Słowem wstępu — dwa zagrożenia autentyczności
Artykuł podzieliłam na dwa zagadnienia. Pierwszym z nich jest temat odbierania plakietki “Zweryfikowany” przez LinkedIn mimo wcześniejszego uzyskania weryfikacji. Drugi — o którym się zupełnie nie mówi (takiej opcji w regulaminach nie zakładają nawet dwie platformy, które analizowałam: Facebook i LinkedIn) — dotyczący przypadków przejęcia przez cyberoszusta konta zweryfikowanego.
Oba te zagadnienia rzucają światło na potencjalne luki w systemie weryfikacji, które mogą podważać zaufanie do zweryfikowanych kont. W artykule przyjrzę się, jak te problemy wpływają na postrzeganie autentyczności oraz jakie mogą mieć konsekwencje dla użytkowników i platform społecznościowych.
Czym jest weryfikacja kont w social mediach?
Weryfikacja kont w mediach społecznościowych, symbolizowana przez znany niebieski znaczek, stała się jednym z najbardziej rozpoznawalnych znaków potwierdzających autentyczność w social mediach.
Twitter był pierwszą platformą społecznościową, która w 2009 roku wprowadziła plakietkę weryfikacji. W kolejnych latach, podobne systemy weryfikacyjne wprowadziły platformy takie jak Google+, YouTube, Facebook, Instagram i Pinterest, przy czym każda z nich miała własne, unikalne procedury, ponadto te weryfikacje były bezpłatne. Dziś plakietkę można otrzymać również na LinkedIn, Snapchat, TikTok. Niektóre są płatne, niektóre nie.
W założeniu weryfikacja ma na celu przede wszystkim ochronę użytkowników przed oszustwami i fałszywymi kontami. Jednak sam proces nie jest wolny od wad. Kryteria przyznawania weryfikacji mogą być arbitralne, a procedury nie zawsze są przejrzyste, co rodzi pytania o skuteczność tego narzędzia w zapewnianiu autentyczności i zaufania w mediach społecznościowych. Wnioski te mają potwierdzenie w wielu sytuacjach, które obserwuję od trzech miesięcy. Tyle czasu dałam sobie na obserwację, rozmowy z osobami “poszkodowanymi”, analizę i wnioski. Oto one:
Ograniczenia i wady procesu weryfikacji
Zweryfikowanie konta nie jest równoznaczne z jego wiarygodnością. Co w przypadku, kiedy takie zweryfikowane konto zostanie przejęte i posłuży cyberprzestępcom? Budzi to jeszcze większe obawy, bo przecież, jak nie ufać profilowi, który jest przecież zweryfikowany = autentyczny? Wiele osób automatycznie zakłada, że skoro konto jest zweryfikowane, to wszystkie publikowane przez nie treści są godne zaufania. To błędne przekonanie może prowadzić do rozpowszechniania dezinformacji, szczególnie w kontekście kont związanych z polityką, zdrowiem publicznym czy innymi obszarami o wysokim znaczeniu społecznym.
Kolejnym problemem jest to, że weryfikacja może prowadzić do złudnego poczucia bezpieczeństwa osoby, która poddała się weryfikacji. Tymczasem samo zweryfikowanie konta nie oznacza z automatu, że konto jest lepiej chronione przed przejęciem. W kwestii bezpieczeństwa obowiązują go dokładnie takie same reguły, jak w przypadku każdego innego konta.
Co z wiarygodnością osoby, która otrzymała plakietkę, po czym platforma tę plakietkę odebrała?
Przypadki cofnięcia statusu “Zweryfikowany” nie są odosobnione i dotyczą zarówno polskich użytkowników, jak i zagranicznych.
Jeden z nich (chciał pozostać anonimowy) na swoim koncie opisał przypadek: "Dzisiaj, po ponad pół roku od weryfikacji konta, LinkedIn uznał, że nie nazywam się (od red.: imię i nazwisko), bo w paszporcie mam napisane (od red.: to samo imię i nazwisko) (jeśli nie widzisz różnicy, to nie szkodzi, bo nie ma żadnej) i cofnął mi autoryzację. Po ponownej autoryzacji paszportem znów twierdzi, że mam inne nazwisko w dokumencie. Gdy użyłem dowodu osobistego, powiedział, że to nie jest dokument tożsamości. Maszyny jeszcze długo nie zastąpią ludzi. Ktoś też miał taki problem?"
Porozmawialiśmy. Użytkownik LinkedIn przeprowadził pierwszą udaną weryfikację około rok temu, a w lipcu tego roku plakietka zniknęła z jego profilu. Dane na paszporcie nie różniły się niczym od danych na profilu, użytkownik nie zmieniał też żadnych podstawowych danych na swoim profilu. Po ponownej bezskutecznej próbie odwołania się, zrezygnował. — Nie zależało mi na tym, uznałem to za ciekawostkę, że po prawie roku bez powodu straciłem weryfikację - przekazał nam.
Nie otrzymał od LinkedIn żadnych wyjaśnień, które być może ułatwiłyby mu ponowną i tym razem pozytywną weryfikację. Konsekwencją odebrania plakietki, jaką dostrzega jest fakt, że osoby na podobnych, wysokich stanowiskach są zweryfikowane, czyli bardziej wiarygodne w oczach odbiorców. On tę możliwość stracił bez informacji, dlaczego.
Podobne doświadczenia ma Sławomir Paśmionka związany z Brand24. Po uzyskaniu plakietki w kwietniu również nie zauważył żadnych pozytywnych zmian obiecanych przez LinkedIn. Również nie edytował profilu, ani nie zmieniał… nazwiska. Zasugerował jednak, że Persona, cofając mu kilka miesięcy później status zweryfikowanego, sama przyznała się do błędu, bo skoro użytkownik nic nie zmieniał a weryfikację uzyskał, to co poszło nie tak?
Nasz rozmówca nie ponawiał próby przywrócenia plakietki. - Podanie jako przyczyny “Nazwisko nie jest zgodne” po jego wcześniejszym potwierdzeniu nie nastraja pozytywnie - przekazał. Komunikat o niezgodności nazwiska — identyczny jak u wielu osób — nie jest konkretnym wyjaśnieniem. — Gdyby było to wskazanie “tak zapisane jest to w profilu, tak w dokumencie” mógłbym uznać to za wyjaśnienie — zaznaczył.
- Myślę, że Linkedin powinno lepiej edukować społeczność, jak działa i na czym polega taka weryfikacja, oraz zapewnić, że ich partner KYC, czyli Persona nie będzie przechowywała żadnych danych z dokumentów a tylko “odnotowywać stan” i potwierdzać fakt - zaznaczył Sławomir Paśmionka.
Podobne doświadczenia miał Radosław Ilczuk, który pozytywnie przeszedł proces weryfikacji w tym roku, ale pozytywnych zmian uzyskania plakietki też nie zauważył. Nie zmieniał nic w ustawieniach, a mimo to weryfikacja została mu cofnięta.
- Moim zdaniem nie było powodu do cofnięcia weryfikacji. Portal powinien ustalić i usunąć przyczynę tego zdarzenia — zauważył, zaznaczając, że nie otrzymał konkretnych wyjaśnień, dlaczego tak się stało.
Odebranie plakietki „Zweryfikowany” przez platformę, taką jak LinkedIn, może wpłynąć na postrzeganą wiarygodność danej osoby. Przykłady użytkowników, którzy doświadczyli takiej sytuacji, wskazują, że odbiór plakietki może obniżyć ich wiarygodność w oczach innych użytkowników, zwłaszcza jeśli znajdują się na podobnych, wysokich stanowiskach, gdzie zweryfikowanie profilu jest postrzegane jako potwierdzenie autentyczności i zaufania. Dodatkowo, brak jasnych wyjaśnień od platformy dotyczących przyczyn cofnięcia weryfikacji pogłębia niepewność i podważa zaufanie do samego procesu weryfikacji.
Osoba, której odebrano plakietkę weryfikacji — tej, która miała właśnie potwierdzać autentyczność — może stracić podwójnie na wiarygodności z kilku powodów:
Obserwujący mogą odczuwać niepewność co do prawdziwości i wiarygodności treści publikowanych przez użytkownika. Plakietka weryfikacji była sygnałem, że dana osoba jest autentyczna i wiarygodna. Jej utrata może budzić wątpliwości, czy konto rzeczywiście należy do tej osoby i czy można ufać publikowanym informacjom.
Odebranie plakietki może sugerować, że użytkownik mógł naruszyć jakieś zasady platformy lub nie spełniał już standardów weryfikacji. Obserwujący mogą zastanawiać się, czy osoba, którą śledzą, jest uczciwa i czy jej profil jest zgodny z rzeczywistością.
Obserwujący mogą postrzegać utratę plakietki jako sygnał, że coś zmieniło się na niekorzyść użytkownika. Taka zmiana może prowadzić do przekonania, że osoba ta nie jest już tak godna zaufania jak wcześniej, co może wpłynąć na ich decyzję o dalszym śledzeniu i interakcji z tym profilem.
Obserwujący mogą zauważyć, że inni użytkownicy na podobnych stanowiskach nadal mają plakietki weryfikacji, co może sprawiać, że osoba, która ją straciła, wydaje się mniej prestiżowa lub mniej godna zaufania w porównaniu do innych.
W efekcie obserwujący mogą być bardziej ostrożni w relacjach z takim użytkownikiem, a ich zaufanie do niego może znacząco spaść.
I na zakończenie tego wątku porada od F-secure.com dotycząca weryfikacji miejsca pracy: Jeśli Twoje miejsce pracy zostało zweryfikowane na Twoim koncie LinkedIn, pamiętaj, że naruszenie Twojego służbowego adresu e-mail — na przykład przez atak ransomware na Twoją firmę — naraża również Twój osobisty profil LinkedIn na niebezpieczeństwo, ponieważ Twój służbowy adres e-mail może zostać wykorzystany do uzyskania dostępu do Twojego profilu LinkedIn. W przypadku naruszenia bezpieczeństwa biznesowego pamiętaj o cofnięciu dostępu do weryfikacji w miejscu pracy.”
Atak na zweryfikowane konto. Przykład Facebooka
Przejrzałam regulaminy dwóch serwisów: LinkedIn i Facebooka wzdłuż i wszerz, a także regulamin Persony w kontekście kont użytkowników „Zweryfikowany”. Nigdzie nie znalazłam informacji dotyczącej bezpieczeństwa takich kont po ich przejęciu przez cyberprzestępców.
Pomimo uzyskania plakietki weryfikacyjnej, użytkownicy nie otrzymują dodatkowych zabezpieczeń ani ochrony przed potencjalnymi atakami. Plakietka weryfikacji, choć zwiększa wiarygodność profilu, nie przekłada się na zwiększenie bezpieczeństwa konta, co może prowadzić do fałszywego poczucia ochrony.
W praktyce, po uzyskaniu weryfikacji, nic nie zmienia się na rzecz użytkownika w kontekście zabezpieczeń. Nie są oferowane takie środki, jak wielopoziomowa autoryzacja czy specjalne monitorowanie zagrożeń, co oznacza, że użytkownik wciąż jest narażony na te same ryzyka, co każdy inny. Złudne poczucie bezpieczeństwa może paradoksalnie zwiększać ryzyko nieodpowiedzialnego zachowania w sieci, co z kolei podwójnie szkodzi – zarówno właścicielowi konta, jak i jego obserwującym.
Przejęcie zweryfikowanego konta przez cyberprzestępców stanowi szczególnie poważne zagrożenie. Użytkownicy obserwujący takie konto mogą nadal ufać publikowanym treściom, nie zdając sobie sprawy, że kontrolę nad profilem przejął ktoś inny. Dla prawowitego właściciela jest to podwójnie frustrujące – nie tylko traci kontrolę nad własnym kontem, ale również nie ma wpływu na to, jak jest ono wykorzystywane przez przestępców.
Zweryfikowany profil, oznaczony plakietką, automatycznie budzi zaufanie u obserwujących, którzy mogą nie zdawać sobie sprawy, że kontrolę nad kontem przejęli cyberprzestępcy. W rezultacie, treści publikowane na takim koncie mogą być postrzegane jako pochodzące od zaufanego źródła, co zwiększa ryzyko, że obserwujący padną ofiarą oszustw, dezinformacji czy wyłudzeń. W efekcie, takie sytuacje mogą prowadzić do utraty zaufania nie tylko do danego profilu, ale również do całej platformy społecznościowej.
W skrócie, przejęcie zweryfikowanego konta przez cyberprzestępców może skutkować wprowadzeniem w błąd obserwujących, co sprawia, że będą oni bardziej podatni na manipulacje, oszustwa i inne formy nadużyć.
Nie tak dawno było głośno na temat fejkowych informacji o Omenie Mensah na Facebooku. Konto Barrie Ibrahim “produkowało” masowo reklamy mówiące o tym, że rzekomo Gazeta.pl informuje o pobiciu Mensah, o jej śmierci czy złym stanie zdrowia. Jak widać na poniższym screenie, reklamy pochodziły z konta zweryfikowanego.
Dodajmy, że Ibrahim Barrie to dość znany muzyk z Niemiec. Jest więc tam rozpoznawalny, ma swoją publiczność. Konto, które dodawało te reklamy, było organicznie nieaktywne ostatnie dwa lata. Dziś jest już niedostępne na terenie Polski, bo prezes UODO wydał Mecie nakaz blokady tych reklam, a co za tym idzie — również konta, które je publikowało.
Podjęłam próby skontaktowania się z nim za pośrednictwem jego konta osobistego, które jest aktywne i promujące bieżącą działalność muzyka, i porozmawiania na ten temat. Jednak po miesiącu oczekiwania na odpowiedź, odpuściłam. I pozwolę sobie na własną interpretację.
Konto, które publikowało obraźliwe reklamy, było kontem markowym, a dokładnie kontem artysty. Zatem nie było kontem osobistym, a kontem publicznym — moderowanym przez konto osobiste, na podobnej zasadzie jak konta firmowe. Możliwe więc było publikowanie reklam. Jeśli przyjąć, że konto zostało przejęte, a z ogromnym prawdopodobieństwem tak było, to istnieje kilka potencjalnych scenariuszy wyjaśniających, dlaczego konto zaczęło publikować obraźliwe reklamy.
Przede wszystkim, cyberprzestępcy mogą przejmować konta markowe — zarówno te zwykłe, jak i zweryfikowane) w celu wykorzystywania ich do szerzenia spamu, fałszywych informacji lub działań oszustów. Przejęcie konta może umożliwić im dostęp do szerokiego grona odbiorców, które wcześniej było lojalne wobec oryginalnego właściciela.
Dodatkowo, w większości, dotychczasowe porady dotyczące tego, jak poznać, że konto zostało przejęte przez hakera, są nieaktualne, gdyż cyberoszuści są dziś ostrożniejsi, dyskretni.
Wymienię kilka elementów, również na podstawie niedostępnego już w Polsce konta Ibrahima Barrie, które na pierwszy rzut oka nie wzbudzało podejrzeń, a jednak…
Wykorzystanie do cyberoszustw zweryfikowanego konta twórcy, a więc takiego które wydaje się autentyczne, potwierdzające tożsamość, ale też mającego wokół siebie zgromadzoną szeroką społeczność.
Wykorzystanie reklamy, by dotrzeć do grupy docelowej samego oszusta, reklama nie jest wyświetlana na przejętym koncie jak posty organiczne, więc go nie zaśmieca podejrzanymi treściami.
Nakłanianie do kliknięcia w podejrzane linki lub inne działania, które są niezgodne z dotychczasową komunikacją marki.
Brak odpowiedzi na komentarze lub wiadomości, co może sugerować, że osoba zarządzająca kontem nie jest już tym samym właścicielem i ma inny cel, korzystając z tego konta.
Brak aktywności na koncie, podczas gdy konto marki wcześniej było regularnie aktywne. Często cyberprzestępcy, którzy przejmują konta, mogą wstrzymywać aktywność, aby nie wzbudzać podejrzeń lub przejąć je w fazie przygotowawczej do dalszych działań.
I dokładnie to zadziało się na koncie muzyka, który z ogromnym prawdopodobieństwem stracił kontrolę nad tym kontem, opuścił go (lub ktoś mu w tym pomógł), a na swoim koncie osobistym przeszedł w tryb profesjonalny (ustawienie profilu głównego, które oferuje dostęp do profesjonalnych narzędzi, takich jak monetyzacja i statystyki zawartości).
Przykład ten pokazuje, że nawet zweryfikowane konta, które z definicji powinny budzić większe zaufanie i wydawać się bardziej autentyczne, mogą stać się narzędziem w rękach cyberprzestępców. Jest to dowód na to, że sama plakietka weryfikacyjna nie wystarcza do zapewnienia pełnego bezpieczeństwa, a użytkownicy powinni zachować szczególną ostrożność, nawet w przypadku kont, które wydają się być wiarygodne.
Ten przypadek pokazuje również potrzebę ciągłego monitorowania aktywności konta i regularnego sprawdzania ustawień bezpieczeństwa, aby zminimalizować ryzyko przejęcia przez nieuprawnione osoby.
Komentarze ekspertów - Oleksii Doroshenko, Katarzyna Grabowska, Piotr Brogowski
Oleksii Doroshenko, specjalista w dziedzinie cyberbezpieczeństwa, współzałożyciel Redsaber Security
Weryfikacja kont za pomocą usług takich jak Persona zwiększa wiarygodność użytkownika, ale niekoniecznie podnosi bezpieczeństwo samego konta. Choć proces ten obejmuje analizę dokumentów tożsamości i potwierdzenie biometryczne, co potwierdza autentyczność użytkownika, nie chroni on przed przejęciem konta przez osoby trzecie. Dodatkowo, jeśli zweryfikowane konto zostanie przejęte, np. przez atak phishingowy, ryzyko może wzrosnąć, ponieważ takie konto wydaje się bardziej wiarygodne i może być wykorzystane do bardziej skutecznych oszustw.Dlatego dodatkowe zabezpieczenia, takie jak dwuskładnikowe uwierzytelnianie, silne hasła oraz świadomość zagrożeń, są podstawą ochrony konta. Weryfikacja może jedynie pośrednio utrudnić nieautoryzowany dostęp, zwiększając poziom zaufania i uwagi ze strony platformy w przypadku nietypowej aktywności.
Katarzyna Grabowska, specjalistka ds. budowania świadomości cyberbezpieczeństwa NASK-PIB
Weryfikacja profilu w social mediach ma za zadanie potwierdzenie autentyczności konta, czyli upewnić się, że ty to ty. Narzędzie to ma, według platform, wiązać się z działaniami, których zadaniem jest zapewnienia bezpieczeństwa czy zapobieganie oszustwom, np. przez proaktywne przeszukiwanie fałszywych profili bądź uniemożliwienie założenia takiego profilu, a także zapewniać wyższy standard obsługi klienta.Jest to usługa pomocna szczególnie przy kontach rozpoznawalnych, o dużych zasięgach, których dane są niejednokrotnie wykorzystywane przez cyberprzestępców do podszywania się pod znane osoby i tworzenia fałszywych profili, by np. wyłudzić pieniądze lub dane.Pamiętajmy, że weryfikacja profilu nie oznacza automatycznie, że konto nie może być przejęte przez cyberprzestępców. Jeżeli osoba, która posługuje się zweryfikowanym kontem, podejmuje podejrzane aktywności, np. rozpytuje o dane osobowe lub zachęca do inwestycji online, warto zachować zdrowy rozsądek i nie podejmować decyzji jedynie w oparciu o znaczek weryfikacji.
Piotr Brogowski, wiceprezes, dyrektor zarządzający ORION INSTRUMENTS POLSKA
Zweryfikowanie konta potwierdza jedynie tożsamość jego użytkownika i to tylko w momencie weryfikacji. Jeśli ktoś przejmie moje konto, to nie będzie go mógł zweryfikować na LinkedIn, bo do tego niezbędny jest mój dokument tożsamości. Jednak procedura ta nie podnosi poziomu zabezpieczeń (tak jak np. zastosowanie MFA, czy kluczy dostępowych) i w związku z tym w najmniejszym stopniu nie zapobiega przejęciu konta, co może nastąpić 5 minut po jego weryfikacji. Co więcej zweryfikowane konta, postrzegane przez wiele osób jako bardziej wiarygodne, są siłą rzeczy bardziej narażone na ataki hakerskie, bowiem aktorzy zagrożeń mogą je wykorzystywać do szerzenia fakenewsów i działań cyberprzestępczych np. wyłudzeń od osób, które będą przekonane, że dany wpis pochodzi ze szczególnie wiarygodnego źródła.
Monika Świetlińska