Исследование

Цифровой маркетинг — новый спам?

В тот самый день, когда в Бостоне произошел взрыв, я как раз направлялся на SourceConference. Трудно описать свои чувства по прибытии в город. Как сказал президент Обама в своем обращении к жителям Бостона: «Вы будете бегать снова». Мои искренние соболезнования, друзья.

В своей презентации на конференции Source я рассказывал о мошенничестве в Твиттере. В последнее время мы встречаем в этой социальной сети довольно много спам-ботов – как тех, которые наугад рассылают незапрошенные сообщения другим пользователям, так и тех, что проводят предварительный семантический анализ ваших твитов, чтобы затем осуществить целенаправленную атаку.

Twitter довольно легко распознает такие боты и оперативно их блокирует, но они также легко появляются вновь. Так, например, во время одной из кампаний по рассылке порнографии использовалось свыше 5000 активных ботов, причем ежедневно создавалось 250 новых. Для некоторых кампаний период существования поддельных аккаунтов ограничивается 45 минутами. Разумеется, подобные боты действуют отнюдь не в интересах страдающих от спама пользователей, но они также не на руку и самой социальной сети.

Интересно, что многие компании предлагают услуги спам-ботов, называя их деятельность «цифровой социальной рекламой». Ниже показано, как одни и те же профили используются снова и снова – меняется лишь описание профиля и фото, что позволяет избежать обнаружения и подстроиться под нужды очередной кампании.

Несколько ботов использовали в профиле эту фотографию:

А вот те же боты неделю спустя:

Многие боты используют общепринятую лексику в публикуемых твитах – в отличие от рассылаемых ими спам-сообщений. Таким образом они пытаются замаскироваться под обычных пользователей. Однако это облегчает их обнаружение, поэтому злоумышленники придумывают новые способы обхода защиты, основанной на семантическом анализе. В частности, они используют в сообщениях слова, которые обычно игнорируются любым семантическим анализатором. Вот несколько реальных примеров:

  • if its do you me your my do it my be find is but on are its rt that was
  • I a me at get out your they on rt if I get rt can a
  • u you rt find in I that that your my my find one you so is is my you this but get all a one its it

Некоторые из этих кампаний не ограничиваются Twitter, но нацелены также на пользователей других социальных сетей, в том числе Facebook. Например, кампания job-deals.com (активна с начала апреля) по большей части затрагивает Twitter, но список сайтов, с которых пользователи приходят и на которые переходят сразу после посещения job-deals.com, по данным Alexa, говорит о том, что пострадали и пользователи Facebook:

Для пользователей такие боты – не просто досадная помеха; они могут представлять реальную угрозу, когда применяются для рассылки кое-чего посерьезнее спама. Еще большее беспокойство вызывает тот факт, что часто в таких кампаниях используются взломанные аккаунты, что увеличивает шансы на прочтение такого твита получателем, поскольку он верит, что сообщение пришло от друга. В ходе одной из недавних кампаний этот метод применялся для кражи аккаунтов при помощи крайне «оригинального» сообщения «LOL, твоя прикольная фотка» со ссылкой, ведущей на вредоносный сайт:

Для этой кампании в Twitter было использовано несколько доменов, и мы видим, что она также затронула другие социальные сети:

Мошенничество в социальных сетях встречается сплошь и рядом. Например, Twitter используется для распространения вредоносных программ и для управления ими, а также в интересах хактивистов, как недавно в случае с выборами в Венесуэле:

Про все это можно говорить очень долго, но для блогпоста пока достаточно. Если вам интересна тема мошенничества в Twitter и то, как обучить компьютер идентифицировать подобные вредоносные профили, вы можете посмотреть мою презентацию:

Цифровой маркетинг — новый спам?

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике