Facebook Security: Bliver min Facebook side deaktiveret?

By 21. juli 2018 marts 1st, 2019 Cybersecurity, Facebook

Falsk besked om deaktivering af Facebook side“Kære kunde,
Din side bliver deaktiveret!”

Beskeder som disse dukker fra tid til anden op, hvis du er en administrator af en Facebook side. Som oftest er der tale om et opslag som bliver delt af en Facebook side som fx ”Support Page Account” her – i dette tilfælde er det gået ud over AscendFys Fysioterapi, som har til huse i København.

Skal AscendFys være bekymret for deres Facebook side?

Det korte og hurtige svar er: NEJ, bare rolig.

Oplever du noget lignende på din Facebook side, kan du enten ignorere det, eller anmelde siden til Facebook som værende falsk.

Vil du derimod gerne blive lidt klogere på hvad det er vi har med at gøre her, så opfordre jeg dig til at læse videre i dette indlæg. For nu vil jeg lære dig hvordan du bliver bedre til at gennemskue falske Facebook sider som denne.

 

First things first: Hvad er det her

Det du ser her er phishing, som er et begreb der stammer fra it-sikkerheds verden. Phishing handler om at lokke personfølsomme data ud af dig, ved at snyde dig på forskellig vis. Det handler tit om at få fingrene i dit betalingskort (Dankort), altså en form for økonomisk kriminalitet, eller andre former for personlige oplysninger (CPR-nummer eller lign.) til identitetstyveri. I særlige tilfælde vil der være tale om decideret spear-phishing hvor at du er en såkaldt vector, en indgangsvinkel til noget andet (industrispionage m.v.). Det er dog ikke tilfældet her.

Sådan kontrollerer du opslagets validitet

Allright, der er nogle bestemte ting du altid kan kigge efter når du prøver at vurdere ægtheden af en sådan konto. Dog kan jeg lige sige indledningsvist, at Facebook ikke retter henvendelse til dig ved at dele dine opslag på Facebook. Her et par yderligere ting du kan kigge efter:

Selve opslaget

Hvis du prøver at læse opslaget ordenligt igennem, så vil du opdage et par ting som er noget værre vrøvl. Dårligt og forkert sprogbrug, eller ualmindeligt knudrede formuleringer, som ofte er resultatet af en half-assed google translate oversættelse.

Et dead giveaway er, at firmaer som Facebook, eller hvem som helst ellers som du ren faktisk er kunde hos, de ved udmærket godt hvad du hedder. De skriver ikke ”Kære kunde” til dig.

Hvornår har du sidst ”bekræftet” din konto på Facebook?  Præcis, det er ikke en ting.  Bemærk i øvrigt formuleringen her: ”Bekræft venligst din konto for at forhindre dig i at blokere”. Omvendt ordstilling, og det er jo ikke dig som blokerer noget.

Bemærk at de nævner det her med at ”bekræfte kontoen” hele fem gange – så må det være vigtigt, right? Det er et social-psykologisk trick man forsøger at anvend her. Hvis du hører noget tilstrækkeligt mange gange begynder du at tro på det. Tænk på hvordan jøderne blev omtalt i Nazi Tyskland under og optil 2. verdenskrig. Same thing.

”Hvis du ikke bekræfter, blokerer vores system automatisk din konto og kan ikke genbruges”.
Det her, er hvad man betegner som et urgency cue. Man forsøger at tvinge dig til at tage en hurtig beslutning, og dermed gøre dig mere sårbar overfor denne slags beskeder. Hvis du ikke gør som vi befaler, bliver det værst for dig selv.

Linket hvor du skal bekræfte er en meget central ting. Aldrig never ever tryk på links du ikke har tillid til. Her lidt basisviden om webdomæner (altså webadresser). Noget du altid skal være opmærksom på er hvilket top-domæne der linkes til. Top domænet er ofte en indikator for hvilket land sitet er relevant for. Her linkes der til noget der hedder .su.

Det ved du ikke hvad er, og det kan jeg godt forstå – så det slog jeg op til dig: https://en.wikipedia.org/wiki/.su. Det er simpelthen landekoden for USSR, altså Soviet Unionen. Yes! 😀
Der tør jeg godt ligge hovedet på bloggen og sige: Den bruger Facebook nok ikke.

Derudover linkes der til et site som anvender http-protokollen. Det i sig selv er ikke et faresignal, hvis det ikke var fordi at man opfordre til at bekræfte kontoer eller indtaste personfølsomme oplysninger herigennem. Websites hvor at du skal indtaste den slags skal være krypteret og så hedder protokollen https. En autentisk webadresse til Facebook ser sådan her ud: https://www.facebook.com. Ikke noget med fb-system-info-clan. Det er noget værre vrøvl, trust me on this.

Afslutningsvist skriver de således: ”Facebook ™ Sikkerhed”
Det er et såkaldt trust cue, hvor at man forsøger at verificerer overfor dig, at de er dem de udgiver sig for at være. Hvis du tænker tilbage på mails fra Nigerianske prinser eller den slags, så er det også altid med en formel afsender på. Doc.md., Prins, General von prutskid eller hvad de nu har af titel.

Facebook siden: Basics

Vi starter lige indledningsvist i selve opslaget. Har du bemærket det mis-match der er imellem afsenderes signatur og sidens faktiske navn? Support Page Account overfor Facebook ™ Sikkerhed? Yeah, something is off.

Så er der logoet. Det ligner noget Facebook, men det er ikke et autentisk Facebook logo. Hvis siden rent faktisk stammede fra Facebook, så ville de følge deres egne retningslinjer for brug af brand:
https://da-dk.facebookbrand.com/assets.

 

 

 

Rigtige ”Facebook” Facebook sider er verificeret via et særligt bagde som findes umiddelbart efter navnet på siden. Det er blåt med et flueben (√) i og kan ikke forfalskes, da det kræver en længere processes med Facebook.

Facebook siden: adresse

Falsk Facebook adresse url

Professionelle virksomheder forsøger altid at gøre deres Facebook sider lækre og nemme at finde. Det er den ikke, hvis den har et langt kringlet ”computer” navn som i tilfældet her.

Autentisk Facebook side

Falsk Facebook side

Bemærk at den har denne her knudrede ”Support-Page-Account-44221379396525” del i sig. Tallet er det ID som Facebook siden formelt har, men det er ikke særligt pænt at se på, så det er noget man normalt fjerner som led i sin Social Media strategi.

Facebook siden: hvad gør den ellers

Så langt så godt. Hvor mange fans har siden? Support Page Account havde ikke særligt mange (den er i øvrigt blevet lukket nu, den levede i 2 døgn). Men hvad lavede den ellers? Tjoo.. du skal du bare se:

Foruden AscendFys og en masse andre sider, så havde den tydeligvis et svært forhold til særligt sider der sælger bruderkjoler for whatever reason. Hvis jeg tager angrebsbrillerne på, så kunne en årsag til det være, at denne slags virksomheder ofte er mindre cyber-savy, og derfor mere tilbøjelige til at gå i min fælde. Der findes mange studier af og analyser af hvem der typisk går i fælderne og bliver snydt online. Særligt de helt unge og de meget gamle, er ofte de mest sårbare. De unge, fordi de ikke har erfaringerne endnu, og de ældre fordi de ikke forstår computere. Arbejder du i en tøjbutik og har en lille Facebook side, har du næppe den helt store indsigt om hvordan online verden fungere eller teknikken bag.

Det gør dig sårbar.

What else?

Men Søren, hvor farligt er det at trykke på det link, hvad er det værste der kan ske?

Jeg er glad for at du spørger!

Nu er jeg jo sådan en online-über-geek, som har rodet en del med hacking og studeret online kriminalitet. Så jeg har nogle værktøjer, men hvad og hvordan vil jeg ikke gå i detaljer med. Mest af hensyn til at du risikerer nogle ting ved at benytte dem, særligt hvis du gør det forkert.

Sitet er blevet BLACKLISTED, hvilket vil sige at nogle af de store internet firmaer (Google, Kaspersky Lab eller lignende firmaer med fokus på it-sikkerhed), har spottet sitet og gjort sig nogle bemærkninger om det, som værende faretruende.

Support Page Account Blacklist

Helt konkret blev sitet Blacklistet af det amerikanske sikkerhedsfirma Symantec, som står bag Norton Antivirus.

Nu var dét konkrete website her ikke det vildeste stykke hackerarbejde i verden, men det bliver flagged på emner omkring irritation (spam) og identitets trusler. Det er bl.a. noget af det som leder mig til konklusionen om, at der er tale om phishing.

borgstrom

Author borgstrom

More posts by borgstrom

Leave a Reply