11/05/2017

Aplikacja Tinder: niesamowity świat botów

Bezpieczeństwo Informacje Prywatność

Jak myślisz, jaki jest współczynnik klikalności łączy otrzymanych przez mężczyzn w wiadomościach aplikacji randkowych od atrakcyjnych kobiet? Zgadnij — 1%? 5%? 15%? Według badania przeprowadzonego przez Inbar Raz z PerimeterX wynosi on aż 70%! Dwóch z trzech mężczyzn klika te odnośniki, co bez wątpienia czyni to najlepszym współczynnikiem konwersji na świecie. A teraz zgadnij, czy takie klikanie może mieć jakieś negatywne konsekwencje…

Inbar Raz rozpoczął swoje badanie od  utworzenia idealnego profilu w aplikacji Tinder. Co ciekawe, temat ten jest już dobrze zbadany (pod kątem matematycznym). W tej kwestii istnieje wiele specjalnych poradników, a pomóc może nawet wywiad z dyrektorem generalnym Tindera, Seanem Ridem, w którym opisuje on, jakiego rodzaju zdjęcia mogą dać najlepiej dopasowane wyniki. Oto krótka lista rodzajów fotografii, które przynoszą  najlepsze efekty:

  • zdjęcie wykonane przez zawodowego fotografa,
  • zdjęcie ze zwierzęciem,
  • zdjęcie podczas aktywności sportowej lub związane z czyimś zainteresowaniem,
  • zdjęcie w oficjalnej sytuacji lub podczas pracy,
  • zdjęcie przedstawiające niezbyt poważną sytuację lub coś kreatywnego.

Miłość od pierwszego wejrzenia

Około rok temu Raz pojechał do Kopenhagi (Dania), aby wystąpić na konferencji poświęconej bezpieczeństwu. Po przybyciu włączył Tindera i w ciągu godziny znalazł osiem najlepiej dopasowanych pięknych kobiet. Jedna z nich wysłała mu wiadomość w języku duńskim, umieszczając na końcu łącze. Było też wiele innych wyników, a także wiele wiadomości — były one niemal identyczne, a różniły je tylko cztery ostatnie znaki w dołączonym odnośniku.

Raz zaczął podejrzewać, że te pięknie kobiety mogą w rzeczywistości być botami, i postanowił się im przyjrzeć. Najpierw zauważył, że wśród proponowanych 57 kobiet powtarzało się aż 29 miejsc edukacji, 26 miejsc pracy i 11 zawodów — większość z nich twierdziła, że jest modelkami. Co więcej, chociaż prawie wszystkie boty (poza jednym) wskazywały jako miejsce nauki Danię, miejscem ich zatrudnienia była Wielka Brytania, a przeważnie Londyn.

Później Raz sprawdził informacje profilowe swoich wyników. Okazało się, że są to kombinacje skradzionych tożsamości: choć łącza prowadziły do kont na Facebooku i Instagramie, różniły je imiona i zdjęcia profilowe ustawione w aplikacji Tinder.

Poznać boty lepiej

Minęło kilka miesięcy, a Inbar Raz pojechał na kolejną konferencję bezpieczeństwa, tym razem w Denver (Kolorado). Zgadnij, co? Dostał kolejny zestaw najlepiej dopasowanych kobiet wg Tindera, których większość także była fałszywa. Niektóre z proponowanych znajomości w Denver były bardziej zaawansowanymi botami czatowymi — nie wysyłały od razu podejrzanych łączy, lecz próbowały najpierw zagadnąć. Raz zadał im więc skomplikowane pytania, aby sprawdzić ich możliwości. Jak się okazało, szału nie było: czaty były skryptami napisanymi „na sztywno” — bez względu na to, jakie pytania zadawał nasz badacz i jakich odpowiedzi udzielał. Oczywiście wszystkie rozmowy kończyły się propozycją skorzystania ze Skype’a lub kliknięcia łącza.

Tym razem Raz postanowił sprawdzić łącza wysyłane przez boty. Prowadziły one do stron, które kierowały do innych witryn, które kierowały jeszcze dalej. W miejscu docelowym widniał napis w stylu „To NIE JEST strona randkowa” oraz informacja, że odwiedzający obejrzy za chwilę zdjęcia nagich osób i jest proszony o zachowanie dyskrecji. Cokolwiek oznacza dyskrecja w takich okolicznościach.

Kilka miesięcy później Raz był uczestnikiem kolejnej konferencji, Chaos Communication Congress w Hamburgu (Niemcy). Tym razem jeden z jego botowych wyników miał w swoim profilu uzupełnione łącze, które prowadziło do strony opisanej jako Lepsza niż Tinder (ang. „Better than Tinder”), a na stronie głównej wyświetlane były zdjęcia nagich osób.

Poszukując mistrza marionetek

Miesiąc później Raz pojechał na kolejną konferencję, do Austin (Teksas). Włączył Tindera i pojawiły się kolejne propozycje. Po swoim poprzednim doświadczeniu Raz nie miał żadnych oczekiwań i był przekonany, że są to boty. Dlatego czatując z innym botem, nawet nie podejrzewał, że rozmawia z prawdziwym człowiekiem. Tak naprawdę rozmowa również przebiegała zgodnie ze skryptem, a na końcu Raz trzymał zaproszenie do kontynuowania jej z juicyyy768 przez program Skype.

Nazwa konta przypomniała mu bota, który zaprosił go do kontaktu poprzez Skype’a, gdy był w Denver — nazwa miała tę samą formułę: słowo miało powtórzone kilka razy ostatnie litery i trzy cyfry na końcu. Raz utworzył jednorazowe konto Skype i porozmawiał z botem. Po kolejnym dialogu opartym na skrypcie bot poprosił Raza, aby ten utworzył konto na stronie udostępniającej zdjęcia. Okazało się, że trzeba było podać na niej numer karty kredytowej. Pewnie domyślasz się, co mogło być dalej.

Następnie Raz próbował zbadać infrastrukturę imperium bota. Sprawdził adresy IP jednej ze stron, do której otrzymał łącze w jednej z pierwszych rozmów z botami Tinder. Lista podejrzanych nazw domen była powiązana z adresami IP. Nazwy domen nawiązywały do tematu seksu, Tindera itp. Badacz zaczął sprawdzać informacje dla tych domen, ale większość z nich była zarejestrowana anonimowo.

Jednak przejrzenie wszystkich 61 domen pozwoliło uzyskać nieco więcej informacji. Część z nich była zarejestrowana na różne sposoby, w kilku przypadkach podczas rejestracji podano niektóre informacje, w tym imię, numer telefonu, adres (Marsylia, Francja), a także adres e-mail. Wszystko to było fałszywe, ale Raz wpadł na nowy trop i spróbował skojarzyć fakty.

Korzystając ze strony Scamadviser.com, która sprawdza, czy daną stronę można bezpiecznie kupić, Raz połączył kampanie botów z różnych miast zlokalizowanych na różnych kontynentach z tym samym adresem e-mail, *****752@gmail.com, który uzyskał z informacji rejestracyjnych domeny. Właściciel tego adresu używa kilku fałszywych imion, numerów telefonów i adresów. Elementami wspólnymi był adres w Marsylii i formuła nadawania nicków: słowo plus trzy cyfry. Raz nie odnalazł prawdziwej tożsamości oszusta; niestety, ktokolwiek to jest, dobrze się ukrywa.

Później Raz zaczął korzystać z innej platformy, OkCupid, aby sprawdzić, czy na niej także znajdzie jakieś boty. Nie zawiódł się. Nie były tak dobrze przygotowane jak boty Tindera, a strony, do których prowadziły, nie wyglądały zbyt profesjonalnie. Jak pokazało dalsze badanie, osoba stojąca za tym małym imperium botów nie była także tak dobra w bezpieczeństwie operacyjnym jak *****752. Po sprawdzeniu wielu stron Raz odkrył najpierw adres e-mail, a następnie imię oszusta, a nawet jego prawdziwe konto w serwisie Facebook, gdzie na zdjęciu trzyma plik pieniędzy.

Nie obawiaj się Tindera

Powiedzmy to sobie wprost: w aplikacji Tinder można natrafić na bota — i co z tego? Cóż, one nie tylko marnują Twój czas czy dają nadzieję na próżno. Najgorsze jest to, że nakłaniają na podanie danych karty kredytowej. A współczynnik klikalności wysyłanych przez nich łączy jest zadziwiająco wysoki, o czym wspomniałem na początku tego posta. Oznacza to, że wielu mężczyzn odwiedza te strony, a część z nich wprowadza tam nawet swoje dane bankowości — poszukując kobiety dla siebie idealnej.

Nie chodzi tu o to, aby nie używać aplikacji Tinder, OkCupid czy jakiejś innej do celów umawiania się na randki. Chodzi tu wyłącznie o to, aby być czujnym i ostrożnym.

  1. Nie klikaj żadnych łączy otrzymanych od osób obcych. Nie ma rozsądnego powodu, aby ktoś wysyłał Ci łącze. Sprawdzaj informacje profilowe. Jeśli łącze nowej propozycji znajomości prowadzi do profilu, na którym widnieje inne imię, coś jest nie tak.
  2. Bądź ostrożny. Boty są niemal wszędzie w internecie. Na chwilę obecną nie są one zbytnio dopracowane, więc łatwo je odróżnić od prawdziwej osoby. Nie trać głowy, gdy otrzymasz propozycję idealnie dopasowanego partnera. Możesz na przykład spróbować zmienić temat i zobaczyć, jak potoczy się dalsza rozmowa.
  3. Nie twórz botów. Poczytaj nasze informacje na temat phishingu, aby dowiedzieć się więcej o trikach używanych przez oszustów.