Det första steget för att bedriva propaganda och desinformationskampanjer på nätet är nästan alltid en falsk profil i sociala medier. Falska profiler för obefintliga personer slingrar sig in i riktiga människors sociala nätverk, där de kan sprida sina osanningar. Men varken företag inom sociala medier eller tekniska innovationer erbjuder tillförlitliga sätt att identifiera och ta bort profiler i sociala medier som inte representerar verkliga autentiska människor.

Det kan låta positivt att Facebook under sex månader i slutet av 2017 och början av 2018 upptäckte och stängde av cirka 1,3 miljarder falska konton. Men uppskattningsvis 3-4 procent av de konton som finns kvar, eller cirka 66-88 miljoner profiler, är också falska men har ännu inte upptäckts. På samma sätt uppskattas det att 9 till 15 procent av Twitters 336 miljoner konton är falska.

Falska profiler finns inte bara på Facebook och Twitter, och de riktar sig inte bara mot människor i USA. I december 2017 varnade tyska underrättelsetjänstemän för att kinesiska agenter som använde sig av falska LinkedIn-profiler riktade sig mot mer än 10 000 tyska regeringsanställda. Och i mitten av augusti rapporterade den israeliska militären att Hamas använde falska profiler på Facebook, Instagram och WhatsApp för att lura israeliska soldater att ladda ner skadlig programvara.

Och även om företagen inom sociala medier har börjat anställa fler personer och använda artificiell intelligens för att upptäcka falska profiler, kommer det inte att räcka för att granska alla profiler i tid för att stoppa deras missbruk. Som min forskning utforskar är problemet egentligen inte att människor – och algoritmer – skapar falska profiler på nätet. Det som verkligen är fel är att andra människor faller för dem.

Min forskning om varför så många användare har svårt att upptäcka falska profiler har identifierat några sätt på vilka människor kan bli bättre på att identifiera falska konton – och belyser några ställen där teknikföretag kan hjälpa till.

Människor faller för falska profiler

För att förstå användarnas tankeprocesser i sociala medier skapade jag falska profiler på Facebook och skickade ut vänförfrågningar till 141 studenter vid ett stort universitet. Var och en av de falska profilerna varierade på något sätt – till exempel hade de många eller få falska vänner, eller om det fanns ett profilfoto. Tanken var att ta reda på om den ena eller andra typen av profil var mest framgångsrik när det gällde att bli accepterad som en anslutning av riktiga användare – och sedan undersöka de lurade personerna för att ta reda på hur det gick till.

Jag fann att endast 30 procent av målgrupperna avvisade en förfrågan från en falsk person. När de tillfrågades två veckor senare övervägde 52 procent av användarna fortfarande att godkänna förfrågan. Nästan en av fem – 18 procent – hade godkänt begäran direkt. Av dem som accepterade den hade 15 procent svarat på förfrågningar från den falska profilen med personlig information som deras hemadress, deras studentnummer och deras tillgänglighet för en deltidspraktikplats. Ytterligare 40 procent av dem övervägde att avslöja privata uppgifter.

Men varför?

När jag intervjuade de riktiga personer som mina falska profiler hade riktat in sig på var det viktigaste jag fann att användarna i grunden tror att det finns en person bakom varje profil. Människor berättade för mig att de hade trott att profilen tillhörde någon de kände, eller möjligen någon som en vän kände. Inte en enda person misstänkte någonsin att profilen var ett fullständigt påhitt, uttryckligen skapad för att lura dem. Att felaktigt tro att varje vänförfrågan har kommit från en verklig person kan få människor att acceptera vänförfrågningar helt enkelt för att vara artiga och inte såra någon annans känslor – även om de inte är säkra på att de känner personen.

För övrigt beslutar nästan alla användare av sociala medier om de ska acceptera en förbindelse utifrån några få nyckelelement i förfrågarens profil – främst hur många vänner personen har och hur många ömsesidiga förbindelser som finns. Jag fann att personer som redan har många kontakter är ännu mindre kräsna och godkänner nästan alla förfrågningar som kommer in. Så även en helt ny profil ger upphov till några offer. Och med varje ny anslutning framstår den falska profilen som mer realistisk och har fler gemensamma vänner med andra. Denna kaskad av offer är hur falska profiler får legitimitet och blir allmänt spridda.

Spridningen kan ske snabbt eftersom de flesta sociala medier är utformade för att få användarna att komma tillbaka, att vanligtvis kolla notiser och att svara omedelbart på anslutningsbegäran. Den tendensen är ännu mer uttalad på smartphones – vilket kan förklara varför användare som använder sociala medier på smartphones är betydligt mer benägna att acceptera falska profilförfrågningar än användare av stationära eller bärbara datorer.

Illusioner av säkerhet

Och användarna kan tro att de är säkrare än vad de faktiskt är, genom att felaktigt anta att en plattforms sekretessinställningar kommer att skydda dem från falska profiler. Många användare berättade till exempel för mig att de tror att Facebooks kontroller för att ge olika tillgång till vänner kontra andra också skyddar dem från bluffmakare. På samma sätt berättade många LinkedIn-användare för mig att de tror att eftersom de endast lägger upp yrkesinformation är de potentiella konsekvenserna av att acceptera oseriösa kontakter på LinkedIn begränsade.

Men det är ett felaktigt antagande: Hackare kan använda vilken information som helst från vilken plattform som helst. Att bara veta på LinkedIn att någon arbetar på något företag hjälper dem till exempel att utforma e-postmeddelanden till personen eller andra på företaget. Användare som slarvigt accepterar förfrågningar i tron att deras sekretesskontroller skyddar dem äventyrar dessutom andra kontakter som inte har ställt in sina kontroller lika högt.

Söka lösningar

Att använda sociala medier på ett säkert sätt innebär att man lär sig hur man upptäcker falska profiler och hur man använder sekretessinställningarna på rätt sätt. Det finns många onlinekällor för råd – inklusive plattformarnas egna hjälpsidor. Men alltför ofta lämnas det till användarna att informera sig själva, vanligtvis efter att de redan har blivit offer för en bluff i sociala medier – som alltid börjar med att acceptera en falsk förfrågan.

Vuxna bör lära sig – och lära barn – hur man noggrant granskar anslutningsförfrågningar för att skydda sina enheter, profiler och inlägg från nyfikna ögon, och sig själva från att bli manipulerade på ett illvilligt sätt. Det innebär bland annat att granska anslutningsförfrågningar under distraktionsfria perioder på dagen och att använda en dator snarare än en smartphone för att kontrollera potentiella anslutningar. Det innebär också att identifiera vilka av deras faktiska vänner som tenderar att acceptera nästan alla vänförfrågningar från vem som helst, vilket gör dem till svaga länkar i det sociala nätverket.

Detta är ställen där företag som tillhandahåller plattformar för sociala medier kan hjälpa till. De skapar redan mekanismer för att spåra appanvändning och för att pausa meddelanden, vilket hjälper människor att undvika att bli översvämmade eller att ständigt behöva reagera. Det är en bra början – men de kan göra mer.

Sajter för sociala medier skulle till exempel kunna visa användarna indikatorer på hur många av deras kontakter som är inaktiva under långa perioder, vilket skulle hjälpa människor att rensa sina vännätverk från tid till annan. De skulle också kunna visa vilka kontakter som plötsligt har fått ett stort antal vänner och vilka som accepterar ovanligt många vänförfrågningar.

Företagen för sociala medier måste göra mer för att hjälpa användarna att identifiera och rapportera potentiellt falska profiler, genom att förstärka sin egen personal och automatiserade insatser. De sociala medierna måste också kommunicera med varandra. Många falska profiler återanvänds i olika sociala nätverk. Men om Facebook blockerar en bedragare kanske Twitter inte gör det. När en webbplats blockerar en profil bör den skicka nyckelinformation – som profilens namn och e-postadress – till andra plattformar så att de kan utreda och eventuellt blockera bedrägeriet även där.