product management på Tripwire.
Bedragare är inte bara att stjäla inloggningsuppgifter men också be för offrets uppgifter om betalning. Foto: Alamy Stock Photo
“Bedrägerier på WhatsApp Messenger, och Instagram är inte så annorlunda från dem på Facebook eller på Twitter. Viktminskning, “öka din efterföljare räkna” och “se vem som har sett din profil’ bedrägerier är vanliga i hela styrelsen”, säger Umawing. Hon varnar för att WhatsApp och Instagram är mål för bedragare som vill övertyga användare att ladda ner PUPs – Potentiellt Oönskade Program – som till exempel kan be för en mobil nummer och sedan använda den för att kontakta betalnummer och ta betalt av användare, som inte vet förrän fakturan kommer.
Den personliga integriteten
Även om du inte är direkt riktade, vissa experter säger att Facebook-användare bör också vara uppmärksam på hur mycket information de vill dela på sociala nätverk. “Om en användares Facebook-konto är låst så att bara vänner och familj kan se bilder och uppdateringar det är relativt säkert, men inställningarna måste kontrolleras regelbundet, eftersom de är föremål för förändring utan att mycket om det,” säger Tripwire ‘ s senior director of security R&D, Lamar Bailey, som nämner exempel på en kriminell kontakta dina vänner eller familj när du är ute i landet, som låtsas vara du och ber om pengar på grund av lite semester katastrof.
“Många användare skulle vilja hävda att de bara dela innehållet med vänner, men, som vi såg med Ashley Madison brott, ett stort antal Facebook-profiler som är falska och som inrättats för att samla information,” säger James Maude, högre säkerhet ingenjör på Avecto. “Många har hundratals “vänner” att de inte ens vet att de lämnar sig sårbar för angrepp.”
Bedrägerier är på tillbakagång – men vi är inte ut ur skogen
Men det är inte bara dåliga nyheter. Vissa säkerhets företag som anger att det, generellt, Facebook scams kan vara sjunkande. “Under 2015 AVG upptäcks färre bedrifter som initierades från Facebook-sidor, säger AVG: s högre säkerhet evangelist Tony Anscombe. Under tiden, typ av Facebook attacker förändras. “Facebook-bedrägerier är också används för att få tillgång till organisationer – det är där de stora pengarna finns och dessa riktade “vattna hål attacker” som verkar vara på uppgång, säger James Maude, högre säkerhet ingenjör på Avecto.
“Även om de anställda är ofta medvetna om farorna med att klicka på länkar och öppna dokument som anländer via e-post, de är mindre försiktiga med länkar på sociala medier. Detta gör att affärsmän och-kvinnor på Facebook ett viktigt mål.”
“Facebook gör ett bra jobb med att bygga upp trygghet i att plattformen i hela styrelsen. I synnerhet de gör ett mycket bra jobb med baseline åtgärder som blockerar svordomar eller länkar till kända skadliga program,” säger Mike Lee, chef för sociala medier lösningar på bevakningsföretag Proofpoint. “För mer komplexa hot som falska service bedrägerier och falska konton, de inför en tuff utmaning i att balansera behovet av säkerhet med behovet av att tillhandahålla en öppen plattform, som uppmuntrar kommunikation mellan olika målgrupper och risken toleranser.”
Lee noterar att bedragare taktik förändras ständigt, vilket innebär att om Facebook försöker att automatiskt blockera något som kan vara en bluff, kommer det till slut blockerar legitima innehåll och irriterande användare.
Så är det mindre att vara orolig nu? Inte nödvändigtvis. Anscombe varnar för att en minskande attacker genom Facebook finns ingen anledning att slå sig för bröstet. “Tillfälle för cyberbrottslingar att lansera attacker via Facebook är nedsatt, cyber brottslingar kommer att leta efter alternativa sätt för att göra attacker och för att tjäna pengar, säger han. “Konsumenterna bör förbli vaksamma och inte nöja sig med hot.”
“De flesta av de webbplatser som erbjuder råd om hur man inte ska falla offer för en bluff”, säger Guy Bunker, senior vice vd på säkerhetsföretaget Clearswift. “Men det är fortfarande en grundläggande brist på kunskap i befolkningen om vad bedrägerier ser ut och hur man undviker dem.”
Patterson slår en optimistisk men försiktig not. “Förhoppningsvis, 2016 kommer att vara den säkraste året, men för Facebook-användare, men att ansvaret inte ligger helt och hållet med företaget – användare kommer att ha att börja ta mer kontroll över sin egen integritet och säkerhet”, säger han.
Maude vänder sig till råd som är äldre än sociala medier i sig för en allmän tumregel. “Det bästa råd är något som dina föräldrar förmodligen lärt dig: om det verkar för bra för att vara sant är det förmodligen.”