Le spam peut être défini comme des messages non pertinents ou non sollicités envoyés sur Internet. Ceux-ci sont généralement envoyés à un grand nombre d’utilisateurs pour divers cas d’utilisation tels que la publicité, le phishing, la diffusion de logiciels malveillants, etc.
Dans le passé, le spam favorisait le courrier électronique car il s’agissait du principal outil de communication. Les adresses électroniques étaient relativement faciles à récolter via les salons de discussion, les sites Web, les listes de clients et cet impact sur le carnet d’adresses d’un utilisateur. Finalement, les filtres de messagerie sont devenus plus sophistiqués et ont diminué plus efficacement les spams qui encombraient la boîte de réception.
Depuis, les spammeurs sont passés à une nouvelle cible : les applications sociales.
Les faux comptes sont la clé du spam social : Pour gagner en crédibilité, ces faux comptes vont essayer de devenir » amis » ou de suivre des comptes vérifiés, par exemple des célébrités et des personnalités publiques, dans l’espoir que ces comptes se lient d’amitié avec eux ou les suivent en retour. Lorsque des comptes authentiques se lient d’amitié avec des faux comptes ou les suivent en retour, cela légitime le compte et lui permet de mener des activités de spam.
Une autre façon pour les spammeurs d’attaquer est de pirater et de prendre le contrôle du compte d’un utilisateur, en diffusant de faux messages aux suiveurs authentiques de l’utilisateur.
Armé de faux comptes sur des réseaux sociaux ou des applications, les spammeurs peuvent alors mener les activités suivantes :
Messagerie en masse
Des messages avec un texte identique ou similaire peuvent être envoyés à un groupe de personnes dans un court laps de temps. Plusieurs comptes de spam peuvent également poster simultanément des messages dupliqués.
L’utilisation de la messagerie de masse peut provoquer artificiellement la tendance d’un certain sujet si suffisamment de personnes les visitent. En 2009, un site de spam proposant un emploi chez Google a trompé les utilisateurs en leur faisant croire que le site était authentique.
De même, la messagerie de masse peut être utilisée pour diffuser des logiciels malveillants ou de la publicité pour diriger les utilisateurs vers un site.
Diffusion de liens malveillants
Les liens malveillants sont des liens créés dans l’intention de nuire, d’induire en erreur ou d’endommager un utilisateur ou son appareil. Lorsque le lien est cliqué, les activités déclenchées peuvent aller du téléchargement de logiciels malveillants au vol d’informations personnelles.
Ces liens peuvent facilement être diffusés par le biais de commentaires et de messages soumis par les utilisateurs, par exemple des vidéos YouTube. Avec un faux compte sur les médias sociaux, les liens peuvent également être diffusés via des posts ou des messages du compte.
Des avis frauduleux
Les faux avis sont des avis d’utilisateurs qui n’ont jamais réellement utilisé le produit. Divers produits ou services paient généralement plusieurs utilisateurs pour obtenir des avis positifs afin de dynamiser leur offre de produits ou de services.
Avec de faux comptes, les avis peuvent facilement être postés à partir d’un faux personnage, et ceux-ci peuvent être effectués en masse.
Partage de contenu indésirable ou excessif
Les faux comptes peuvent également contacter et partager du contenu injustifié tel que des insultes, des menaces et de la publicité non désirée aux utilisateurs authentiques. Des bots peuvent être configurés pour suivre automatiquement les nouveaux utilisateurs ou envoyer automatiquement des messages aux utilisateurs qui publient du contenu.
Clickbaiting et likejacking
Le clickbaiting est le fait de publier des titres sensationnalistes pour inciter l’utilisateur à cliquer sur le contenu dans le but de générer des revenus publicitaires en ligne. Lorsque l’utilisateur clique sur la page, le contenu n’existe généralement pas ou est radicalement différent de ce que le titre a fait croire.
Leikejacking est le fait de piéger les utilisateurs pour qu’ils publient une mise à jour de statut Facebook pour un certain site sans que l’utilisateur en ait connaissance au préalable ou sans intention. L’utilisateur peut penser qu’il ne fait que visiter une page mais le clic peut déclencher un script en arrière-plan pour partager le lien sur Facebook.
Ceci va ensuite créer un cercle vicieux car d’autres amis de l’utilisateur authentique vont cliquer sur le lien et le partager à d’autres personnes de leur réseau.
Ces activités ont un impact négatif sur l’expérience utilisateur car elles peuvent soit faire perdre du temps et de l’attention à l’utilisateur, soit potentiellement compromettre sa sécurité ou voler ses données. La présence de faux comptes et de spams constitue donc un problème pour les réseaux sociaux, les messageries over-the-top (OTT) et d’autres applications mobiles ou de jeux, car une expérience utilisateur négative peut entraîner l’attrition des utilisateurs, avoir un impact sur le potentiel de monétisation et la valorisation du service.
Bien que les réseaux sociaux commencent à sévir contre les faux comptes et le spam, les spammeurs peuvent facilement créer de nouveaux faux comptes pour poursuivre leurs activités.
Régler les problèmes de spam des médias sociaux
La racine du problème est que la création d’un faux compte dans l’application sociale est incroyablement facile car le processus de vérification de l’identité est facile à contourner. Les méthodes courantes de vérification de l’identité comprennent l’utilisation de la vérification du courrier électronique uniquement et l’utilisation du mot de passe uniquement.
La vérification du courrier électronique uniquement est problématique car un seul utilisateur peut créer de nombreux comptes de courrier électronique en peu de temps, qui peuvent ensuite être utilisés pour créer de faux comptes dans l’application sociale.
Le mot de passe uniquement est également problématique car les spammeurs peuvent utiliser un outil automatisé appelé « vérificateur de compte » pour tester différentes combinaisons de nom d’utilisateur et de mot de passe sur l’application sociale dans l’espoir que quelques-unes fonctionnent pour leur donner accès à ces comptes. sont censés dissuader la création automatisée de comptes, mais ils peuvent être rapidement externalisés pour que les gens les résolvent à peu de frais.
L’utilisation de la vérification téléphonique lors de la création de comptes peut empêcher les spammeurs de créer de faux comptes. Il s’agit d’envoyer un mot de passe à usage unique (OTP) à un utilisateur sur un canal de communication (SMS ou voix) distinct du canal IP (internet) utilisé par l’application sociale.
Si un compte ne peut être créé qu’après que l’utilisateur ait correctement saisi l’OTP dans l’application sociale, cela rendra la création de faux comptes plus fastidieuse.
De plus, les numéros virtuels et portés peuvent être reniflés à l’aide de certaines API comme Number Insight de Nexmo. Par conséquent, cela rend le coût prohibitif pour le spammeur de créer de faux comptes à utiliser à des fins de spamming, car il doit soit investir dans une solution très sophistiquée, soit subir le processus manuel d’obtention d’un numéro de téléphone pour contourner la vérification téléphonique.
La vérification téléphonique est idéale à mettre en œuvre car les numéros de téléphone sont disponibles dans le monde entier et le processus est peu coûteux à mettre en œuvre. Aucun matériel supplémentaire n’est nécessaire puisque la plupart des gens ont un téléphone et une carte SIM de base, et les coûts d’envoi/réception de messages sont faibles.
Les nouveaux utilisateurs peuvent même être embarqués de manière transparente, sans avoir à saisir de code, en vérifiant leur type de numéro de téléphone à l’aide d’un service comme Number Insight de Nexmo. Cela peut également permettre de découvrir les comptes qui tentent de saisir des numéros virtuels, que l’application sociale peut choisir de bloquer.
Une fois que l’utilisateur effectue une action dans l’application sociale, par exemple, mettre à niveau le service, faire le premier post, etc, le mot de passe OTP peut alors être envoyé sur son mobile, effectuant une vérification matérielle.
Pour empêcher les prises de contrôle de comptes, la vérification téléphonique peut également être mise en œuvre pour authentifier la connexion à partir d’un nouvel appareil, d’un nouvel emplacement ou d’une nouvelle adresse IP.
Le spam sur les applications sociales peut véritablement perturber l’expérience utilisateur, la mise en œuvre de la vérification téléphonique peut donc être un moyen efficace de le bloquer.
Lisez la suite : Vos utilisateurs sont-ils ceux qu’ils prétendent être ? Comment le savez-vous ?