«Социальные боты»: недооцененная угроза
Про эту напасть пока немногие слышали, но, к сожалению, уже многие с нею сталкивались – даже не подозревая об этом. Речь идет о так называемых «социальных ботах» – программах, специально созданных для имитации поведения людей в социальных сетях. Их задачи могут быть различными, но чаще всего они используются интернет-маркетологами и киберпреступниками (что, в принципе, одно и то же).
Группа специалистов из канадского Университета Британской Колумбии в Ванкувере, работавших под руководством профессора Язана Бушмафа, провела исследование возможностей так называемых «социальных ботов» (англ. Socialbot), широко используемых злоумышленниками и маркетологами для действий в социальных сетях.
В современном понимании «социальные боты» – это программы, созданные для имитации поведения людей в социальных сетях. Они способны эффективно похищать персональные данные пользователей, а также вводить пользователей в заблуждение с целью искусственно вызвать их интерес к тем или иным веб-ресурсам.
Двухмесячное исследование проводилось с целью определить, насколько уязвимы социальные сети и их пользователи перед лицом крупномасштабных операций, связанных с похищением личных данных. Экспериментальная часть исследования длилась два месяца. За это время канадские исследователи в одной лишь Facebook при помощи «социо-ботов» получили почти 250 гигабайт (!!!) информации о пользователях этой соцсети. Уже из одного этого можно понять, что современные социальные сети очень уязвимы для специализированных ботов.
Эксперимент проводился следующим образом. Канадские социологи запустили в социальные сети 102 различных «социо-бота» (как они говорят, исключительно в академических целях). Для них специалисты разработали небольшой массив скриптов, благодаря которому бот может выдавать себя за реального человека.
Эти боты, действуя согласно заложенным в них программам, тут же завели себе персональные страницы с подобранными случайным образом фотографиями и персональными данными. Кроме того, для большей правдоподобности боты периодически меняли свои статусы. Также функционал ботов позволял им обращаться к другим пользователям, поддерживать беседы и отправлять сообщения с инвайтами.
В общей сложности за два месяца запущенные учеными боты разослали пользователям 5053 сообщения. При этом каждый бот был ограничен – мог отправить не более 25 сообщений в день, чтобы у Facebook не сработала антиспамерская система.
За первую же неделю теста 19% инвайтов (976 штук) были приняты пользователями. За следующие полтора месяца боты отправили еще 3517 запросов данных своим новым «друзьям» по Facebook. Из этого числа 2079 пользователей (59%) такие данные предоставили. Для того чтобы повысить шансы на выдачу данных, боты использовали заложенный в них программистами прием из арсенала социальной инженерии. Он называется «триадный принцип закрытия» и предусматривает заведение некоего общего с пользователем друга в Сети.
Исследователи утверждают, что действуя таким образом, можно достичь результата на уровне 80%. Всего за восемь недель ученые смогли собрать более 250 Гб персональных данных пользователей, в том числе имена, фамилии, адреса электронной почты, номера телефонов и прочее.
Главный вывод канадских исследователей таков: социальные сети оказываются чрезвычайно уязвимы для крупномасштабных кампаний по хищению данных. Примерно восемь из десяти пользователей клюют на какую-либо уловку ботов. Причем оказалось, что те пользователи, у которых было наибольшее число друзей, с гораздо большей готовностью принимали фальшивые приглашения.
«На примере социальной сети Facebook мы показали, что получать персональные данные совсем несложно, более того, этот процесс можно автоматизировать и проводить в чрезвычайно больших масштабах. Самим пользователям и операторам сетей стоит задуматься над этим», – говорится в результатах исследования.
Сам Язан Бушмаф сказал в одном из интервью: «Целью нашего исследования было не атаковать Facebook, а помочь социальной сети создать более безопасную систему. Менее уязвимую с точки зрения человеческого фактора, к примеру, социальной инженерии».
По словам авторов исследования, «социальные» механизмы защиты в Facebook и иных соцсетях существуют, но они недостаточно интеллектуальны и пока не могут отличить настоящего пользователя от бота, даже если последний действует полностью на автомате и без участия живого человека. Также в исследовании говорится, что в будущем на базе этой или ей подобных методик киберзлоумышленниками могут быть реализованы настоящие кампании по краже данных у десятков или даже сотен тысяч людей.
Ну а интернет-маркетологи, судя по всему, уже сейчас активно используют социальные боты в своей практике – на это указывает множество прямых и косвенных признаков. Впрочем, какие именно признаки имеются в виду, канадские ученые не уточнили.
По информации канадских ученых, также приведенной в отчете, в настоящий момент приобрести подобный набор скриптов можно в Интернете всего за $29. То есть подобные технологии не просто существуют, но и доступны для каждого желающего. Использовать же таких ботов можно для распространения спама, вредоносного ПО, сбора персональных данных, проведения скрытых рекламных кампаний и т.д.
Полный отчет о своем эксперименте исследователи из Университета Британской Колумбии изложат в докладе, который будет представлен на открывающейся в декабре во Флориде ежегодной конференции по компьютерной безопасности.
В Facebook сперва отказывались от каких-либо комментариев относительно доклада ученых, однако отметили, что для предотвращения подобных атак в социальной сети уже используется ряд мер предосторожности. «Мы всегда напоминаем нашим пользователям, что принимать запросы на добавление в список друзей следует только от тех пользователей, которых они знают и которым доверяют», – сообщил представитель Facebook.
Еще один ответственный сотрудник компании Facebook, пожелавший остаться неизвестным, заявил, что это исследование является неэтичным, а его результаты преувеличены.
Позднее появилось заявление Facebook, в котором говорится, что эти эксперименты не имеют практической ценности, поскольку исследователи пользовались интернет-адресами (IP) университетских серверов, тогда как использование адресов злоумышленниками немедленно привлекло бы внимание специальных сигнальных программ.
«У нас есть многочисленные системы, разработанные для обнаружения фальшивых профилей и предотвращения кражи личных данных. Мы постоянно совершенствуем эти системы в ответ на появление новых видов кибернападений», – говорится в заявлении.
Канадские ученые, однако, тут же парировали это заявление PR-службы соцсети. «Система защиты социальной сети Facebook Immune не обладает достаточной надежностью в обнаружении или предотвращении крупномасштабного проникновения такого рода», – утверждают они.
Денис Лавникевич
В современном понимании «социальные боты» – это программы, созданные для имитации поведения людей в социальных сетях. Они способны эффективно похищать персональные данные пользователей, а также вводить пользователей в заблуждение с целью искусственно вызвать их интерес к тем или иным веб-ресурсам.
Двухмесячное исследование проводилось с целью определить, насколько уязвимы социальные сети и их пользователи перед лицом крупномасштабных операций, связанных с похищением личных данных. Экспериментальная часть исследования длилась два месяца. За это время канадские исследователи в одной лишь Facebook при помощи «социо-ботов» получили почти 250 гигабайт (!!!) информации о пользователях этой соцсети. Уже из одного этого можно понять, что современные социальные сети очень уязвимы для специализированных ботов.
Эксперимент проводился следующим образом. Канадские социологи запустили в социальные сети 102 различных «социо-бота» (как они говорят, исключительно в академических целях). Для них специалисты разработали небольшой массив скриптов, благодаря которому бот может выдавать себя за реального человека.
Эти боты, действуя согласно заложенным в них программам, тут же завели себе персональные страницы с подобранными случайным образом фотографиями и персональными данными. Кроме того, для большей правдоподобности боты периодически меняли свои статусы. Также функционал ботов позволял им обращаться к другим пользователям, поддерживать беседы и отправлять сообщения с инвайтами.
В общей сложности за два месяца запущенные учеными боты разослали пользователям 5053 сообщения. При этом каждый бот был ограничен – мог отправить не более 25 сообщений в день, чтобы у Facebook не сработала антиспамерская система.
За первую же неделю теста 19% инвайтов (976 штук) были приняты пользователями. За следующие полтора месяца боты отправили еще 3517 запросов данных своим новым «друзьям» по Facebook. Из этого числа 2079 пользователей (59%) такие данные предоставили. Для того чтобы повысить шансы на выдачу данных, боты использовали заложенный в них программистами прием из арсенала социальной инженерии. Он называется «триадный принцип закрытия» и предусматривает заведение некоего общего с пользователем друга в Сети.
Исследователи утверждают, что действуя таким образом, можно достичь результата на уровне 80%. Всего за восемь недель ученые смогли собрать более 250 Гб персональных данных пользователей, в том числе имена, фамилии, адреса электронной почты, номера телефонов и прочее.
Главный вывод канадских исследователей таков: социальные сети оказываются чрезвычайно уязвимы для крупномасштабных кампаний по хищению данных. Примерно восемь из десяти пользователей клюют на какую-либо уловку ботов. Причем оказалось, что те пользователи, у которых было наибольшее число друзей, с гораздо большей готовностью принимали фальшивые приглашения.
«На примере социальной сети Facebook мы показали, что получать персональные данные совсем несложно, более того, этот процесс можно автоматизировать и проводить в чрезвычайно больших масштабах. Самим пользователям и операторам сетей стоит задуматься над этим», – говорится в результатах исследования.
Сам Язан Бушмаф сказал в одном из интервью: «Целью нашего исследования было не атаковать Facebook, а помочь социальной сети создать более безопасную систему. Менее уязвимую с точки зрения человеческого фактора, к примеру, социальной инженерии».
По словам авторов исследования, «социальные» механизмы защиты в Facebook и иных соцсетях существуют, но они недостаточно интеллектуальны и пока не могут отличить настоящего пользователя от бота, даже если последний действует полностью на автомате и без участия живого человека. Также в исследовании говорится, что в будущем на базе этой или ей подобных методик киберзлоумышленниками могут быть реализованы настоящие кампании по краже данных у десятков или даже сотен тысяч людей.
Ну а интернет-маркетологи, судя по всему, уже сейчас активно используют социальные боты в своей практике – на это указывает множество прямых и косвенных признаков. Впрочем, какие именно признаки имеются в виду, канадские ученые не уточнили.
По информации канадских ученых, также приведенной в отчете, в настоящий момент приобрести подобный набор скриптов можно в Интернете всего за $29. То есть подобные технологии не просто существуют, но и доступны для каждого желающего. Использовать же таких ботов можно для распространения спама, вредоносного ПО, сбора персональных данных, проведения скрытых рекламных кампаний и т.д.
Полный отчет о своем эксперименте исследователи из Университета Британской Колумбии изложат в докладе, который будет представлен на открывающейся в декабре во Флориде ежегодной конференции по компьютерной безопасности.
В Facebook сперва отказывались от каких-либо комментариев относительно доклада ученых, однако отметили, что для предотвращения подобных атак в социальной сети уже используется ряд мер предосторожности. «Мы всегда напоминаем нашим пользователям, что принимать запросы на добавление в список друзей следует только от тех пользователей, которых они знают и которым доверяют», – сообщил представитель Facebook.
Еще один ответственный сотрудник компании Facebook, пожелавший остаться неизвестным, заявил, что это исследование является неэтичным, а его результаты преувеличены.
Позднее появилось заявление Facebook, в котором говорится, что эти эксперименты не имеют практической ценности, поскольку исследователи пользовались интернет-адресами (IP) университетских серверов, тогда как использование адресов злоумышленниками немедленно привлекло бы внимание специальных сигнальных программ.
«У нас есть многочисленные системы, разработанные для обнаружения фальшивых профилей и предотвращения кражи личных данных. Мы постоянно совершенствуем эти системы в ответ на появление новых видов кибернападений», – говорится в заявлении.
Канадские ученые, однако, тут же парировали это заявление PR-службы соцсети. «Система защиты социальной сети Facebook Immune не обладает достаточной надежностью в обнаружении или предотвращении крупномасштабного проникновения такого рода», – утверждают они.
Денис Лавникевич
Компьютерная газета. Статья была опубликована в номере 44 за 2011 год в рубрике безопасность
