Lo spam può essere definito come messaggi irrilevanti o non richiesti inviati su Internet. Questi sono di solito inviati a un gran numero di utenti per una varietà di casi d’uso come la pubblicità, il phishing, la diffusione di malware, ecc.
In passato, lo spam era solito favorire le e-mail in quanto era lo strumento primario di comunicazione. Gli indirizzi e-mail erano relativamente facili da raccogliere tramite chat room, siti web, liste di clienti e che hanno un impatto sulla rubrica di un utente. Alla fine, i filtri e-mail sono diventati più sofisticati, e hanno diminuito più efficacemente lo spam dall’intasare la posta in arrivo.
Da allora, gli spammer si sono spostati su un nuovo obiettivo: le applicazioni sociali.
Gli account falsi sono la chiave dello spamming sociale: Per guadagnare credibilità, questi account falsi cercheranno di diventare “amici” o di seguire account verificati, ad esempio, celebrità e personaggi pubblici, con la speranza che questi account li seguano con gli amici o li seguano a loro volta. Quando gli account autentici fanno amicizia o seguono gli account falsi, questo legittima l’account e gli permette di svolgere attività di spam.
Un altro modo per gli spammer di attaccare è quello di entrare nell’account di un utente e prenderne il controllo, diffondendo messaggi falsi ai seguaci autentici dell’utente.
Armati di account falsi sui social network o applicazioni, gli spammer possono quindi svolgere le seguenti attività:
Messaggio cumulativo
Messaggi con lo stesso testo o un testo simile possono essere inviati a un gruppo di persone in un breve periodo di tempo. Diversi account di spam possono anche inviare simultaneamente messaggi duplicati.
L’uso della messaggistica di massa può causare artificialmente la tendenza di un certo argomento se abbastanza persone lo visitano. Nel 2009, un sito web di spam che offriva un lavoro con Google ha fatto credere agli utenti che il sito fosse genuino.
Similmente, la messaggistica di massa può essere usata per diffondere malware o pubblicità per indirizzare gli utenti a un sito.
Diffusione di link malevoli
I link malevoli sono link creati con l’intento di danneggiare, ingannare o danneggiare un utente o il suo dispositivo. Quando il link viene cliccato, le attività innescate possono andare dal download di malware al furto di informazioni personali.
Questi link possono essere facilmente diffusi attraverso commenti e post inviati dagli utenti, ad esempio i video di YouTube. Con un falso account sui social media, i link possono anche essere diffusi tramite post o messaggi dall’account.
Recensioni fraudolente
Le recensioni false sono recensioni di utenti che non hanno mai realmente utilizzato il prodotto. Diversi prodotti o servizi di solito pagano diversi utenti per recensioni positive per aumentare la loro offerta di prodotti o servizi.
Con gli account falsi, le recensioni possono essere facilmente pubblicate da un personaggio falso, e queste possono essere fatte in massa.
Condivisione di contenuti indesiderati o eccessivi
Gli account falsi possono anche contattare e condividere contenuti ingiustificati come insulti, minacce e pubblicità indesiderata a utenti autentici. I bot possono essere impostati per seguire automaticamente nuovi utenti o inviare automaticamente messaggi agli utenti che pubblicano contenuti.
Clickbaiting e likejacking
Clickbaiting è l’atto di pubblicare titoli sensazionalistici per incoraggiare l’utente a cliccare sul contenuto con lo scopo di generare entrate pubblicitarie online. Quando l’utente clicca sulla pagina, il contenuto di solito non esiste o è radicalmente diverso da quello che il titolo lo ha fatto sembrare.
Likejacking è l’atto di ingannare gli utenti a postare un aggiornamento di stato su Facebook per un certo sito senza che l’utente ne sia a conoscenza o abbia intenzione di farlo. L’utente può pensare che sta solo visitando una pagina, ma il clic può innescare uno script in background per condividere il link su Facebook.
Questo creerà poi un circolo vizioso in quanto altri amici dell’utente genuino cliccheranno sul link e lo condivideranno con altre persone nella loro rete.
Queste attività hanno un impatto negativo sull’esperienza dell’utente in quanto possono fargli perdere tempo e attenzione e potenzialmente compromettere la sicurezza dell’utente o rubarne i dati. La presenza di account falsi e di spam sono quindi un problema per i social network, la messaggistica over-the-top (OTT) e altre applicazioni mobili o di gioco, perché un’esperienza utente negativa può portare al logoramento degli utenti, incidere sul potenziale di monetizzazione e sulla valutazione del servizio.
Anche se i social network stanno iniziando a reprimere gli account falsi e lo spam, gli spammer possono facilmente creare nuovi account falsi per continuare le loro attività.
Risolvere i problemi di spam dei social media
La radice del problema è che la creazione di un account falso nell’applicazione sociale è incredibilmente facile poiché il processo di verifica dell’identità è facile da aggirare. I metodi comuni di verifica dell’identità includono l’uso della sola verifica dell’email e l’uso della sola password.
La sola verifica dell’email è problematica perché un singolo utente può creare molti account email in poco tempo, che possono poi essere usati per creare account falsi nell’applicazione sociale.
La sola password è anche problematica perché gli spammer possono usare uno strumento automatico chiamato “account checker” per testare diverse combinazioni di username e password sull’applicazione sociale nella speranza che alcune possano funzionare per ottenere l’accesso a questi account. Si suppone che gli spammers abbiano lo scopo di scoraggiare la creazione automatica di account, ma possono essere rapidamente esternalizzati per essere risolti in modo economico.
L’uso della verifica telefonica alla creazione degli account può impedire agli spammers di creare account falsi. Questo comporta l’invio di una password monouso (OTP) all’utente su un canale di comunicazione separato (SMS o voce) rispetto al canale IP (internet) utilizzato dall’applicazione sociale.
Se un account può essere creato solo dopo che l’utente ha inserito correttamente l’OTP nell’applicazione sociale, questo renderà la creazione di account falsi un processo più noioso.
Inoltre, i numeri virtuali e portati possono essere individuati utilizzando alcune API come Number Insight di Nexmo. Di conseguenza, questo rende proibitivo il costo per lo spammer di creare account falsi da utilizzare per scopi di spamming, in quanto devono investire in una soluzione altamente sofisticata, o sottoporsi al processo manuale di ottenere un numero di telefono per bypassare la verifica telefonica.
La verifica telefonica è ideale da implementare perché i numeri di telefono sono disponibili a livello globale, e il processo è poco costoso da implementare. Non c’è bisogno di hardware aggiuntivo, dato che la maggior parte delle persone ha un telefono e una scheda SIM di base, e il costo di invio/ricezione dei messaggi è basso.
I nuovi utenti possono anche essere integrati senza problemi, senza bisogno di inserire un codice, controllando il tipo di numero di telefono utilizzando un servizio come Number Insight di Nexmo. Questo può anche consentire la scoperta di account che tentano di inserire numeri virtuali, che l’applicazione sociale può scegliere di bloccare.
Una volta che l’utente esegue un’azione all’interno dell’applicazione sociale, ad esempio, aggiornare il servizio, fare il primo post, ecc, la password OTP può essere inviata al suo cellulare, eseguendo una verifica hard.
Per prevenire l’acquisizione dell’account, la verifica telefonica può anche essere implementata per autenticare il login da un nuovo dispositivo, posizione o indirizzo IP.
Lo spam sulle applicazioni social può essere veramente dannoso per l’esperienza dell’utente, quindi l’implementazione della verifica telefonica può essere un modo efficace per bloccarlo.
Leggi il prossimo: I tuoi utenti sono chi dicono di essere? Come fai a saperlo?