روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ در واقعیت ترسناک و ظالمانهی کنونی، حوزه اطلاعات در سراسر جهان آنقدر آغشته به کذب است که دیگر نمیتوان رویشان کنترل داشت. این روزها مردم با نشر اخبار کذب و پخش آنها در فضای آنلاین درآمدزایی میکنند. جدا از به کارگیریِ نیروی انسانی، این صنعت برای پوششدهی به فعالیتهای زردش حتی به یک سری بات نیز متوسل شده است. در نشست تحلیلگران امنیتیِ سال جاری؛ محققین Recorded Future از کشف باتهای خبریِ جعلی خبر دادند و مفصلاً به این مبحث پرداختند.
چرا باتهای خبریِ جعلی انقدر باب شدهاند؟
هیچکس باتها را دوست ندارد؛ اما شرکتهای رسانههای اجتماعی از ته دل از آنها متنفرند چون باتها، نان رسانههای اجتماعی را آجر میکنند و دیگر افراد به آنها جذب نمیشوند. برای مثال توییتر به صورت دورهای کلی بات شناسایی کرده و آنها را از کار میاندازد. این بدان معناست که شبکههای اجتماعی راههای مخصوص به خود را در شناسایی باتها دارند؛ اما این همه تلاش هنوز هم نتوانسته باتها را از نفس بیاندازد. شبکههای اجتماعی الگوریتمهای خود را رو نمیکنند اما بهتر است بگوییم آنها مبنای تلاششان را روی شناسایی رفتارهای غیرعادی میگذارند. نمونهی بارزش: اگر اکانتی سعی کند در هر دقیقه صد تا پست بگذارد پس حتماً بات است. یا فرض بگیریم اکانتی فقط توییتهای اکانتهای دیگر را ریتوییت کند و از خودش هیچ توییتی نگذارد... خوب این هم احتمالاً بات است.
اما سازندگان بات پیوسته در حال اصلاح کردن و تغییر دادن روش کار باتهای خود هستند تا بتوانند یک جورهایی تکنیکهای پیشرفته شبکههای اجتماعی را دور بزنند. سرویسهای رسانههای اجتماعی نمیتوانند این حجم از مثبتهای کاذب را تقبل کنند؛ ممنوع کردن افراد واقعی به جای باتها عواقب سنگینی دارد پس باید جانب احتیاط را رعایت کنند. و این یعنی همیشه یک سری بات شناسایی نمیشوند.
برای بررسی عمیقتر نحوه عملکرد باتها، Recorded Future مشخصهای برای هایلایت کردن گروهی خاص از باتها انتخاب کرده است- در این مورد خاص منظورمان صحبت کردن در مورد وقایع تروریستی است که تنها در توییتر ذکر میشوند. اگر اکانتی این کار را انجام دهد، پس بات است (یا دارد از یک بات ریتوییت میکند). با ما همراه باشید تا برایتان بیشتر از وجوه مشترک این اکانتها بگوییم.
باتهای خبریِ جعلی چگونه عمل میکنند؟
اول از همه اینکه وقایع ترورسیتی ذکر شده توسط این اکانتها واقعاً اتفاق افتادهاند و مقالات مرتبط به آنها نیز روی برخی وبسایتهای معتبر و موجه میزبانی شدهاند. جزئیاتی کم اما مهم: این وقایع سالها پیش رخ دادهاند؛ چیزی که این اکانتها بدان اشاره نمیکنند. برقراری ارتباط با رسانههای معتبر کاری میکند تا الگوریتمهای شناساییِ باتِ توییتر نرمتر شده و دیگر آنقدرها هم متخاصمانه برخورد نکنند. برای همین نبوغی که در پسِ این باتها خوابیده چنین استراتژی را انتخاب کرده است. دوم اینکه، اگر بخواهیم این شبکهی بات خاص را مورد بحث قرار دهیم باید بگوییم که صاحبان اکانت وانمود کردند از آمریکا هستند اما در واقع برای کشورهای اروپایی بودند. با در اختیار داشتن این اطلاعات، Recorded Future توانست بیش از 200 اکانت مشابه را شناسایی کرده و بیشتر به ارتباط بینشان پی ببرد. برای مثال، محققیت الگوی فعالیتی از آنها کشف کردند و پی بردند خیلی از این باتها تنها طی دورههای زمانی خاصی هماهنگ میشدند. برخی از این اکانتها همین میِ امسال ممنوع شدند اما کمی بعد اکانتهای جدیدی با همان رفتار مشابه از نو ساخته شدند -که هنوز هم در جریان هستند.
تشابه دیگر این است که همهی این اکانتها برای پست کردن اخبار نیمه جعلیشان، به یک سری کوتاهکنندهی یوآرال وابسته بودند. این کوتاهکنندههای یوآرال برای ارائهی یک سری تحلیل به دستهای پشت پردهی این باتها به کار میرفتند- مثلاً اینکه هر چند وقت یکبار روی هر لینک کلیک میشود. اما اینها کوتاهکنندههای یوآرال معمول که مردم از آنها استفاده میکنند نبودند (مانند t.co یا goo.gl) بلکه از آن نوعِ غیرمحبوب بودند که تنها برای جمعآوری دادهها به کارمیرفتند. به هر حال، تمامی این کوتاهکنندهها به طور غافلگیرکنندهای از طرح مینیمالیستیکِ مشابهی برخوردارند. استفاده از این کوتاهکنندهها همچنین این اکانتها را به هم وصل میکند. دادههای WHOIS برای وبسایتهای این کوتاهکنندهها نشان میدهد همهی آنها توسط پلتفرم ابری Microsoft Azure میزبانی میشوند و به طورگمنامی نیز رجیستر شدهاند. میگویید تصادفی است؟ احتمالاً خیر. بین این اکانتها شباهتهای بیشتری نیز وجود دارد؛ گرچه البته کمپینهایشان با هم فرق دارند. اما به طور کلی برای افشای شبکههای باتی، روش مؤثر این است که یک اکانت بات را مورد بررسی قرار دهید، ویژگیهای خاص آن را پیدا کنید و بعد به دنبال سایر اکانتهایی بگردید که از همان ویژگیهای خاص برخورداند.
چِکلیست بات خبریِ جعلی
در ادامه فهرستی تهیه کردیم از باتهای معمول. اکانتهایی که در یک شبکه یا کمپین استفاده میشوند معمولاً چند ویژگی مشترک بینشان وجود دارد. بنابراین، اکانتهایی که روی یک سایت شبکهی اجتماعی قرار دارند بات هستند اگر:
- در دستهها یا نامشان تشابه وجود دارد.
- درست در یک تاریخ ساخته شدهاند.
- به یک سایت، لینکها را پست میکنند.
- از عبارتهای یکسانی استفاده میکنند.
- اشتباهات گرامری مشابهی دارند.
- همدیگر و یا اکانتهای مشابه را فالو میکنند.
- از ابزار مشابهی چون کوتاهکنندههای یوآرال استفاده میکنند.
- تنها در بازههای زمانی یکسان فعالیت می کنند.
- بیو هایشان یکسان یا مشابه است.
- از تصاویر عمومی یا صورت آدمهای دیگر (براحتی در گوگل سرچ میشود) به عنوان آواتار استفاده میکنند.
البته، این بدین معنا نیست که چون چند اکانت با هم تشابه دارند یعنی حتماً بات هستند. یقیناً اینطور نیست. اما اگر تعداد شباهتها بیشتر از یکی بود پس احتمال دارد بات باشند.
بندزن، خیاط، سرباز، بات[1]
تحقیقات تیم Recorded Future حاکی از این است که استفاده از تحلیل رفتاری همچنان هم میتواند برای شناسایی باتها مؤثر باشد. محققین چند بات را پیدا میکنند، چیزی خاص در رفتارشان میبینند و بعد به دنبال همان رفتارهای خاص در اکانتهای دیگر میگردند. بدینترتیب راحتتر میتوانند باتهای دیگر را پیدا کنند. این بازی همچنان ادامه دارد و هیچگاه هم تمام نخواهد شد زیرا باتهای جدید هر روز سر باز میکنند و هر یک نیز الگوی رفتاری مخصوص به خود را دارند. نمیتوان همهی باتها را تنها تحت یک سری قوانین رفتاری خاص شناسایی کرد. با این وجود، استفاده از تحلیل رفتاری دست کم باعث میشود بتوان بخشی از شبکههای بات را شناسایی نمود. همچنین هر کسی که در رسانههای اجتماعی فعال است باید از وجود باتها آگاه باشد و به آنها اعتماد نکند.
[1]برگرفته از فیلم جاسوسی تولید سال 2011 تحت نام Tinker Tailor Soldier Spy (بندزن خیاط سرباز جاسوس).
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.