Mark Foster var p? aff?rsresa n?r han fick reda p? att n?gon hade kommit ?t hans e-post och konton p? sociala medier. Foster ins?g snart att de ?ven hade f?rs?kt komma ?t hans arbetsrelaterade filer.
Som grundare av DashTickets – en guide och tidning om underh?llning och resor i Nya Zeeland, och som journalist, hade Mark tillg?ng till k?nsliga uppgifter i sina konton. Detta intr?ng skulle kunna f? stora konsekvenser f?r honom. Angriparen/angriparna beg?rde ingen l?sensumma. Faktum ?r att de inte ens kontaktade Mark ?ver huvud taget.
Ist?llet anv?nde de hans konto f?r att utge sig f?r att vara honom. De publicerade falska inl?gg och falsk information p? hans sociala medier och skickade ut meddelanden och e-postmeddelanden, vilket allvarligt skadade Marks professionella rykte.
Tyv?rr ?r Marks historia bara en i en global v?g av hackningar av sociala medier. F?r tv? ?r sedan avsl?jade NordVPN att tv? av fem amerikaner uppgav att de hade f?tt sina konton p? sociala medier hackade.
D?refter har situationen inte f?rb?ttrats alls.
Experter talar med Techopedia om den globala brottsv?gen, m?jliga l?sningar, statliga ingripanden och hur man h?ller sig s?ker 2024.
- I den senaste p?minnelsen om s?kerhetsl?get p? Facebook uppmanade 40 amerikanska delstater och Washington D.C. Meta att ta itu med det utbredda bedr?geriet p? sina sociala medieplattformar.
- Cyberbrottslig aktivitet p? alla ledande sociala medief?retag, inklusive Instagram, Facebook, X, LinkedIn, YouTube och andra, har ?kat.
- Mer ?n en miljard konton p? sociala medier tros bli hackade varje m?nad.
- I den senaste IBM-rapporten konstateras att v?rlden lever i en “global identitetskris”.
- Visa fullst?ndig lista
40 stater uppmanar Meta att bek?mpa bedr?gerier och brottslighet
I b?rjan av mars 2024 uppmanade fyrtio amerikanska stater och Washington, D.C. Meta att s?tta en l?sning p? den “dramatiska” ?kningen av konto?vertaganden p? Instagram och Facebook. De amerikanska staterna, ledda av New York Attorney General Letitia James, skrev ett brev till Metas chefsadvokat d?r de sa att bedragare “vinner kriget och l?per oh?mmat p? Meta.”
Nyheten kommer inte som n?gon ?verraskning f?r cybers?kerhetssamh?llet som upprepade g?nger har varnat, rapport efter rapport, om hur farliga attacker och tekniker f?r sociala medier har blivit.
I brevet rapporterade New York en ?kning med 1 000% av hacking av sociala medier eller bedr?gerirelaterade klagom?l sedan 2019, medan stater som Illinois, North Carolina, Pennsylvania och Vermont rapporterade en ?rlig ?kning med 250% bara under det senaste ?ret.
Den globala identitetskrisen
I IBM 2024 X-Force Threat Intelligence Index dras slutsatsen att v?rlden upplever en “global identitetskris“, som bara kommer att bli mycket v?rre. Enligt rapporten v?ljer cyberbrottslingar i allt h?gre grad att utnyttja anv?ndaridentiteter som vapen f?r att genomf?ra attacker. Rapporten f?rklarar varf?r kriminella akt?rer f?redrar att ta ?ver konton ist?llet f?r att skriva komplex kod f?r att hacka och bryta sig in i system.
“Att utnyttja aktiva konton har blivit den v?g som ger minst motst?nd f?r cyberbrottslingar, med miljarder komprometterade autentiseringsuppgifter som idag ?r tillg?ngliga p? Dark Web.”
Andre Slonopas, Cybersecurity Department Chair vid American Public University System och Chief Operations Officer f?r US Army – d?r han hj?lper till att samordna simuleringar och ?vningar som syftar till att s?kerst?lla beredskap och effektiva insatser vid cyberattacker mot kritisk infrastruktur – talade med Techopedia om kostnaderna f?r attacker mot sociala medier.
“?ven om metoderna kan variera, skulle detta inte vara annorlunda ?n andra kompromisser. Offren kan f?rlora personlig information, ryktet kan skadas, ekonomiska f?rluster kan uppst? och falsk information kan skickas ut fr?n konton p? sociala medier.”
“En unik effekt av sociala medier, med tanke p? att s? m?nga m?nniskor knyter sina liv till sociala medier, ?r den psykologiska effekten av att f? sin virtuella personlighet komprometterad.”
Irina Tsukerman, amerikansk jurist med inriktning p? nationell s?kerhet och VD f?r Scarab Rising, Inc – strategisk r?dgivning inom s?kerhet, media och geopolitiska risker, talade ocks? med Techopedia om konsekvenserna av hackning av sociala medier.
“I genomsnitt hackas 1,4 miljarder konton p? sociala medier varje m?nad, och den siffran kommer att forts?tta stiga i takt med att allt fler m?nniskor skapar konton p? sociala medier.”
“?r 2023 kapades 25% av Facebook-kontona, medan hackningsprocenten f?r Instagram-konton n?dde 85%”, s?ger Tsukerman. “Dessutom har kapningar blivit mer framg?ngsrika n?r det g?ller hur l?ng tid det tar att frig?ra kontot, s?rskilt med Meta.
“I vissa fall kan det ta m?nader att ?terst?lla kontot, s?rskilt om anv?ndaren inte anv?nde multifaktorautentisering. En del av problemet ?r att kundtj?nsterna f?r sociala medier ?r ?verbelastade eller p? annat s?tt om?jliga att n?.”
Ett vanligt klagom?l bland dem som har f?tt sina sociala medier hackade ?r kundsupport. Ken Westin, Field CISO p? Panther Labs, ber?ttade om sin personliga erfarenhet av detta problem.
“Efter att ha hj?lpt flera v?nner och f?retag som har f?tt sina konton kapade kan jag s?ga att Meta inte har varit till hj?lp alls.”
“N?r ett konto kapas g?r Meta v?ldigt lite f?r att st?dja offren, till den grad att m?nga f?retag som hade sidor gav upp och antingen skapade en ny sida eller ?vergav plattformen helt och h?llet.”
Westin f?rklarar att denna brist p? kundsupport har f?tt m?nga f?retag att dra tillbaka sin annonsfinansiering fr?n webbplatser som Facebook.
“Det faktum att Meta inte agerar ?kar kapningsaktiviteterna, vilket leder till ytterligare erosion av f?rtroendet f?r plattformen”, s?ger Westin.
“Jag ?r f?rv?nad ?ver att Meta har gjort s? lite f?r att l?sa problemet sj?lva, s?rskilt eftersom det har en direkt inverkan p? legitim anv?ndning av plattformen och p?verkar int?kterna.”
Westing f?rklarar att kapningen av dessa konton i de flesta fall kunde ha f?rhindrats genom att anv?nda starka l?senord, l?senordshanterare och tv?faktorsautentisering.
Med mer ?n 5,35 miljarder globala anv?ndare av sociala medier som genererar data och trafik p? dessa plattformar och som i genomsnitt tillbringar tre timmar och 53 minuter p? dessa webbplatser och appar varje dag, kan det inte ifr?gas?ttas att det inte ?r en l?tt uppgift att s?kra detta massiva fl?de.
Dr. Andre Slonopas har r?knat p? siffrorna f?r att ge oss en uppfattning om vad det ?r v?rlden st?r inf?r.
“Omfattningen av sociala medier g?r det om?jligt att bli av med alla skadliga anv?ndare. Till exempel loggar 2 miljarder anv?ndare in p? Facebook varje dag; ?ven om bara en br?kdel av en procent av dessa anv?ndare ?r skadliga, inneb?r det fortfarande att antalet skadliga anv?ndare uppg?r till miljoner och kanske tiotals miljoner. Att ta itu med ett problem av den h?r omfattningen blir extremt utmanande.”
Trots det stora antalet anv?ndare b?r sociala medief?retag som Meta, X (tidigare Twitter), YouTube, TikTok och andra ledande f?retag ha resurser, innovation och teknik f?r att g?ra dessa plattformar till en s?krare plats.
Dr. Slonopas sade att l?sningen p? detta hot ?r densamma som f?r alla andra hot: medvetenhet, utbildning, tr?ning och innovation.
“Jag anser att detta inte ?r annorlunda ?n en strategi f?r n?gon annan kompromiss; det b?rjar med anv?ndarutbildning och medvetenhetstr?ning. Med tanke p? AI:s och ML:s framfart inom cybers?kerhet och dataanalys ser jag framf?r mig att AI-aktiverade verktyg en dag kommer att klara av att bek?mpa miljontals skadliga anv?ndare p? sociala medier.”
Web3:s blockkedjeteknik har lovordats f?r sin potential att s?kra alla typer av transaktioner eller processer. Blockkedjans decentraliserade, tungt krypterade och of?r?nderliga natur anv?nds eller studeras f?r att skapa cybers?kerhetsl?sningar och program f?r bedr?geridetektering.
Solo Ceesay, medgrundare av Calaxy, en social pl?nbok d?r anv?ndare kan dela krypto, non-fungible tokens (NFTs) och mer ?ver blockkedjan, talade om hur den kriminella trenden och f?retagens passivitet urholkar f?rtroendet.
“Hackning av sociala medier inneb?r en direkt utmaning f?r den tilltro vi har till immateriella, centraliserade plattformar och f?retag. Utan f?rtroende blir det praktiskt taget om?jligt att g?ra aff?rer, vilket i h?g grad p?verkar den ?vergripande upplevelsen och nyttan av sociala plattformar ?verhuvudtaget.”
Ceesay f?rklarade att Web2-tekniska (pre-blockchain tech) strukturer hanteras centralt, och anv?ndaruppgifter ?r inte offentligt verifierbara p? n?got s?tt. Ceesay sa att Web3-teknik ?r en utm?rkt l?sning och f?rklarade varf?r.
“En bra analogi som beskriver hur den nuvarande modellen fungerar ?r konceptet att ha sina inloggningsuppgifter lagrade i en virtuell garderobsmaskin s? l?nge anv?ndaren ?r p? plattformen.
“Decentraliserad identitet ?r mer i linje med att f?rvara sin jacka i ett sk?p d?r anv?ndaren m?ste skapa sin egen kod f?r att f?rvara sina tillh?righeter.”
S?kerheten i deras h?nder
Koncepten och verktygen f?r att ?ka s?kerheten i sociala medier ligger utan tvekan i h?nderna p? sociala medief?retag. Tsukerman f?rklarade n?gra alternativ vid bordet.
“Sociala medief?retag b?r g?ra multifaktorautentisering till en obligatorisk del av processen och inf?ra regelbundna “check-ins” som kan anv?ndas f?r att autentisera anv?ndare.”
Tsukerman till?gger att sociala medief?retag ocks? kan fr?mja situationsmedvetenhet och s?kra rutiner bland anv?ndare och deras personal. “En del av standardprotokollet f?r b?de anv?ndare och f?retag b?r omfatta ?vervakning av sociala mediekonton f?r ?ndringar, obeh?riga appar, administrat?rer och inneh?ll.”
“Bortsett fr?n de interna kontroller som ?r bristf?lliga har sociala medief?retag verktyg f?r att uppt?cka hackning; de ?r ocks? medvetna om (och b?r fr?mja denna medvetenhet) att hackare oftast f?r tillg?ng via d?ligt underh?llna l?senord, auktoriserade anv?ndare och komprometterade applikationer.”
Och n?r en attack intr?ffar b?r sociala medief?retag enligt Tsukerman utveckla och automatisera processer f?r direkt och omedelbar respons p? rapporterade hackningar eller andra attacker, inklusive att eventuellt avbryta dem.
B?r regeringar ingripa?
Regeringar runt om i v?rlden moderniserar sina lagar f?r att m?ta de utmaningar som en global digital v?rld inneb?r. EU:s AI Act, som nyligen antogs, ?r till exempel ett steg mot att reglera AI. Samtidigt till?mpas EU:s lag om digitala marknader aktivt f?r att bek?mpa monopol och g?ra digitala marknader mer r?ttvisa.
?ven om det finns gott om lagar och regler f?r privatpersoners integritet n?r det g?ller finansiella uppgifter, ?r det betydligt ovanligare med cybers?kerhetslagar som kr?ver specifika ?tg?rder f?r privata f?retag.
“Regeringar kan definitivt ingripa, policyer och lagar kan skrivas, men jag ?r ocks? lite skeptisk till effekten av enbart policyer f?r att hantera denna fr?ga (hackning av sociala medier)”, s?ger Dr. Slonopas.
“Ett annat tillv?gag?ngss?tt ?r att regeringar och industrin samarbetar inom verktygsutveckling, kanske datadelning f?r att bek?mpa skadlig anv?ndaraktivitet, statligt finansierade insatser som kan absorbera en del av riskerna med forskning och utveckling skulle g? mycket l?ngre ?n policyer som en skadlig anv?ndare verkar ignorera oavsett.”
Hantera resurser och genomdriva standarder
Tsukerman sa att anledningen till att regeringen inte ingriper ?r att den har begr?nsade resurser och anv?nder dem f?r att g? efter ?ven direkta finansiella cyberbrott som massutpressning av kryptovalutor eller bankhackning.
“Hackningar av sociala medier anses vara sm? irritationsmoment, ?ven om de utf?rs i stor skala, och kommer sannolikt bara att f? myndigheternas uppm?rksamhet om det finns mycket betydande ekonomiska skador p? int?kterna eller om dessa hackare ?r kopplade till andra k?nda s?kerhetshot som redan ?r f?rem?l f?r en aktiv utredning.”
Trots detta sade Tsukerman att regeringen skulle kunna flytta “ansvarsskyldigheten till de sociala medief?retagen f?r att h?lla dem ansvariga f?r f?rsumliga s?kerhetsrutiner”, vilket skulle kunna leda till b?ter, operativa begr?nsningar och naturligtvis grupptalan av komprometterade anv?ndare och annons?rer.
“Det mest ingripande och kostsamma tillv?gag?ngss?ttet fr?n regeringens sida skulle kunna vara att kr?va licensstandarder f?r att driva datadrivna f?retag och tekniker och tvinga dem till ?rlig cybers?kerhetscertifiering, vilket ocks? skulle kunna sprida risken genom att tvinga f?retagen att f?lja de standarder som kr?vs.”
Som Dr. Slonopas f?rklarade ?r m?nga av attackerna p? sociala medier gamla hederliga “brute force”-attacker mot l?senord som s? m?nga m?nniskor ?teranv?nder, social engineering och andra mindre komplexa attacker.
Vi h?ller med om Dr. Slonopas r?d. “Anv?ndare b?r anv?nda unika och starka l?senord, inte klicka p? slumpm?ssiga l?nkar, vara skeptiska till alla bilagor ?ven om de kommer fr?n personer som vi litar p? och k?nner, och regelbundet l?sa p? om de senaste trenderna n?r det g?ller bedr?gerier.”
Men ?terigen, som Tsukerman sa till Techopedia, med ingen modell, teknik eller reglering som ?r en silverkula, algoritmer utanf?r v?r kontroll och attacker p? sociala medier som skjuter i h?jden, ?r det idag slutanv?ndaren som tvingas ta fullt ansvar och som ?r den sista gateway-v?ktaren f?r sin egen s?kerhet och integritet.