16/05/2019

Identyfikowanie botów publikujących fałszywe informacje

Post dniaProjekt specjalny

Posiadanie odpowiednich informacji we właściwym momencie może Cię wzbogacić lub uratować Ci życie. Niestety dziś świat informacji zalewają fałszywe wiadomości. Ludzie coraz częściej robią karierę na preparowaniu fałszywych informacji i rozprzestrzenianiu ich w internecie. Ale to nie wszystko: aby osiągnąć jak największy efekt, oprócz prawdziwych osób branża ta wykorzystuje także tysiące botów utworzonych pod kątem mediów społecznościowych. Na tegorocznym spotkaniu Security Analyst Summit badacze z firmy Recorded Future omówili sposoby ich identyfikowania.

Dlaczego boty tworzące fałszywe informacje są problemem

Nikt nie lubi botów, ale chyba najbardziej nie cierpią ich właściciele mediów społecznościowych, bo zmniejszają atrakcyjność tych popularnych sieci. Na przykład serwis Twitter co jakiś czas identyfikuje i blokuje działające na masową skalę boty, a wtedy użytkownicy narzekają na spadek obserwujących. Oznacza to, że sieci społecznościowe mają własne sposoby wykrywania botów. Jednak ich starania nie wystarczą, aby całkowicie wyeliminować te sztuczne twory.

Sieci społecznościowe nie ujawniają swoich algorytmów, lecz można założyć, że rozpoznają nietypowe zachowanie. Najbardziej oczywisty przykład: jeśli jakieś konto próbuje opublikować setki postów w ciągu minuty, z pewnością jest to bot. Albo inny przykład: konto tylko przesyła dalej tweety, a samodzielnie niczego nie publikuje.

Nietrudno się domyśleć, że autorzy botów nieustannie je modyfikują, tak aby potrafiły one ominąć techniki wykrywania stosowane przez media społecznościowe. Te z kolei nie mogą sobie pozwolić na zbyt wiele fałszywych alarmów — przypadkowe zablokowanie wielu prawdziwych osób z pewnością wywoła oburzenie, więc należy zachować ostrożność. w efekcie pewna liczba botów pozostaje niewykryta.

Aby sprawdzić, jak działają boty, organizacja Recorded Future wybrała cechę charakterystyczną, która mogłaby wskazywać na to, że ma do czynienia z pewną grupą botów — w tym przypadku chodziło o wydarzenia terrorystyczne, które są opisywane wyłącznie na Twitterze. Jeśli dane konto tak właśnie działa, prawdopodobnie jest to bot (lub bot przesyłający dalej). Spójrzmy, co jeszcze mają wspólnego takie konta.

Czym cechuje się działanie botów publikujących fałszywe informacje

Po pierwsze, wydarzenia terrorystyczne, o których wspominały te konta, są prawdziwe, a opisujące je artykuły zostały opublikowane na uznanych stronach internetowych (które nie rozpowszechniają fałszywych informacji). Jest jednak pewien mały, choć istotny szczegół: wydarzenia te miały miejsce w zeszłym roku, lecz konta o tym nie wspomniały. Umieszczanie odnośników do znanych mediów sprawia, że używane przez serwis Twitter algorytmy wykrywania botów nie aktywują się, co z kolei zachęca osoby tworzące boty do stosowania tej strategii.

Po drugie, w przypadku tej właśnie sieci botów właściciele kont byli teoretycznie mieszkańcami Stanów Zjednoczonych, a mimo to przeważnie poruszali tematy związane z krajami europejskimi. Dostrzeżenie tego faktu umożliwiło badaczom z Recorded Future zidentyfikowanie ponad 200 kont, które czyniły podobnie, dzięki czemu znaleźli inne podobieństwa i powiązania.

Na przykład badacze przygotowali wzorzec aktywności i odkryli, że wiele z tych botów było aktywnych jedynie w określonym, tym samym czasie. Niektóre konta zostały zablokowane w maju tego roku, lecz od razu powstały nowe, wykazujące takie samo zachowanie (niestety nadal działają).

Innym podobieństwem jest fakt, że wszystkie te konta wykorzystywały wiele narzędzi służących do skracania adresów w celu publikowania swoich nie do końca fałszywych informacji. Osobom stojącym za botami skracacze adresów dostarczały analizy — na przykład mogli oni dowiedzieć się, ile razy dane łącze zostało kliknięte. Co więcej, nie były to zwykłe skracacze, których używa wielu z nas — narzędzia te były niedostępne publicznie i zostały utworzone wyłącznie w celu gromadzenia analiz. Nawiasem mówiąc, wszystkie te skracacze mają zaskakująco podobny wygląd: pomarańczowo-białą kolorystykę. Korzystanie z tych skracaczy również było elementem łączącym te konta.

Według zawartych w serwisie WHOIS danych dla stron internetowych, na których znajdują się wspomniane skracacze, znajdują się one w platformie chmurowej Microsoft Azure i zostały zarejestrowane anonimowo. Przypadek? Prawdopodobnie nie. Chociaż między tymi kontami istnieje więcej podobieństw, same kampanie różnią się. Ogólnie można jednak założyć, że sprawdzenie jednego konta bota, wyszukanie nietypowych cech charakterystycznych oraz odnalezienie pozostałych kont z tymi cechami to skuteczny sposób na zidentyfikowanie sieci botów.

Cechy wskazujące na boty publikujące fałszywe informacje

Przygotowaliśmy listę cech typowych dla botów. Konta użyte w jednej sieci lub kampanii zwykle mają kilka cech wspólnych. A zatem, konta w obrębie tej samej strony mediów społecznościowych są prawdopodobnie botami, jeśli:

  • mają podobieństwa w nazwach,
  • zostały utworzone w tym samym momencie,
  • udostępniają łącza do tych samych stron,
  • używają tych samych zwrotów,
  • popełniają te same błędy gramatyczne,
  • obserwują wzajemnie siebie lub podobne konta,
  • używają tych samych narzędzi typu skracacze adresów,
  • są aktywne tylko w określonym czasie,
  • mają podobną historię,
  • jako awatarów używają zdjęć ogólnodostępnych lub twarzy innych osób (łatwo to wyszukać w Google).

Oczywiście nie oznacza to, że gdy kilka kont ma jedną cechę wspólną, należy uznać je za boty. Ale jeśli mają wspólnego coś więcej (albo, aby uniknąć fałszywych alarmów, cech tych jest więcej niż 4 czy 5), istnieje wysokie prawdopodobieństwo, że to kolejna sieć botów w mediach społecznościowych.

Majsterkowicz, krawiec, żołnierz, bot

Badanie przeprowadzone przez zespół Recorded Future pokazuje, że analiza behawioralna może pomóc w identyfikowaniu botów. Badacze identyfikują boty, dostrzegają w ich zachowaniu coś nietypowego, a następnie wyszukują inne konta, które zachowują się w ten sam sposób. Dzięki temu mogą identyfikować pozostałe boty, znajdować inne podobieństwa, dodawać je do swoich kryteriów wyszukiwania i identyfikować kolejne konta używane w prowadzonych równolegle kampaniach.

Oczywiście to nieustanna praca, która prawdopodobnie nigdy się nie skończy, ponieważ każdego dnia pojawiają się nowe boty, które mają własne wzorce zachowania. Chociaż niemożliwe jest zidentyfikowanie wszystkich botów na podstawie tylko jednego zestawu zasad zachowania, korzystanie z analizy behawioralnej pomaga zidentyfikować wszystkie elementy określonej sieci botów — i pomaga stronom mediów społecznościowych w ich blokowaniu, dzięki czemu są przyjaźniejsze dla prawdziwych użytkowników.

Oczywiście każda osoba w mediach społecznościowych powinna widzieć, że boty istnieją, jest ich mnóstwo i nie wolno im wierzyć.