211service.com
Falska Twitter-profiler syftar till att överlista spammare
Det är inte ovanligt att ha användarprofiler på flera sociala nätverk, eller till och med separata konton på sajter som Twitter – en för arbete och en för lek. Men Kyumin lee vid Texas A&M University har 60 Twitter-konton, och inte för att han är populär.
Lees konton är honeypots, designade för att locka uppmärksamheten från spammare som i allt högre grad använder sociala nätverk för att sprida länkar till sajter med skadlig programvara och nätfiske. Programvara utvecklad av Lee övervakar meddelanden som skickas till honeypot-kontona för att lära sig taktiken som används av spammare.
Konceptet med en honungskruka är väl etablerat på nätverksnivå, säger Lee. Vanligtvis tar det formen av oskyddade datorer som används för att övervaka spam e-post eller nätverksbaserade attacker. Vi bestämde oss för att tillämpa det på en högre nivå för att lära oss om spam i sociala nätverk. Lee genomför projektet tillsammans med A&M-kollegor James Caverlee och Brian David Eoff, och med Steve Webb vid Georgia Tech University. Arbetet stöds delvis av ett forskningspris från Google.
Honeypot-kontona, som den här , postar automatiskt uppdateringar hämtade från en samling av 120 000 riktiga tweets från Twitter. Teamet har också distribuerat honeypots på MySpace och skapat programvara som använder dummy-profiler på båda nätverken för att lära sig om skräpposttaktik. Vi har en botmonitor som kontaktar våra profiler, säger Lee. Den tittar på vad de lägger i sina meddelanden och kommer också åt deras profil för att se deras demografiska information och tidigare uppdateringar.
Hittills, säger Lee, har våra 61 honeypots frestat och samlat in 30 867 spammare på Twitter. Data som samlas in av dessa bots kan också användas för att träna klassificeringsalgoritmer för att identifiera spammare som ännu inte har kontaktat en honeypot. En klassificerare som tränats med hjälp av Twitters honeypots visade sig vara kapabel att korrekt identifiera spamprofiler mer än 80 procent av gångerna. En offentlig webbtjänst byggs från den utbildade modellen som gör det möjligt för människor att leta upp vilka konton den betraktar som skräppost, och skicka in korrigeringar för alla som är felidentifierade, säger Lee.
Spam- och nätfiskeattacker som levereras via sociala nätverk är ett växande problem, säger Don DeBolt, chef för hotforskning för IT-programvaruföretaget CA Technologies . Till exempel stal en nätfiske-bedrägeri på Twitter nyligen vissa användares iTunes-konton. Folk litar omedelbart på dessa applikationer eftersom det är hur de kommunicerar med vänner, förklarar DeBolt. Eftersom människor skickar mycket mindre text än ett e-postmeddelande, och URL-förkortare ofta används, är det svårare för människor att inse att ett meddelande kanske inte är verkligt.
DeBolts team upprätthåller sina egna honeypot-profiler och övervakar dem manuellt för att leta efter ny skräpposttaktik. Vi måste dock vara mycket försiktiga med att kurera dem som forskningsprofiler som inte utger sig för att vara en riktig person, säger han.
Det faktum att honeypots för sociala nätverk måste vara en del av en gemenskap är en grundläggande skillnad från det konventionella tillvägagångssättet, säger man Azer Bestavros , en nätverksspecialist vid Boston University som tidigare har arbetat med att analysera bloggspam. En honeypot-dator i ett nätverk är vanligtvis allokerad till mörkt adressutrymme så att de aldrig legitimt skulle kunna kontaktas av en annan maskin.
Andra användare kan betrakta vår honeypot som en riktig person, erkänner Lee. Men vi har inga vänner eller kontaktar andra människor, och på Twitter publicerade våra profiler slumpmässiga meddelanden så att en normal användare inte skulle tänka sig att kontakta oss.
Vissa meddelanden och vänförfrågningar som skickas till en social honeypot kan komma från legitima användare, så information som samlas in från dem måste behandlas försiktigt, säger Bestavros. Lee och kollegor experimenterar med att variera produktionen och demografiska egenskaperna hos deras honeypots för att ta reda på vad som lockar mest spammare – till exempel att variera dummyanvändarens ålder och plats, eller frekvensen av deras uppdateringar. De flesta spammare presenterar sig själva som kvinnor i högskoleåldern, säger Lee. Data från MySpace honeypots visar att de flesta hävdar att de är belägna i Kalifornien, och än så länge verkar det som att män i högskoleåldern är det föredragna målet.
Lee och kollegor är också intresserade av att prova metoden på världens största sociala nätverk: Facebook. Det är ett mer privat nätverk, men om vi kunde få tillstånd från dem skulle det vara intressant att prova det där, säger han.