Spam może być zdefiniowany jako nieistotne lub niechciane wiadomości wysyłane przez Internet. Zazwyczaj są one wysyłane do dużej liczby użytkowników w różnych celach, takich jak reklama, phishing, rozprzestrzenianie złośliwego oprogramowania itp.
W przeszłości spam faworyzował pocztę elektroniczną, ponieważ była ona podstawowym narzędziem komunikacji. Adresy e-mail były stosunkowo łatwe do zdobycia za pośrednictwem czatów, stron internetowych, list klientów oraz książki adresowej użytkownika. Ostatecznie, filtry poczty elektronicznej stały się bardziej wyrafinowane i skuteczniej zmniejszyły ilość spamu zapychającego skrzynkę odbiorczą.
Od tego czasu spamerzy przenieśli się na nowy cel: aplikacje społecznościowe.
Fałszywe konta są kluczem do spamu społecznościowego: Aby zyskać wiarygodność, fałszywe konta próbują zaprzyjaźnić się lub śledzić zweryfikowane konta, np. celebrytów i osób publicznych, mając nadzieję, że te zaprzyjaźnią się z nimi lub będą ich śledzić. Gdy prawdziwe konta zaprzyjaźniają się z fałszywymi kontami lub je śledzą, legitymizuje to konto i umożliwia mu prowadzenie działań spamowych.
Innym sposobem ataku spamerów jest włamanie się na konto użytkownika i przejęcie go, a następnie rozsyłanie fałszywych wiadomości do jego autentycznych zwolenników.
Zbrojeni w fałszywe konta na portalach społecznościowych lub w aplikacjach, spamerzy mogą następnie prowadzić następujące działania:
Bulk messaging
Wiadomości z tym samym lub podobnym tekstem mogą być wysyłane do grupy osób w krótkim czasie. Kilka kont spamowych może również jednocześnie wysyłać zduplikowane wiadomości.
Użycie wiadomości masowych może sztucznie wywołać trend na określony temat, jeśli odwiedzi je wystarczająco dużo osób. W 2009 r. spamowa strona internetowa oferująca pracę w Google oszukała użytkowników, którzy uwierzyli, że strona jest prawdziwa.
Podobnie, masowe rozsyłanie wiadomości może być wykorzystywane do rozprzestrzeniania szkodliwego oprogramowania lub reklam w celu skierowania użytkowników na stronę.
Rozsyłanie szkodliwych linków
Złośliwe linki to linki stworzone z zamiarem zaszkodzenia, wprowadzenia w błąd lub uszkodzenia użytkownika lub jego urządzenia. Po kliknięciu takiego odsyłacza uruchamiane są różne działania, od pobierania szkodliwego oprogramowania po kradzież danych osobowych.
Odsyłacze te można łatwo rozprzestrzeniać za pośrednictwem komentarzy i postów zamieszczanych przez użytkowników, np. filmów na YouTube. Dzięki fałszywemu kontu w mediach społecznościowych linki mogą być również rozprzestrzeniane za pośrednictwem postów lub wiadomości z tego konta.
Fałszywe recenzje
Fałszywe recenzje to recenzje użytkowników, którzy nigdy nie używali danego produktu. Różne produkty lub usługi zazwyczaj płacą kilku użytkownikom za pozytywne recenzje, aby zwiększyć ich ofertę produktów lub usług.
Dzięki fałszywym kontom, recenzje mogą być łatwo zamieszczane przez fałszywe osoby, a te mogą być zamieszczane masowo.
Udostępnianie niepożądanych lub nadmiernych treści
Fałszywe konta mogą również kontaktować się i udostępniać nieuzasadnione treści, takie jak obelgi, groźby i niechciane reklamy prawdziwym użytkownikom. Boty mogą być skonfigurowane do automatycznego śledzenia nowych użytkowników lub automatycznego wysyłania wiadomości do użytkowników, którzy publikują treści.
Clickbaiting i likejacking
Clickbaiting jest działaniem polegającym na publikowaniu sensacyjnych nagłówków w celu zachęcenia użytkownika do kliknięcia w treść w celu generowania przychodów z reklam online. Kiedy użytkownik klika na stronę, treść zazwyczaj nie istnieje lub jest diametralnie różna od tego, co nagłówek sprawił, że jest.
Likejacking jest aktem oszukiwania użytkowników, aby opublikować aktualizację statusu na Facebooku dla określonej witryny bez wcześniejszej wiedzy lub zamiaru użytkownika. Użytkownik może myśleć, że po prostu odwiedza stronę, ale kliknięcie może uruchomić skrypt w tle, aby udostępnić link na Facebooku.
To następnie stworzy błędne koło, ponieważ inni znajomi prawdziwego użytkownika klikną na link i podzielą się nim z większą liczbą osób w swojej sieci.
Działania te mają negatywny wpływ na doświadczenia użytkownika, ponieważ mogą zarówno marnować jego czas i uwagę, jak i potencjalnie zagrażać jego bezpieczeństwu lub wykradać jego dane. Obecność fałszywych kont i spamu stanowi zatem problem dla sieci społecznościowych, wiadomości over-the-top (OTT) i innych aplikacji mobilnych lub gier, ponieważ negatywne doświadczenia użytkowników mogą prowadzić do ich odejścia, wpływać na potencjał monetyzacji i wycenę usługi.
Pomimo, że sieci społecznościowe zaczynają zwalczać fałszywe konta i spam, spamerzy mogą łatwo tworzyć nowe fałszywe konta, aby kontynuować swoją działalność.
Rozwiązanie problemów ze spamem w mediach społecznościowych
Korzeniem problemu jest to, że stworzenie fałszywego konta w aplikacji społecznościowej jest niezwykle proste, ponieważ proces weryfikacji tożsamości jest łatwy do ominięcia. Powszechne metody weryfikacji tożsamości obejmują weryfikację tylko za pomocą poczty elektronicznej oraz weryfikację tylko za pomocą hasła.
Weryfikacja tylko za pomocą poczty elektronicznej jest problematyczna, ponieważ jeden użytkownik może w krótkim czasie stworzyć wiele kont e-mail, które następnie mogą zostać wykorzystane do stworzenia fałszywych kont w aplikacji społecznościowej.
Weryfikacja tylko za pomocą hasła jest również problematyczna, ponieważ spamerzy mogą używać zautomatyzowanego narzędzia zwanego „account checker” do testowania różnych kombinacji nazwy użytkownika i hasła w aplikacji społecznościowej w nadziei, że kilka z nich zadziała, aby uzyskać dostęp do tych kont. Mają one powstrzymać automatyczne tworzenie kont, ale można je szybko zlecić ludziom do rozwiązania w niedrogi sposób.
Użycie weryfikacji telefonicznej przy tworzeniu kont może zapobiec tworzeniu fałszywych kont przez spamerów. Polega to na wysłaniu jednorazowego hasła (OTP) do użytkownika przez oddzielny kanał komunikacyjny (SMS lub głos) niż kanał IP (internet) używany przez aplikację społecznościową.
Jeśli konto może być utworzone tylko po poprawnym wprowadzeniu OTP przez użytkownika w aplikacji społecznościowej, sprawi to, że tworzenie fałszywych kont będzie bardziej żmudnym procesem.
Ponadto, numery wirtualne i przeniesione mogą być wykrywane za pomocą niektórych API, takich jak Number Insight firmy Nexmo. W rezultacie sprawia to, że tworzenie fałszywych kont do celów spamerskich jest dla spamera niezwykle kosztowne, ponieważ albo musi on zainwestować w wysoce wyrafinowane rozwiązanie, albo poddać się ręcznemu procesowi uzyskiwania numeru telefonu w celu ominięcia weryfikacji telefonicznej.
Weryfikacja telefoniczna jest idealna do wdrożenia, ponieważ numery telefonów są dostępne globalnie, a proces jest niedrogi do wdrożenia. Nie wymaga dodatkowego sprzętu, ponieważ większość ludzi posiada podstawowy telefon i kartę SIM, a koszty wysyłania/odbierania wiadomości są niskie.
Nowi użytkownicy mogą nawet zostać bezproblemowo włączeni, bez potrzeby wprowadzania kodu, poprzez sprawdzenie typu ich numeru telefonu za pomocą usługi takiej jak Nexmo’s Number Insight. To może również umożliwić wykrycie kont próbujących wprowadzić numery wirtualne, które aplikacja społecznościowa może zdecydować się zablokować.
Gdy użytkownik wykona akcję w aplikacji społecznościowej, np. uaktualni usługę, napisze pierwszy post, itp, hasło OTP może zostać wysłane na jego telefon komórkowy, dokonując twardej weryfikacji.
Aby zapobiec przejęciu konta, weryfikacja telefoniczna może również zostać wdrożona w celu uwierzytelnienia logowania z nowego urządzenia, lokalizacji lub adresu IP.
Spam w aplikacjach społecznościowych może być naprawdę destrukcyjny dla doświadczenia użytkownika, więc wdrożenie weryfikacji telefonicznej może być skutecznym sposobem na jego zablokowanie.
Czytaj dalej: Czy Twoi użytkownicy są tymi, za których się podają? Jak się tego dowiedzieć?