Det første skridt i forbindelse med online-propaganda og misinformationskampagner er næsten altid en falsk profil på sociale medier. Falske profiler for ikke-eksisterende personer sniger sig ind i virkelige menneskers sociale netværk, hvor de kan sprede deres usandheder. Men hverken virksomheder inden for sociale medier eller teknologiske innovationer tilbyder pålidelige metoder til at identificere og fjerne profiler på sociale medier, der ikke repræsenterer reelle autentiske personer.

Det kan lyde positivt, at Facebook i løbet af seks måneder i slutningen af 2017 og begyndelsen af 2018 opdagede og suspenderede omkring 1,3 milliarder falske konti. Men det anslås, at 3 til 4 procent af de konti, der stadig er tilbage, eller ca. 66 til 88 millioner profiler, også er falske, men endnu ikke er blevet opdaget. På samme måde anslås det, at 9 til 15 procent af Twitters 336 millioner konti er falske.

Falske profiler findes ikke kun på Facebook og Twitter, og de er ikke kun rettet mod folk i USA. I december 2017 advarede tyske efterretningsfolk om, at kinesiske agenter ved hjælp af falske LinkedIn-profiler var rettet mod mere end 10.000 tyske regeringsansatte. Og i midten af august rapporterede det israelske militær, at Hamas brugte falske profiler på Facebook, Instagram og WhatsApp til at lokke israelske soldater til at downloade skadelig software.

Og selv om virksomhederne på de sociale medier er begyndt at ansætte flere medarbejdere og bruge kunstig intelligens til at opdage falske profiler, vil det ikke være nok til at gennemgå alle profiler i tide til at stoppe misbruget af dem. Som det fremgår af min forskning, er problemet faktisk ikke, at folk – og algoritmer – skaber falske profiler online. Det, der virkelig er galt, er, at andre mennesker falder for dem.

Min forskning i, hvorfor så mange brugere har problemer med at opdage falske profiler, har identificeret nogle måder, hvorpå folk kan blive bedre til at identificere falske konti – og fremhæver nogle steder, hvor teknologivirksomheder kan hjælpe.

Mennesker falder for falske profiler

For at forstå brugernes tankeprocesser på de sociale medier oprettede jeg falske profiler på Facebook og sendte venneanmodninger til 141 studerende på et stort universitet. Hver af de falske profiler varierede på en eller anden måde – f.eks. ved at have mange eller få falske venner, eller om der var et profilbillede. Ideen var at finde ud af, om den ene eller den anden type profil havde størst succes med at blive accepteret som en forbindelse af rigtige brugere – og derefter undersøge de snydte personer for at finde ud af, hvordan det skete.

Jeg fandt ud af, at kun 30 procent af de målrettede personer afviste en anmodning fra en falsk person. Da de blev spurgt to uger senere, overvejede 52 procent af brugerne stadig at godkende anmodningen. Næsten en ud af fem – 18 procent – havde accepteret anmodningen med det samme. Af dem, der accepterede den, havde 15 procent svaret på henvendelser fra den falske profil med personlige oplysninger som f.eks. deres hjemmeadresse, deres studienummer og deres tilgængelighed til en deltidspraktikplads. Yderligere 40 procent af dem overvejede at afsløre private oplysninger.

Men hvorfor?

Når jeg interviewede de rigtige mennesker, som mine falske profiler havde været målrettet mod, var det vigtigste, jeg fandt ud af, at brugerne grundlæggende tror, at der er en person bag hver profil. Folk fortalte mig, at de havde troet, at profilen tilhørte en person, de kendte, eller muligvis en person, som en ven kendte. Der var ikke en eneste person, der havde mistanke om, at profilen var en komplet opspind, der udtrykkeligt var skabt for at vildlede dem. Den fejlagtige tro, at hver venneanmodning er kommet fra en rigtig person, kan få folk til at acceptere venneanmodninger blot for at være høflige og ikke såre en andens følelser – selv om de ikke er sikre på, at de kender personen.

Dertil kommer, at næsten alle brugere af sociale medier beslutter, om de vil acceptere en forbindelse på baggrund af nogle få nøgleelementer i forespørgerens profil – først og fremmest hvor mange venner personen har, og hvor mange gensidige forbindelser der er. Jeg fandt ud af, at folk, der allerede har mange forbindelser, er endnu mindre kræsne og godkender næsten alle anmodninger, der kommer ind. Så selv en helt ny profil giver nogle ofre. Og med hver ny forbindelse virker den falske profil mere realistisk og har flere fælles venner med andre. Denne kaskade af ofre er den måde, hvorpå falske profiler får legitimitet og bliver vidt udbredt.

Den kan sprede sig hurtigt, fordi de fleste sociale medier er designet til at få brugerne til at vende tilbage, og de er vant til at tjekke notifikationer og reagere straks på anmodninger om forbindelse. Denne tendens er endnu mere udtalt på smartphones – hvilket kan forklare, hvorfor brugere, der tilgår sociale medier på smartphones, er betydeligt mere tilbøjelige til at acceptere falske profilanmodninger end brugere af stationære eller bærbare computere.

Illusioner om sikkerhed

Og brugerne kan tro, at de er mere sikre, end de faktisk er, idet de fejlagtigt antager, at en platforms privatlivsindstillinger vil beskytte dem mod falske profiler. Mange brugere har f.eks. fortalt mig, at de tror, at Facebooks kontroller for at give forskellige adgangsrettigheder til venner i forhold til andre også beskytter dem mod falske personer. På samme måde fortalte mange LinkedIn-brugere mig også, at de tror, at fordi de kun offentliggør professionelle oplysninger, er de potentielle konsekvenser af at acceptere falske forbindelser på LinkedIn begrænset.

Men det er en fejlagtig antagelse: Hackere kan bruge alle oplysninger, der er indsamlet fra enhver platform. Hvis de f.eks. blot ved, at de på LinkedIn ved, at en person arbejder i en virksomhed, kan de lave e-mails til den pågældende person eller andre i virksomheden. Desuden bringer brugere, der uforsigtigt accepterer anmodninger i den antagelse, at deres privatlivsindstillinger beskytter dem, andre forbindelser i fare, som ikke har indstillet deres indstillinger lige så højt.

Søger løsninger

At bruge sociale medier på en sikker måde betyder, at man skal lære at opdage falske profiler og bruge privatlivsindstillingerne korrekt. Der er mange onlinekilder til rådgivning – herunder platformenes egne hjælpesider. Men alt for ofte er det overladt til brugerne at informere sig selv, som regel efter at de allerede er blevet ofre for et svindelnummer på de sociale medier – som altid begynder med at acceptere en falsk anmodning.

Voksne bør lære – og lære børn – hvordan de skal undersøge forbindelsesanmodninger omhyggeligt for at beskytte deres enheder, profiler og indlæg mod nysgerrige blikke og dem selv mod at blive manipuleret på ondsindet vis. Det omfatter gennemgang af forbindelsesanmodninger i distraktionsfrie perioder af dagen og brug af en computer i stedet for en smartphone til at tjekke potentielle forbindelser. Det indebærer også at identificere, hvilke af deres faktiske venner der har en tendens til at acceptere næsten alle venneanmodninger fra hvem som helst, hvilket gør dem til svage led i det sociale netværk.

Dette er steder, hvor virksomheder, der udbyder sociale medieplatforme, kan hjælpe. De er allerede i gang med at skabe mekanismer til at spore app-brug og til at sætte notifikationer på pause, så folk undgår at blive oversvømmet eller at skulle reagere konstant. Det er en god start – men de kunne gøre mere.

De sociale medier kunne f.eks. vise brugerne indikatorer for, hvor mange af deres forbindelser der er inaktive i lange perioder, så de kan hjælpe folk med at rense deres vennetværk fra tid til anden. De kunne også vise, hvilke forbindelser der pludselig har fået et stort antal venner, og hvilke forbindelser der accepterer usædvanligt mange venneanmodninger.

Sociale medievirksomheder skal gøre mere for at hjælpe brugerne med at identificere og rapportere potentielt falske profiler og supplere deres eget personale og automatiserede indsats. De sociale mediesider skal også kommunikere med hinanden. Mange falske profiler genbruges på tværs af forskellige sociale netværk. Men hvis Facebook blokerer en falskner, er det ikke sikkert, at Twitter gør det. Når et websted blokerer en profil, bør det sende vigtige oplysninger – f.eks. profilens navn og e-mail-adresse – til andre platforme, så de kan undersøge og eventuelt blokere for svindlen også der.