211service.com
Phony Twitter-profielen zijn bedoeld om spammers te slim af te zijn
Het is niet ongebruikelijk om gebruikersprofielen op meerdere sociale netwerken te hebben, of zelfs aparte accounts op sites zoals Twitter: een voor werk en een voor ontspanning. Maar Kyumin lee aan de Texas A&M University heeft 60 Twitter-accounts, en niet omdat hij populair is.
Lee's accounts zijn honeypots, ontworpen om de aandacht te trekken van de spammers die in toenemende mate sociale netwerken gebruiken om links naar malware en phishing-websites te verspreiden. Door Lee ontwikkelde software houdt berichten in de gaten die naar de honeypot-accounts worden verzonden om de tactieken te leren die door spammers worden gebruikt.
Het concept van een honeypot is goed ingeburgerd op netwerkniveau, zegt Lee. Gewoonlijk neemt het de vorm aan van onbeveiligde computers die worden gebruikt om spam-e-mail of netwerkgebaseerde aanvallen te controleren. We besloten het op een hoger niveau toe te passen om meer te weten te komen over spam in sociale netwerken. Lee voert het project uit met A&M-collega's James Caverlee en Brian David Eoff, en met Steve Webb aan de Georgia Tech University. Het werk wordt mede mogelijk gemaakt door een onderzoeksprijs van Google.
De honeypot-accounts, zoals deze , automatisch updates posten die zijn ontleend aan een verzameling van 120.000 echte tweets die van Twitter zijn verzameld. Het team heeft ook honeypots op MySpace ingezet en software gemaakt die dummy-profielen op beide netwerken gebruikt om meer te weten te komen over spammertactieken. We hebben een botmonitor die contact opneemt met onze profielen, zegt Lee. Het kijkt naar wat ze in hun berichten plaatsen en heeft ook toegang tot hun profiel om hun demografische informatie en eerdere updates te bekijken.
Tot dusver, zegt Lee, hebben onze 61 honeypots verleid en 30.867 spammers verzameld op Twitter. De gegevens die door die bots worden verzameld, kunnen ook worden gebruikt om classificatiealgoritmen te trainen om spammers te identificeren die nog geen contact hebben opgenomen met een honeypot. Een classifier die was getraind met behulp van de Twitter-honeypots, bleek in staat om spamprofielen meer dan 80 procent van de tijd correct te identificeren. Er wordt een openbare webservice gebouwd op basis van het getrainde model waarmee mensen kunnen opzoeken welke accounts als spam worden beschouwd en correcties kunnen indienen voor alle accounts die verkeerd zijn geïdentificeerd, zegt Lee.
Spam- en phishing-aanvallen via sociale netwerken vormen een groeiend probleem, zegt Don DeBolt, directeur bedreigingsonderzoek bij IT-softwarebedrijf CA Technologies . Een phishing-zwendel via Twitter heeft bijvoorbeeld onlangs de iTunes-accounts van sommige gebruikers gestolen. Mensen vertrouwen deze applicaties meteen omdat ze zo communiceren met vrienden, legt DeBolt uit. Omdat mensen veel minder tekst verzenden dan een e-mail en er vaak URL-verkorters worden gebruikt, is het moeilijker voor mensen om te beseffen dat een bericht misschien niet echt is.
Het team van DeBolt onderhoudt zijn eigen honeypot-profielen en controleert deze handmatig om te zoeken naar nieuwe spammertactieken. We moeten echter heel voorzichtig zijn bij het samenstellen van onderzoeksprofielen die geen echte persoon nabootsen, zegt hij.
Het feit dat honeypots van sociale netwerken deel moeten uitmaken van een gemeenschap, is een fundamenteel verschil met de conventionele benadering, zegt Azer Bestavros , een netwerkspecialist aan de Boston University die in het verleden heeft gewerkt aan het analyseren van blogspam. Een honeypot-computer op een netwerk wordt meestal toegewezen aan donkere adresruimte, zodat er nooit legitiem contact met een andere machine zou kunnen worden opgenomen.
Andere gebruikers zouden onze honeypot als een echt persoon kunnen beschouwen, erkent Lee. Maar we hebben geen vrienden of nemen geen contact op met andere mensen, en op Twitter plaatsten onze profielen willekeurige berichten zodat een normale gebruiker er niet aan zou denken contact met ons op te nemen.
Sommige berichten en vriendschapsverzoeken die naar een sociale honeypot worden gestuurd, kunnen afkomstig zijn van legitieme gebruikers, dus de informatie die van hen wordt verzameld, moet zorgvuldig worden behandeld, zegt Bestavros. Lee en collega's experimenteren met het variëren van de output en demografische kenmerken van hun honeypots om erachter te komen wat spammers het meest aantrekt, bijvoorbeeld door de leeftijd en locatie van de dummygebruiker te variëren, of de frequentie van hun updates. De meeste spammers presenteren zichzelf als vrouwelijke studenten, zegt Lee. Gegevens van MySpace-honeypots laten zien dat de meesten beweren zich in Californië te bevinden, en tot nu toe lijkt het erop dat mannen van middelbare leeftijd het geprefereerde doelwit zijn.
Lee en collega's zijn ook geïnteresseerd in het uitproberen van de aanpak op 's werelds grootste sociale netwerk: Facebook. Het is een meer besloten netwerk, maar als we toestemming van hen zouden kunnen krijgen, zou het interessant zijn om het daar te proberen, zegt hij.