Spam kann als irrelevante oder unerwünschte Nachrichten definiert werden, die über das Internet verschickt werden. Diese werden in der Regel an eine große Anzahl von Anwendern für verschiedene Zwecke wie Werbung, Phishing, Verbreitung von Malware usw. gesendet.
In der Vergangenheit wurde Spam bevorzugt per E-Mail verschickt, da dies das primäre Kommunikationsmittel war. E-Mail-Adressen waren relativ einfach über Chatrooms, Websites, Kundenlisten und das Adressbuch eines Anwenders zu sammeln. Mit der Zeit wurden E-Mail-Filter immer ausgefeilter und verhinderten effektiver, dass Spam den Posteingang verstopfte.
Seitdem haben sich Spammer auf ein neues Ziel verlegt: soziale Anwendungen.
Fake-Accounts sind der Schlüssel zum Social Spamming: Um Glaubwürdigkeit zu erlangen, versuchen diese Fake-Accounts, sich mit verifizierten Accounts zu „befreunden“ oder ihnen zu folgen, z.B. mit Prominenten und Personen des öffentlichen Lebens, in der Hoffnung, dass diese Accounts sich mit ihnen anfreunden oder ihnen zurück folgen. Wenn sich echte Konten mit gefälschten Konten anfreunden oder ihnen folgen, legitimiert dies das Konto und ermöglicht es ihm, Spam-Aktivitäten durchzuführen.
Eine weitere Angriffsmöglichkeit für Spammer besteht darin, sich in das Konto eines Benutzers zu hacken und es zu übernehmen, um gefälschte Nachrichten an die echten Follower des Benutzers zu verbreiten.
Mit gefälschten Accounts in sozialen Netzwerken oder Anwendungen ausgestattet, können Spammer dann folgende Aktivitäten durchführen:
Bulk Messaging
Nachrichten mit gleichem oder ähnlichem Text können in kurzer Zeit an eine Gruppe von Personen verschickt werden. Mehrere Spam-Accounts können auch gleichzeitig doppelte Nachrichten verschicken.
Die Verwendung von Bulk Messaging kann ein bestimmtes Thema künstlich in den Trend bringen, wenn genug Leute sie besuchen. Im Jahr 2009 täuschte eine Spam-Website, die einen Job bei Google anbot, den Nutzern vor, die Seite sei echt.
Auch für die Verbreitung von Malware oder Werbung können Massennachrichten genutzt werden, um Nutzer auf eine Seite zu leiten.
Verbreitung bösartiger Links
Bösartige Links sind Links, die mit der Absicht erstellt wurden, einen Nutzer oder sein Gerät zu schädigen, irrezuführen oder zu beschädigen. Wenn der Link angeklickt wird, können Aktivitäten ausgelöst werden, die vom Herunterladen von Malware bis hin zum Diebstahl persönlicher Daten reichen.
Diese Links lassen sich leicht über von Nutzern eingestellte Kommentare und Beiträge verbreiten, z. B. über YouTube-Videos. Mit einem gefälschten Konto in sozialen Medien können Links auch über Posts oder Nachrichten des Kontos verbreitet werden.
Betrügerische Rezensionen
Gefälschte Rezensionen sind Rezensionen von Nutzern, die das Produkt nie tatsächlich benutzt haben. Verschiedene Produkte oder Dienstleistungen bezahlen in der Regel mehrere Nutzer für positive Rezensionen, um ihr Produkt- oder Dienstleistungsangebot anzukurbeln.
Mit gefälschten Konten können Rezensionen leicht von einer gefälschten Persona gepostet werden, und diese können in großen Mengen erfolgen.
Sharing unerwünschter oder übermäßiger Inhalte
Gefälschte Konten können auch mit echten Nutzern Kontakt aufnehmen und unerwünschte Inhalte wie Beleidigungen, Drohungen und unerwünschte Werbung teilen. Bots können so eingerichtet werden, dass sie neuen Nutzern automatisch folgen oder Nutzern, die Inhalte posten, automatisch Nachrichten schicken.
Clickbaiting und Likejacking
Clickbaiting ist das Posten von reißerischen Schlagzeilen, um den Nutzer dazu zu bringen, sich zum Inhalt durchzuklicken, mit dem Ziel, Online-Werbeeinnahmen zu generieren. Wenn der Nutzer sich zu der Seite durchklickt, existiert der Inhalt in der Regel nicht oder unterscheidet sich grundlegend von dem, was die Schlagzeile vorgaukelt.
Likejacking ist der Akt, Nutzer dazu zu verleiten, ein Facebook-Status-Update für eine bestimmte Seite zu posten, ohne dass der Nutzer dies vorher weiß oder beabsichtigt. Der Nutzer denkt vielleicht, dass er nur eine Seite besucht, aber der Klick kann im Hintergrund ein Skript auslösen, das den Link auf Facebook teilt.
Dies führt dann zu einem Teufelskreis, da andere Freunde des echten Nutzers auf den Link klicken und ihn mit weiteren Personen in ihrem Netzwerk teilen.
Diese Aktivitäten wirken sich negativ auf das Benutzererlebnis aus, da sie entweder die Zeit und Aufmerksamkeit des Benutzers verschwenden sowie potenziell die Sicherheit des Benutzers gefährden oder seine Daten stehlen können. Das Vorhandensein von gefälschten Konten und Spam ist daher ein Problem für soziale Netzwerke, Over-the-Top (OTT) Messaging und andere mobile oder Gaming-Anwendungen, da ein negatives Nutzererlebnis zu einer Abwanderung der Nutzer führen und das Monetarisierungspotenzial und die Bewertung des Dienstes beeinträchtigen kann.
Obwohl soziale Netzwerke beginnen, gegen gefälschte Konten und Spam vorzugehen, können Spammer leicht neue gefälschte Konten erstellen, um ihre Aktivitäten fortzusetzen.
Das Spam-Problem der sozialen Medien beheben
Die Wurzel des Problems ist, dass das Erstellen eines gefälschten Kontos in der sozialen Anwendung unglaublich einfach ist, da der Prozess der Identitätsüberprüfung leicht zu umgehen ist. Gängige Methoden der Identitätsüberprüfung sind die reine E-Mail-Überprüfung und die Verwendung von Passwörtern.
Die reine E-Mail-Überprüfung ist problematisch, weil ein einzelner Benutzer in kurzer Zeit viele E-Mail-Konten erstellen kann, die dann zur Erstellung von gefälschten Konten in der sozialen Anwendung verwendet werden können.
Die Verwendung von Passwörtern ist ebenfalls problematisch, weil Spammer ein automatisiertes Tool namens „Account Checker“ verwenden können, um verschiedene Kombinationen von Benutzernamen und Passwörtern in der sozialen Anwendung zu testen, in der Hoffnung, dass einige davon funktionieren, um Zugang zu diesen Konten zu erhalten. Diese sollen die automatisierte Erstellung von Konten verhindern, sind aber schnell und kostengünstig zu lösen.
Die Verwendung einer telefonischen Verifizierung bei der Erstellung von Konten kann Spammer davon abhalten, gefälschte Konten zu erstellen. Dabei wird ein Einmalpasswort (OTP) über einen anderen Kommunikationskanal (SMS oder Sprache) an den Benutzer gesendet als der IP-Kanal (Internet), der von der sozialen Anwendung verwendet wird.
Wenn ein Konto nur erstellt werden kann, nachdem der Benutzer das OTP in der sozialen Anwendung korrekt eingegeben hat, wird die Erstellung von gefälschten Konten zu einem langwierigeren Prozess.
Darüber hinaus können virtuelle und portierte Nummern mit bestimmten APIs wie Number Insight von Nexmo ausgespäht werden. Dies macht es für Spammer unerschwinglich, gefälschte Konten zu erstellen, um sie für Spamming-Zwecke zu verwenden, da sie entweder in eine hochentwickelte Lösung investieren oder sich dem manuellen Prozess unterziehen müssen, eine Telefonnummer zu erhalten, um die Telefonverifizierung zu umgehen.
Die Telefonverifizierung ist ideal zu implementieren, da Telefonnummern weltweit verfügbar sind und der Prozess kostengünstig zu implementieren ist. Es ist keine zusätzliche Hardware erforderlich, da die meisten Menschen ein einfaches Telefon und eine SIM-Karte besitzen, und die Kosten für das Senden und Empfangen von Nachrichten sind gering.
Neue Nutzer können sogar nahtlos und ohne Eingabe eines Codes an Bord geholt werden, indem sie ihren Telefonnummern-Typ mit einem Dienst wie Nexmo’s Number Insight überprüfen. Auf diese Weise können auch Konten entdeckt werden, die versuchen, virtuelle Nummern einzugeben, die dann von der sozialen Anwendung blockiert werden können.
Wenn der Benutzer eine Aktion innerhalb der sozialen Anwendung durchführt, z.B. ein Upgrade des Dienstes, einen ersten Beitrag verfassen, etc,
Um Kontoübernahmen zu verhindern, kann die Telefonverifizierung auch implementiert werden, um die Anmeldung von einem neuen Gerät, einem neuen Standort oder einer neuen IP-Adresse zu authentifizieren.
Spam in sozialen Anwendungen kann das Benutzererlebnis wirklich stören, daher kann die Implementierung der Telefonverifizierung ein effektiver Weg sein, ihn zu blockieren.
Lesen Sie weiter: Sind Ihre Benutzer die, die sie vorgeben zu sein? Woher wissen Sie das?