Исследование: Что известно об огромной сети порноботов, угрожавших безопасности в Твиттере

Они с лёгкостью обходят спам-фильтры и могут распространять любую запрещённую или конфиденциальную информацию.

С февраля по июль 2017 года организация ZeroFOX Threat Research изучала масштабную сеть твит-ботов, которая распространяла ссылки на порносайты. Они обнаружили почти 90 тысяч подставных аккаунтов, рассылающих ссылки на подставные сайты, крадущие у жертв тысячи долларов.

По словам специалистов, это одна из самых масштабных сетей автоматических спамеров, когда-либо зафиксированная в социальных сетях.

Специалисты назвали скоординированную сеть ботов, нацеленных на распространение порнографии, «Сиренами» (Siren). Это морские существа из греческой мифологии, которые соблазняли моряков пением и обманом вели их к гибели. И хотя запрограммированные боты не могут нанести такой же вред, как их тёзки, столь масштабная сеть угрожает безопасности пользователей социальных сетей.

Это ботнет-сообщество, насчитывающее 90 тысяч аккаунтов, распространило уже больше восьми миллионов сообщений со спамом. По ссылкам кликнули больше 30 миллионов раз, что, по мнению исследователей, свидетельствует о серьёзных дырах в системе безопасности.

У всех профилей, названных исключительно женскими именами (часто русскими), на юзерпике стоит фотография девушки, а в описании — враждебная ссылка с URL Google. Боты привлекают к себе внимание, отвечая ссылкой на твит пользователей, обычно на последний или закреплённый. В ряде случаев они пишут короткие сообщения, вроде «ты хочешь меня?» или «нажми [на ссылку] не стесняйся».

Если жертва нажимает на ссылку, замаскированную под URL Google, его переносит с домена Твиттера t.co на домен goo.gl, который затем переправляет пользователя на сторонний сайт, а оттуда его данные вновь попадают в Google и Твиттер. Таким образом боты обходят протоколы защиты сервисов от спама и усыпляют бдительность жертвы, которая доверчиво нажимает на знакомые ссылки.

Финальный переход приводит людей на сайт, предлагающий оформить подписку на порноконтент, услуги вебкам-моделей или сервис для знакомств. Эти сайты обычно созданы легально, но распространяют ложную информацию.

К примеру, если человек оформит подписку, указав электронную почту или номер телефона, ему начнёт приходить спам разного содержания. По данным ФБР, некоторые жертвы ботов теряют на подставных сайтах до 100 тысяч долларов, а их личные данные незаконно передаются третьим лицам.

Специалисты ZeroFOX считают, что «сиренами» управляют из Восточной Европы или России. Бот-аккаунты часто носят женские имена русского происхождения, а русский язык считается у спамеров вторым по популярности языком после английского.

После публикации исследования руководство Твиттера удалило почти 90 тысяч подставных аккаунтов и их сообщения, а Google добавили подставной домен, сокращенный через сервис поисковика, в чёрный список. Тем не менее полностью очистить Твиттер от спама с порнографией пока не удалось.

В октябре 2016 года аноним связался с американским журналистом Брайаном Кребсом, занимающимся кибербезопасностью. Он поделился с ним списком из почти 100 разных URL-адресов, которые отображали в текстовой форме работу 1,2 миллиона ботов.

Пока журналист пытался понять, кто и зачем управляет этой объединённой системой, количество активных ботов в системе падало. К июню 2017 года их количество зафиксировалось где-то на 50-100 тысячах. Кребс выяснил, что боты неизменно продвигают в интернете две компании: CyberErotica и Deniro Marketing LLC (также известный как AmateurMatch).

По информации TechCrunch, сайт CyberErotica основали в 1994 году — это порносайт с ежемесячной подпиской. В 2001 году его владельцев обвинили в том, что они позиционировали сервис как бесплатный, но на деле брали ежемесячную плату с карты пользователя и усложняли процесс отписки.

Авторы дейтинг-сервиса Deniro Marketing LLC тоже оказывались в центре скандалов. В 2010 году компанию обвинили в том, что сайт переполнен фальшивыми профилями девушек, за которыми скрываются обычные спамеры. Тогда дело удалось уладить без строгих санкций. Судя по всему, поэтому компания продолжила использовать ботов для продвижения сервиса.

Примечательно, что спамеры работают по одной системе с сетью ботнетов в Твиттере: появляются на сайтах с молодой девушкой на аватарке и пишут короткие сообщения с сексуальным подтекстом. На это и обратили внимание специалисты ZeroFOX, связавшись с Кребсом. Вместе они выяснили, что почти все сообщения бот-сообщества из Твиттера ведут на сайт Deniro Marketing.

Благодаря быстрой реакции руководства Twitter и Google, компании смогли очистить сервисы от почти 90 тысяч ботов, которые стали причиной кражи крупных сумм у доверчивых пользователей. Однако Кребс считает, что злоумышленникам ничто не мешает вновь собрать армию ботов для продвижения своих целей, как предположительно поступила компания Deniro Marketing.

Как считает журналист, такие огромные сети спамеров можно применять не только ради рекламы порносайтов, но для распространения любой информации. В январе 2017 года группа специалистов зафиксировала в Твиттере 350 тысяч ботов, которые цитировали книги по «Звёздным войнам».

Цели авторов этой сети неизвестны, но их способность руководить столь большим количеством фальшивых профилей в социальных сетях вызывает у специалистов по кибербезопасности серьёзные опасения. Ведь если ботов можно использовать для рекламы, то можно и в политических интересах.