De eerste stap bij het voeren van online propaganda- en desinformatiecampagnes is bijna altijd een nepprofiel op sociale media. Namaakprofielen van niet-bestaande personen dringen binnen in de sociale netwerken van echte mensen, waar ze hun onwaarheden kunnen verspreiden. Maar noch socialemediabedrijven noch technologische innovaties bieden betrouwbare manieren om socialemediaprofielen te identificeren en te verwijderen die geen echte authentieke mensen vertegenwoordigen.

Het klinkt misschien positief dat Facebook gedurende zes maanden eind 2017 en begin 2018 ongeveer 1,3 miljard nepaccounts heeft gedetecteerd en opgeschort. Maar naar schatting 3 tot 4 procent van de accounts die overblijven, of ongeveer 66 miljoen tot 88 miljoen profielen, zijn ook nep maar zijn nog niet gedetecteerd. Evenzo zijn schattingen dat 9 tot 15 procent van de 336 miljoen accounts van Twitter nep zijn.

Nepprofielen zijn er niet alleen op Facebook en Twitter, en ze zijn niet alleen gericht op mensen in de VS. In december 2017 waarschuwden Duitse inlichtingendiensten dat Chinese agenten die nep LinkedIn-profielen gebruikten, het gemunt hadden op meer dan 10.000 Duitse overheidsmedewerkers. En medio augustus meldde het Israëlische leger dat Hamas nepprofielen op Facebook, Instagram en WhatsApp gebruikte om Israëlische soldaten te verleiden tot het downloaden van kwaadaardige software.

Hoewel sociale-mediabedrijven zijn begonnen met het inhuren van meer mensen en het gebruik van kunstmatige intelligentie om nepprofielen te detecteren, zal dat niet genoeg zijn om elk profiel op tijd te beoordelen om het misbruik ervan te stoppen. Zoals mijn onderzoek uitwijst, is het probleem eigenlijk niet dat mensen – en algoritmes – online nepprofielen creëren. Wat er echt mis is, is dat andere mensen erin trappen.

Mijn onderzoek naar waarom zoveel gebruikers moeite hebben met het herkennen van nepprofielen heeft een aantal manieren geïdentificeerd waarop mensen beter kunnen worden in het identificeren van nepaccounts – en wijst op een aantal plaatsen waar technologiebedrijven kunnen helpen.

Mensen trappen in nepprofielen

Om de denkprocessen van sociale-mediagebruikers te begrijpen, heb ik nepprofielen op Facebook gemaakt en vriendschapsverzoeken verzonden naar 141 studenten van een grote universiteit. Elk van de nepprofielen verschilde op een bepaalde manier – zoals het hebben van veel of weinig nepvrienden, of dat er een profielfoto bij zat. Het idee was om uit te zoeken of het ene of het andere type profiel het meest succesvol was om door echte gebruikers als connectie geaccepteerd te worden – en vervolgens de om de tuin geleidde mensen te ondervragen om erachter te komen hoe dat gebeurde.

Ik ontdekte dat slechts 30 procent van de beoogde mensen het verzoek van een neppersoon afwees. Toen ik twee weken later werd ondervraagd, overwoog 52 procent van de gebruikers nog steeds het verzoek goed te keuren. Bijna een op de vijf – 18 procent – had het verzoek meteen geaccepteerd. Van degenen die het verzoek hadden geaccepteerd, had 15 procent gereageerd op vragen van het nepprofiel met persoonlijke informatie, zoals hun huisadres, hun studentidentificatienummer en hun beschikbaarheid voor een deeltijdstage. Nog eens 40 procent van hen overwoog privégegevens prijs te geven.

Maar waarom?

Toen ik de echte mensen interviewde op wie mijn nepprofielen zich hadden gericht, was het belangrijkste dat ik ontdekte dat gebruikers fundamenteel geloven dat er een persoon achter elk profiel zit. Mensen vertelden me dat ze dachten dat het profiel toebehoorde aan iemand die ze kenden, of mogelijk aan iemand die een vriend kende. Niet één persoon had ooit het vermoeden dat het profiel een compleet verzinsel was, speciaal gemaakt om hen te misleiden. De vergissing te denken dat elk vriendschapsverzoek van een echte persoon afkomstig is, kan ertoe leiden dat mensen vriendschapsverzoeken gewoon accepteren om beleefd te zijn en de gevoelens van iemand anders niet te kwetsen – zelfs als ze niet zeker weten of ze de persoon kennen.

Daarnaast beslissen bijna alle gebruikers van sociale media of ze een verbinding accepteren op basis van een paar belangrijke elementen in het profiel van de aanvrager – voornamelijk hoeveel vrienden de persoon heeft en hoeveel wederzijdse connecties er zijn. Ik ontdekte dat mensen die al veel connecties hebben nog minder kritisch zijn en bijna elk verzoek goedkeuren dat binnenkomt. Dus zelfs een gloednieuw profiel levert een aantal slachtoffers op. En met elke nieuwe connectie lijkt het valse profiel realistischer, en heeft het meer gemeenschappelijke vrienden met anderen. Deze cascade van slachtoffers is hoe nepprofielen legitimiteit verwerven en wijdverspreid raken.

De verspreiding kan snel gaan omdat de meeste sociale mediasites zijn ontworpen om gebruikers terug te laten komen, meldingen te controleren en onmiddellijk te reageren op verbindingsverzoeken. Die neiging is nog sterker op smartphones – wat kan verklaren waarom gebruikers die sociale media op smartphones bezoeken, significant vaker nepprofielverzoeken accepteren dan gebruikers van een desktop of laptop.

Illusies van veiligheid

En gebruikers kunnen denken dat ze veiliger zijn dan ze in werkelijkheid zijn, door er ten onrechte van uit te gaan dat de privacyinstellingen van een platform hen beschermen tegen nepprofielen. Veel gebruikers vertelden me bijvoorbeeld dat ze denken dat de controlemechanismen van Facebook om vrienden een andere toegang te geven dan anderen, hen ook beschermen tegen fakers. Evenzo vertelden veel LinkedIn-gebruikers me dat ze geloven dat, omdat ze alleen professionele informatie plaatsen, de potentiële gevolgen voor het accepteren van malafide connecties op LinkedIn beperkt zijn.

Maar dat is een onjuiste veronderstelling: Hackers kunnen alle informatie van elk platform gebruiken. Als ze bijvoorbeeld op LinkedIn weten dat iemand bij een bepaald bedrijf werkt, kunnen ze e-mails naar die persoon of anderen bij het bedrijf sturen. Bovendien brengen gebruikers die achteloos verzoeken accepteren in de veronderstelling dat hun privacycontroles hen beschermen, andere connecties in gevaar die hun controles niet zo hoog hebben ingesteld.

Oplossingen zoeken

Het veilig gebruiken van sociale media betekent leren hoe je nepprofielen kunt herkennen en de privacyinstellingen goed kunt gebruiken. Er zijn tal van online bronnen voor advies, waaronder de eigen hulppagina’s van de platforms. Maar al te vaak wordt het aan gebruikers overgelaten om zichzelf te informeren, meestal nadat ze al slachtoffer zijn geworden van een zwendel via sociale media – wat altijd begint met het accepteren van een nepverzoek.

Volwassenen moeten leren – en kinderen leren – hoe ze verbindingsverzoeken zorgvuldig kunnen onderzoeken om hun apparaten, profielen en berichten te beschermen tegen nieuwsgierige ogen, en zichzelf tegen kwaadwillige manipulatie. Dat betekent onder meer dat verbindingsverzoeken moeten worden bekeken tijdens afleidingsvrije perioden van de dag en dat een computer in plaats van een smartphone moet worden gebruikt om potentiële connecties te controleren. Het gaat ook om het identificeren welke van hun werkelijke vrienden de neiging hebben om bijna elk vriendschapsverzoek van wie dan ook te accepteren, waardoor ze zwakke schakels in het sociale netwerk worden.

Dit zijn plaatsen waar bedrijven van sociale-mediaplatforms kunnen helpen. Ze creëren al mechanismen om app-gebruik te volgen en om meldingen te pauzeren, zodat mensen niet worden overspoeld of voortdurend moeten reageren. Dat is een goed begin – maar ze zouden meer kunnen doen.

Social media-sites zouden gebruikers bijvoorbeeld indicatoren kunnen laten zien van hoeveel van hun connecties gedurende lange perioden inactief zijn, zodat mensen hun vriendennetwerken van tijd tot tijd kunnen zuiveren. Ze zouden ook kunnen laten zien welke connecties plotseling grote aantallen vrienden hebben verworven, en welke connecties ongewoon hoge percentages vriendverzoeken accepteren.

Socialemediabedrijven moeten meer doen om gebruikers te helpen potentieel nepprofielen te identificeren en te rapporteren, door hun eigen personeel en geautomatiseerde inspanningen te vergroten. Sociale-mediasites moeten ook met elkaar communiceren. Veel nepprofielen worden hergebruikt op verschillende sociale netwerken. Maar als Facebook een vervalser blokkeert, doet Twitter dat misschien niet. Wanneer een site een profiel blokkeert, moet hij belangrijke informatie – zoals de naam en het e-mailadres van het profiel – naar andere platforms sturen, zodat zij de fraude ook daar kunnen onderzoeken en mogelijk blokkeren.