Mark Foster var på forretningsreise da han oppdaget at noen hadde fått tilgang til e-post- og sosiale medier-kontoene hans. Foster innså snart at de til og med hadde forsøkt å få tilgang til de jobbrelaterte filene hans.
Som grunnlegger av DashTickets – en underholdnings- og reiseguide og et magasin for New Zealand – og som journalist hadde Mark tilgang til sensitive data. Dette innbruddet kan få store konsekvenser for ham. Angriperne ba ikke om løsepenger. Faktisk tok de ikke engang kontakt med Mark i det hele tatt.
I stedet brukte de kontoen hans til å utgi seg for å være ham. De la ut falske innlegg og falsk informasjon på de sosiale mediene hans og sendte ut meldinger og e-poster som skadet Marks profesjonelle omdømme.
Dessverre er Marks historie bare én i en global bølge av hacking i sosiale medier. For to år siden avslørte NordVPN at to av fem amerikanere oppga at de hadde fått kontoene sine på sosiale medier hacket.
Og siden den gang har det ikke blitt bedre i det hele tatt.
Eksperter snakker med Techopedia om den globale kriminalitetsbølgen, mulige løsninger, tiltak fra myndighetene og hvordan du kan holde deg trygg i 2024.
Nøkkelpunkter
- I den siste påminnelsen om sikkerhetstilstanden på Facebook oppfordret 40 amerikanske delstater og Washington D.C. Meta til å ta tak i den utbredte svindelen på deres sosiale medieplattformer.
- Den nettkriminelle aktiviteten på alle de største sosiale medieselskapene, inkludert Instagram, Facebook, X, LinkedIn, YouTube og andre, har økt.
- Mer enn en milliard kontoer på sosiale medier antas å bli hacket hver måned.
- Den siste IBM-rapporten konkluderer med at verden lever i en “global identitetskrise”.
- Se hele listen
40 amerikanske delstater ber Meta ta tak i svindel og kriminalitet
I begynnelsen av mars 2024 oppfordret 40 amerikanske delstater og Washington D.C. Meta til å finne en løsning på den “dramatiske” økningen av kontoovertakelser på Instagram og Facebook. De amerikanske delstatene, ledet av New Yorks justisminister Letitia James, skrev et brev til Metas sjefsadvokat der de sa at svindlere “vinner krigen og herjer på Meta”.
Nyheten kommer ikke som noen overraskelse for cybersikkerhetsmiljøet, som gjentatte ganger, i rapport etter rapport, har advart om hvor farlige angrep og teknikker på sosiale medier har blitt.
I brevet rapporterte New York om en økning på 1 000% i antall klager om hacking eller svindel på sosiale medier siden 2019, mens delstater som Illinois, North Carolina, Pennsylvania og Vermont rapporterte om en årlig økning på 250% bare det siste året.
Den globale identitetskrisen
IBM 2024 X-Force Threat Intelligence Index konkluderer med at verden opplever en “global identitetskrise“, som bare kommer til å bli mye verre. Ifølge rapporten velger nettkriminelle i stadig større grad å utnytte brukeridentiteter som våpen for å gjennomføre angrep. Rapporten forklarer hvorfor kriminelle aktører foretrekker å ta over kontoer i stedet for å skrive kompleks kode for å hacke og bryte seg inn i systemer.
“Å utnytte gyldige kontoer har blitt den minste motstands vei for nettkriminelle, med milliarder av kompromitterte brukeropplysninger tilgjengelig på det mørke nettet i dag.”
Dr. Andre Slonopas, leder for Cybersecurity Department Chair ved American Public University System og Chief Operations Officer for US Army – der han er med på å koordinere simuleringer og øvelser som skal sikre beredskap og effektiv respons på cyberangrep på kritisk infrastruktur – har snakket med Techopedia om kostnadene ved angrep på sosiale medier.
“Selv om metodene kan variere, vil dette ikke være annerledes enn andre kompromitteringer. Ofrene kan miste personlig informasjon, omdømmet kan bli skadelidende, økonomiske tap kan oppstå og falsk informasjon kan bli sendt ut fra kontoer i sosiale medier.”
“En unik effekt av sosiale medier, med tanke på at så mange mennesker knytter livet sitt til sosiale medier, er den psykologiske effekten av å få sin virtuelle personlighet kompromittert.”
Irina Tsukerman, som er advokat i USAs sikkerhetstjeneste og leder for Scarab Rising, Inc – strategisk rådgivning innen sikkerhet, medier og geopolitisk risiko – har også uttalt seg til Techopedia om konsekvensene av hacking i sosiale medier.
“I gjennomsnitt blir 1,4 milliarder kontoer på sosiale medier hacket hver måned, og dette tallet vil fortsette å stige etter hvert som stadig flere oppretter kontoer på sosiale medier.”
“I 2023 ble 25% av Facebook-kontoene kapret, mens andelen hacking av Instagram-kontoer nådde 85%”, sier Tsukerman. “Dessuten har kapringene blitt mer vellykkede når det gjelder hvor lang tid det tar å frigjøre kontoen, spesielt med Meta.
“I noen tilfeller kan det ta flere måneder å gjenopprette kontoen, særlig hvis brukeren ikke har brukt flerfaktorautentisering. En del av problemet er at kundeservicen på sosiale medier er overbelastet eller utilgjengelig på andre måter.”
Å snakke med veggen: Kundesupport ved sikkerhetshendelser i sosiale medier
Et vanlig klagepunkt blant dem som har blitt hacket i sosiale medier, er kundestøtten. Ken Westin, Field CISO hos Panther Labs, fortalte om sin personlige erfaring med dette problemet.
“Etter å ha hjulpet flere venner og bedrifter som har fått kontoene sine kapret, kan jeg si at Meta ikke har vært til hjelp i det hele tatt.”
“Når en konto blir kapret, gjør Meta svært lite for å hjelpe ofrene, til det punktet at mange bedrifter som hadde sider, ga opp og enten opprettet en ny side eller forlot plattformen helt.”
Westin forklarer at denne mangelen på kundestøtte har fått mange bedrifter til å trekke annonsefinansieringen sin fra nettsteder som Facebook.
“Det faktum at Meta ikke gjør noe, øker kapringsaktivitetene, noe som fører til at tilliten til plattformen svekkes ytterligere”, sier Westin.
“Jeg synes det er utrolig at Meta har gjort så lite for å løse problemet selv, spesielt siden det har en direkte innvirkning på legitim bruk av plattformen og påvirker inntektene.”
Som Westing forklarer, kunne kapringen av disse kontoene i de fleste tilfeller ha blitt redusert ved hjelp av sterke passord, passordadministratorer og tofaktorautentisering.
Kan sosiale-medieselskaper sette en stopper for denne kriminelle trenden?
Med mer enn 5,35 milliarder globale brukere av sosiale medier som genererer data og trafikk på disse plattformene, og som i gjennomsnitt bruker tre timer og 53 minutter på disse nettstedene og appene hver dag, er det ingen tvil om at det ikke er lett å sikre denne enorme strømmen.
Dr. Andre Slonopas har regnet på tallene for å gi oss en idé om hva verden står overfor.
“Omfanget av sosiale medier gjør det umulig å bli kvitt alle ondsinnede brukere. Selv om bare en brøkdel av en prosent av disse brukerne er ondsinnede, er det likevel snakk om millioner, kanskje titalls millioner, av ondsinnede brukere. Det blir ekstremt utfordrende å håndtere et problem av dette omfanget.”
Til tross for det store antallet brukere bør sosiale medieselskaper som Meta, X (tidligere Twitter), YouTube, TikTok og andre ledende selskaper ha ressurser, innovasjon og teknologi til å gjøre disse plattformene til et tryggere sted.
Dr. Slonopas sier at løsningen på denne trusselen er den samme som for alle andre trusler: bevisstgjøring, utdanning, opplæring og innovasjon.
“Jeg mener at dette ikke er noe annerledes enn andre kompromisser; det begynner med opplæring og bevisstgjøring av brukerne. Med tanke på fremveksten av AI og ML innen cybersikkerhet og dataanalyse ser jeg for meg at AI-aktiverte verktøy en dag vil være i stand til å bekjempe millioner av ondsinnede brukere på sosiale medier.”
Erosjon av tilliten til Web2: Er blockchain løsningen på hacking i sosiale medier?
Web3-blokkjedeteknologien har blitt hyllet for sitt potensial til å sikre alle typer transaksjoner og prosesser. Blockchain teknologiens desentraliserte, tungt krypterte og uforanderlige natur brukes eller studeres for å skape cybersikkerhetsløsninger og programmer for å oppdage svindel.
Solo Ceesay, med-grunnlegger av Calaxy, en sosial lommebok der brukerne kan dele krypto, non-fungible tokens (NFT) og annet via blokkjeden, snakket om hvordan den kriminelle trenden og selskapenes passivitet undergraver tilliten.
“Hacking i sosiale medier utfordrer direkte tilliten vi har til immaterielle, sentraliserte plattformer og virksomheter. Uten tillit blir det praktisk talt umulig å gjøre forretninger, noe som i stor grad påvirker den generelle opplevelsen og nytten av sosiale plattformer.”
Ceesay forklarte at Web2-teknologiske strukturer (før blokkjedeteknologien) styres sentralt, og at brukeropplysninger ikke kan verifiseres offentlig på noen måte. Ceesay sa at Web3-teknologier er en utmerket løsning, og forklarte hvorfor.
“En god analogi som beskriver hvordan den nåværende modellen fungerer, er at legitimasjonen lagres i en virtuell garderobemaskin så lenge brukeren er på plattformen.
“Desentralisert identitet er mer som å oppbevare jakken i et skap der brukeren må lage sin egen kode for å oppbevare eiendelene sine.”
Sikkerheten i deres hender
Konseptene og verktøyene for å øke sikkerheten i sosiale medier ligger utvilsomt i hendene på selskapene. Tsukerman forklarer noen av alternativene som ligger på bordet.
“Sosiale medier bør gjøre flerfaktorautentisering til en obligatorisk del av prosessen og innføre regelmessige “innsjekkinger” som kan brukes til å autentisere brukerne.”
Tsukerman legger til at sosiale medier også kan fremme situasjonsbevissthet og sikker praksis blant brukere og ansatte. “En del av standardrutinene for både brukere og selskaper bør omfatte overvåking av kontoer på sosiale medier for å se etter endringer, uautoriserte apper, administratorer og innhold.”
“I tillegg til de interne kontrollene som ikke er perfekte, har sosiale medieselskaper verktøy for å oppdage hacking. De er også klar over (og bør fremme denne bevisstheten) at hackere oftest får tilgang gjennom dårlig vedlikeholdte passord, autoriserte brukere og kompromitterte applikasjoner.”
Og når et angrep skjer, bør sosiale medier ifølge Tsukerman utvikle og automatisere prosesser for direkte og umiddelbar respons på rapporterte hackerangrep eller andre angrep, og eventuelt avbryte dem.
Bør myndigheter gripe inn?
Regjeringer over hele verden er i ferd med å modernisere lovene sine for å møte utfordringene som en global digital verden byr på. Den nylig vedtatte AI-loven i EU er for eksempel et skritt i retning av å regulere kunstig intelligens. Samtidig håndheves EUs lov om digitale markeder aktivt for å bekjempe monopoler og gjøre digitale markeder mer rettferdige.
Men selv om det finnes mange personvernlover og reguleringer for finansielle data, er det langt mindre vanlig med lover om cybersikkerhet som pålegger private selskaper spesifikke tiltak.
“Myndighetene kan definitivt gripe inn, og det er mulig å utforme retningslinjer og lover, men jeg er også litt skeptisk til om retningslinjer alene kan løse dette problemet (hacking i sosiale medier)”, sier Slonopas.
“En annen tilnærming er at myndighetene og bransjen samarbeider om å utvikle verktøy og kanskje dele data for å bekjempe ondsinnet brukeraktivitet. Statlig finansierte tiltak som kan absorbere noe av risikoen ved forskning og utvikling, vil gå mye lenger enn retningslinjer som en ondsinnet bruker ser ut til å ignorere uansett.”
Styring av ressurser og håndheving av standarder
Tsukerman sier at grunnen til at myndighetene ikke griper inn, er at de har begrensede ressurser, og at de bruker dem til å gå etter direkte økonomisk nettkriminalitet som masseutpressing av kryptovaluta eller hacking av banker.
“Hackerangrep på sosiale medier anses som små irritasjonsmomenter, selv om de utføres i stor skala, og vil sannsynligvis bare fange myndighetenes oppmerksomhet hvis det er snakk om svært store økonomiske skader eller hvis hackerne er knyttet til andre kjente sikkerhetstrusler som allerede er gjenstand for aktiv etterforskning.”
Til tross for dette mener Tsukerman at myndighetene kan “legge ansvaret over på de sosiale medieselskapene og holde dem ansvarlige for uaktsom sikkerhetspraksis”, noe som kan resultere i bøter, driftsbegrensninger og selvfølgelig gruppesøksmål fra kompromitterte brukere og annonsører.
“Den mest inngripende og kostbare tilnærmingen fra myndighetenes side kan være å kreve lisensieringsstandarder for å drive datadrevne selskaper og teknologier, og tvinge dem til årlig sertifisering innen cybersikkerhet, noe som også kan spre risikoen ved å tvinge selskapene til å overholde de påkrevde standardene.”
Oppsummert
Som Dr. Slonopas forklarte, er mange av angrepene på sosiale medier gode, gamle brute force-angrep mot passord som så mange resirkulerer, sosial manipulering og andre mindre komplekse angrep.
Vi er enige i Dr. Slonopas’ råd. “Brukere bør bruke unike og sterke passord, ikke klikke på tilfeldige lenker, være skeptiske til alle vedlegg, selv om de kommer fra personer vi stoler på og kjenner, og jevnlig lese seg opp på de nyeste svindeltrendene.”
Men nok en gang, som Tsukerman sier til Techopedia, er det i dag sluttbrukeren som må ta det fulle og hele ansvaret for sin egen sikkerhet og sitt eget personvern, ettersom ingen modell, teknologi eller regulering er en mirakelkur, algoritmene er utenfor vår kontroll og angrepene på sosiale medier skyter i været.