Mark Zuckerberg sociale netværk har arbejdet hårdt for at afværge svindlere, men de bliver ved med at komme med håbet om at fuppe nogle af sine 1.5 mia brugere
Gør dunkelt cyberkriminelle har designs på din Facebook data?
Foto: Fabrizio Bensch/Reuters
@stuartdredge
Mandag, 21 Marts 2016 07.00 GMT
Senest ændret mandag, 21 Marts 2016 07.08 GMT
Nej, du kan ikke vinde billetter til Radio 1’s Store Weekend festival ved at lide en Facebook side. Det er ikke sandt, at der er gratis adgang til business-class flyvninger, der bliver givet væk af Qantas Luft. Og nej, TV-show Samlede Wipeout ikke bringer en tur til din lokale by. Men alle tre er de seneste eksempler på overbevisende svindelnumre på Facebook, hvor svindlere udgiver sig for at være troværdige brands har hånet sider i jagten på likes, kommentarer, shares og mere fra intetanende brugere.
Disse svindelnumre er et tegn på, hvordan Facebook er en magnet for it-kriminelle, der ser sin næsten 1,6 milliarder månedlige aktive brugere, som 1,6 milliarder fristende mål. Facebook scams er de mest almindelige online-angreb metode, i henhold til 2016 udgave af teknologi virksomhed Ciscos Årlige sikkerhedsrapport, med 33,681,000 eksempler, der er identificeret gennem selskabets forskere – lige foran JavaScript-angreb er i sin malware diagram.
De er set som en cost-effektiv metode til at gå på kompromis med mange brugere med relativ lethed, i henhold til Cisco ‘ s direktør for cybersecurity i det forenede KONGERIGE, Irland og Afrika, Terry Greer-King. Facebook scams tage en række former, lige fra falske nyhedshistorier til at formode, quizzer til sider, der fisker efter brugernes personlige oplysninger.
En af de mest almindelige tricks er at friste brugere med clickbait overskrifter, der synes at linke til interessante og finurlige historier, men i virkeligheden fører til farlige farvande. Gavin Hammer, af social-media software firma Sendible, siger: “problemet er, at de er legitime hjemmesider, der er til at betale for at annoncere, men er efterfølgende at ændre indhold. Det er klik-igennem med alle de lover, og ingen levering.” Virus, orme, trojanske heste, ransomware, spyware og anden malware, der er installeret på denne måde.
Dmitri M, cybersecurity analytiker hos BestVPN, siger, at ændringer initiallyinnocuous indhold kan fange Facebook-brugere på sengen. “En stadig mere populær skikkelse cyberkriminelle tage starter med det helt jordnære. En potentiel trussel kilde vil skrive et sjovt fænomen, video, eller søde kæledyr billede, den type, der er meget sandsynlige til at gå viral,” siger han. “Så, når post (eller en side med flere indlæg), har modtaget et stort antal engagementer, indholdet skifter til noget mere forbryderiske, eller simpelthen bliver skjult bag en opgave, brugeren skal nu færdig for at se indholdet.”
Jovi Umawing, en malware intelligence analytiker hos Malwarebytes, siger svindlere drage fordel af virkelige begivenheder i verden med falske nyheder links. “Vi har bemærket en stigende tendens, hvor svindlere er ikke kun stjæle loginoplysninger, men beder for offeret’ s oplysninger om betaling, for,” tilføjer hun.
Være undrende om, quizzer
Falske nyhedshistorier er ikke den eneste ting at sætte brugerne er i fare. Disse quizzer og undersøgelser, at din slægtninge glæde i at udfylde og deling? Nogle sikkerhedseksperter mener, at de er meget farlige, også. AVG ‘ s senior security evangelist Tony Anscombe, siger social-engineering-angreb er domineret af undersøgelser, der lover gratis ting, men faktisk høst personligt identificerbare oplysninger om brugeren med den hensigt at gøre brug af denne for skadelig eller svigagtig årsager.
Richard Patterson, direktør for Comparitech.com siger folk ofte ubevidst give tilladelse til at deres oplysninger gives videre. “Forbrugerne let klik på ‘acceptere’ vilkår og betingelser for Facebook apps, og quizzer, ofte uden en anden tanke,” siger han.
I modsætning til … mere end 18m mennesker tilmeldt til deres data til at blive solgt til tredjeparter, når du bruger en Facebook quiz i 2015. Foto: Piotr Malczyk / Alamy Lager Phot/Alamy Stock Foto
Hans selskab offentliggjorde et blog-indlæg i 2015 om en Facebook quiz kaldet Mest Brugte Ord, der er tilmeldt mere end 18 millioner mennesker vilkår og betingelser, der gav tilladelse til, at deres data til at blive solgt til tredjemand, samt giver app ‘ en adgang til deres navn, profilbillede, alder, køn, fødselsdag, friend list, hele historien om Facebook-indlæg igennem til oplysninger om deres IP-adresse og enhed.
“Det skal bemærkes, at firmaet bag denne app, Vonvon, har siden udtalt, at det ikke gøre kommercielt brug af eller sælge personlige data og har ændret sine vilkår og betingelser efter denne historie,” siger Patterson. “Det er dog ikke alle virksomheder, der vil være etiske.”
Comparitech for nylig undersøgte 1.000 Britiske internet-brugere, og fandt, at kun 7% sagde, at de var villige til at opgive deres personlige oplysninger for at bruge Facebook apps som quizzer, hvis de vidste, at data ville være at gå til tredjemand. “Dette tal står i skarp kontrast til de millioner, der blev enige om at de vilkår og betingelser af de Mest Anvendte Ord Facebook quiz og peger på et behov for uddannelse af Facebook-brugere til at være mere privatliv bevidst,” siger Patterson.
Ud Over Facebook
For alle de svindelnumre, der fanger folk ud på Facebook, det sociale netværk har en masse af succes med at stoppe mange flere. Der har tvunget svindlere til at flytte fra stedet for at prøve at friste brugere. Mike Lee, direktør for sociale medier løsninger på vagtselskab Proofpoint, siger, at der har været et fald i den slags svindel, der forsøger at få folk til at klikke på links til malware direkte fra Facebook.
“Som et resultat, disse trusler er ved at blive erstattet af mere komplekse tekst-kun de ordninger, som forsøger at narre folk til at købe falske varer eller direkte frivilligt personlige oplysninger (banking legitimationsoplysninger, sundhed, identitet, osv.) uden at være afhængige af links,” siger han. Han nævner som eksempel en fælles ordning, der tilskynder folk til at engagere sig i en privat e-mail eller telefon samtale, og derefter betale et gebyr for at deltage i en “Gøre store penge arbejder fra hjemmet” – ordning.
“En af de ting, der gør sociale medier attraktivt for dårlig aktører, er dens effektivitet i leverer skadeligt indhold. En enkelt kommentar på en populær Facebook-side, kan blive set af 10.000 tilhængere,” siger Lee. “Det er meget mere vanskeligt for en gerningsmand at sende 10.000 fidus e-mails at undgå spam filtre.” Han advarer også om en tendens til, at bedrageriske konti, der udgiver sig for at efterligne betroede mærker, at oprette profiler, der udgive sig for at mærke og derefter levere fidus lokker. “For eksempel, falske mærkevarer kundepleje-konto, kan direkte fans til en falsk hjemmeside til at nulstille deres adgangskode, som en del af en opgradering af systemet. Det falske websted er, selvfølgelig, der ejes af den dårlige skuespiller, der er at stjæle loginoplysninger,” siger han.
Skiftende svindel
Som Facebook har udviklet sig og fået flere og flere tjenester, svindel har udviklet sig for. Facebook-brugere er også ved at blive rettet på Facebook Messenger, WhatsApp og Instagram. “Tilføjelse af interaktive, én-til-én kommunikation har åbnet Facebook-brugere til mere social engineering-angreb. Disse angreb er ikke nye, men de må følge den population af brugere fra platform til platform,” siger Tim Erlin, direktør for sikkerhed og product management i Snubletråd.
Svindlere er ikke kun at stjæle login-oplysninger, men også at bede for offeret ‘ s oplysninger om betaling. Foto: Alamy Stock Foto
“Svindel på WhatsApp Messenger, og Instagram er ikke så forskellige fra dem, på Facebook eller på Twitter. Vægttab, ‘øge din følgesvend tæller’, og ‘se, der har set din profil” – svindel er fælles på tværs af bestyrelsen,” siger Umawing. Hun advarer om, at en WhatsApp og Instagram er mål for de svindlere, der ønsker at overtale brugerne til at hente Unger – Potentielt Uønskede Programmer – som for eksempel kan anmode om et mobil nummer så bruge det til at kontakte premium-numre og opkræve betaling fra brugere, der ikke ved, indtil deres regningen kommer.
Privatlivets fred
Selv hvis du ikke er direkte målrettet, nogle eksperter siger, at Facebook-brugere bør også være opmærksom på, hvor meget de oplysninger du deler på det sociale netværk. “Hvis en brugers Facebook-konto er låst, så kun venner og familie kan se billeder og opdateringer det er relativt sikkert, men de indstillinger, skal kontrolleres med jævne mellemrum, fordi de er underlagt ændringer uden meget varsel,” siger Tripwire er ledende direktør af sikkerhed, R&D, Lamar Bailey, der nævner eksempel på en kriminel kontakte dine venner eller familie mens du er ude af landet, der udgiver sig for at være dig, og beder om penge på grund af nogle ferie katastrofe.
“Mange brugere, der vil hævde, at de kun at dele dette indhold med venner, men, som vi så det med Ashley Madison brud, en stor antallet af Facebook profiler er falske og sat op til at høste oplysninger,” siger James Maude, senior security engineer hos Avecto. “Mange har hundredvis af ‘venner’, de ikke engang kender, og så de forlader sig selv sårbar over for angreb.”
Svindel er faldende – men vi er ikke ude af skoven
Men det er ikke alle dårlige nyheder. Nogle virksomheder oplyser, at den samlede, Facebook svindel kan være faldende. “I løbet af 2015 AVG registreret færre bedrifter, der iværksættes fra Facebook sider,” siger AVG ‘ s senior security evangelist Tony Anscombe. I mellemtiden, arten af Facebook-angreb er i forandring. “Facebook er svindel er også bruges til at få adgang til organisationer – dette er, hvor de store penge er, og disse målrettet vanding-hole-angreb, synes at være stigende,” siger James Maude, senior security engineer hos Avecto.
“Selvom medarbejderne er ofte opmærksomme på farerne ved at klikke på links, og åbning af dokumenter, der ankommer via e-mail, de er mindre på vagt over for links på sociale medier. Dette gør forretningsmænd og-kvinder på Facebook et oplagt mål.”
“Facebook gør et godt stykke arbejde med at opbygge sikkerhed i at den platform, der over hele linjen. I særdeleshed, de gør et godt stykke arbejde med baseline foranstaltninger, som blokerer bandeord eller links til kendt malware,” siger Mike Lee, direktør for sociale medier løsninger på vagtselskab Proofpoint. “For mere komplekse trusler, som falske service-svindel og falske konti, de står over for en hård udfordring i at balancere behovet for sikkerhed, behovet for at skabe en åben platform, der fremmer kommunikation mellem forskellige målgrupper og risikotolerance.”
Lee bemærker, at scammer taktik ændrer sig hele tiden, hvilket betyder, at hvis Facebook forsøger til automatisk at blokere for noget, der kan være en fidus, det vil ende med at blokere lovlige indhold og irriterende brugere.
Så er der mindre at være bekymret for, om nu? Ikke nødvendigvis. Anscombe advarer om, at faldende angreb gennem Facebook er ingen grund til selvtilfredshed. “Muligheden for cyberkriminelle til at iværksætte angreb gennem Facebook er reduceret, cyber kriminelle vil kigge efter alternative måder til at iværksætte angreb og for at tjene penge,” siger han. “Forbrugerne bør være på vagt og ikke hvile på laurbærrene om truslen.”
“De fleste af de websteder tilbyder rådgivning om, hvordan man ikke at blive offer for et fupnummer,” siger Guy Bunker, senior vice president i vagtselskab Clearswift. “Men der er stadig en grundlæggende mangel på viden i den brede befolkning, hvad svindel ser ud, og hvordan man undgår dem.”
Patterson slår en optimistisk, men forsigtig bemærk. “Forhåbentlig, 2016 vil være den sikreste år endnu for Facebook-brugere, men der påhviler ikke ligger helt og holdent hos virksomheden – brugere bliver nødt til at begynde at tage mere kontrol over deres eget privatliv og sikkerhed,” siger han.
Maude vender sig til rådgivning, der er ældre end sociale medier i sig selv for en generel tommelfingerregel. “Det bedste råd, er noget, som dine forældre sandsynligvis har lært dig: hvis det ser for godt til at være sandt, det sandsynligvis er.”