Компания Duo Security, ведущий разработчик в области безопасности доступа и многофакторной аутентификации, опубликовала технические исследования и методологию, в которых подробно описывается, как идентифицировать автоматизированные учетные записи Twitter-ботов. Используя алгоритмы машинного обучения для определения учетных записей ботов через их набор данных, исследователи Duo Labs также выявили сложный ботнет, состоящий как минимум из 15 000 ботов, который используется для совершения мошеннических действий в криптовалютном пространстве. Кроме того, специалистам удалось идентифицировать тактику, используемую вредоносными ботами, которая позволяет им казаться легитимными и избегать обнаружения среди других результатов.

За два месяца исследователи собрали и проанализировали 88 миллионов публичных учетных записей Twitter, содержащих более полумиллиона твитов - один из крупнейших случайных наборов данных учетных записей Twitter, изученных на сегодняшний день. Набор данных Duo построен на основе информации, собранной через общедоступный API Twitter и включает в себя имя профиля, количество твитов, количество фоловеров, аватар и биографию. Содержимое твитов и подключения к учетным записям социальных сетей также было собрано в соответствии с допустимыми пределами API платформы.

Ведущий инженер Джордан Райт (Jordan Wright) и научный сотрудник Олабоде Анис (Olabode Anise) представят свои исследования среду, 8 августа, на конференции по безопасности Black Hat USA 2018 в Лас-Вегасе. После презентации программное обеспечение, при помощи которого проводилось исследование, будет размещено на Github, чтобы другие разработчики смогли идентифицировать автоматически созданные Twitter-аккаунты.

Основные результаты исследования включают:

  • Создание новых инструментов и методов с открытым исходным кодом, которые можно использовать для обнаружения крупномасштабных бот-сетей;

  • Анализ одного из самых больших наборов случайных данных на сегодняшний день, в том числе применение 20 уникальных характеристик учетной записи в модели машинного обучения для выявления ботов. В эти характеристики также входит временной интервал между твитами, их различные источники и среднее количество часов активности твита в день;

  • Обнаружение и подробная информация о сложном ботнете, используемом для мошенничества в криптовалютном пространстве и состоящего как минимум из 15 000 ботов, которые вводят в заблуждение ничего не подозревающих пользователей через подставные аккаунты знаменитостей, СМИ, проверенные учетные записи и т.д. Поведение учетных записей в ботнете, предназначенных для совершения мошеннических действий с криптовалютами, было запрограммировано таким образом, чтобы автоматическая система обнаружения не могла усомниться в их подлинности и заблокировать;

  • Классификация мошеннических ботов согласно их поведению, включая ботов, публикующих твиты о мошенничестве; хаб-аккаунты, которые служат для ботов подписчиками; и ботов-усилителей, которые ставят лайк каждому созданному твиту, тем самым создавая ему искусственную популярность.

Исследователи Duo Security активно наблюдали за тем, как Twitter блокировал действия мошеннических ботов, а также быстро идентифицировал проверенные учетные записи, которые были взломаны и возвращал их законным владельцам. Несмотря на все эти усилия, множество подобных ботов до сих пор остаются активными.

«Вероятно, доверие пользователей к твиту в той или иной степени зависит от того, сколько раз им поделились или от количества лайков. Те, кто стоит за этим конкретным ботнетом, знают это и разработали его для использования этой самой тенденции», - сказал Анис. «Чтобы не быть обнаруженными, боты используют разные модели поведения. Документирование этих моделей также может использоваться для идентификации других вредоносных и мошеннических бот-сетей».

После публикации исследования Duo Security, представитель Twitter заявил, что в компании знают о таких попытках манипуляций и борются с ними, и что по подсчетам компании мошеннической практикой занимается менее 5% пользователей сервиса.

«Обнаружение и нейтрализация ботов - это игра в «кошки-мышки», - сказал Райт. «Мы ожидаем, что привлечение помощи исследовательского сообщества позволит создавать новые и улучшать уже существующие методы отслеживания ботов. Однако это более сложная проблема, чем многие думают, и, как показывает наш документ, в этом направлении еще много работы».