Gál
9 °C
21 °C
Index - In English In English Eng

Spameljen rabszolgákkal a Facebookon!

2009.01.16. 07:50
A modern idők modern spammerei a MySpace-re és a Facebookra optimalizált célszoftvert használnak, és Kínából, Indiából vásárolják a távol tartásukra rendszeresített captchákat. Megszólal a kínai captchagyáros és a magyar dj, aki a spamszoftvernek köszönheti külföldi fellépéseit.

Ha Ön még mindig emailben spamel, akkor vegye tudomásul, hogy Ön egy őskövület. Vásárol a feketepiacon néhány tízezer forintért egy néhány százezer címet tartalmazó listát, keres magának egy proxy szervert valahol Ukrajnában vagy Kínákban, kiküldi a címekre furfangos marketingüzenetét (V1aGRa! C14lis! extreme low prices!!), aztán hátradől, és várja a megrendeléseket. Persze kiderül, hogy a címek egy része nem él, vagy soha nem is élt, a levelek másik részét megfogja egy spamfilter, és ha lebukik, a magyarországi törvények alapján 50-500 000 forintra büntetik – lehet, hogy többször is. Ha olyan balszerencsés, hogy Amerikában kapják el, több év börtönt is kaphat, mire Ön megszökik, kiirtja családját, majd Önmagával is végez, belegondolni is rossz.

Nem csoda, hogy mivel a netezők egyre nagyobb tömegekben szoknak rá a közösségi szájtokra, az igazi, 21. századi spammerek mennek utánuk, mert a közösségi szájtokon nagyságrendekkel hatékonyabban lehet spamelni, mint mailben. A kifinomult spammerek ugyanúgy kihasználják a MySpace vagy a Facebook által összegyűjtött személyes adatokat, mint maguk a közösségi szájtok: a megfelelő eszközökkel a kéretlen reklámok épp olyan precízen targetálhatók, mint a kértek.

A mosolygós community. Ők még nem sejtik

Megfelelő eszközből pompás a választék: ott van például a klasszikus Easy Adder, a ToolSmith terméke, amelynek létezik MySpace-re és Facebookra kiadott változata is, 25 dollárért, illetve könnyített verziója, a Friend Click 20-ért. Erős versenytárs az Online Community Suite, amelynek alapváltozata 25 dollárért kapható, de az összes szolgáltatással felszerelt csomag 400-ba kerül.

Facebookozzon Facebook nélkül!

Ezeket a szoftvereket nem sötét hackerbugyrokban, titkos irc-csatornákon, hanem fiatalos, mosolygósra dizájnolt szájtokon árulják, teljesen legálisan: a csomagok alapvető célja ugyanis, hogy megkönnyítsék az ismerősbejelölgetést, a visszaigazolást, az üzenetküldést és a kommentezést, és ebbe nehéz belekötni. De az már a szolgáltatások listájából is egyértelmű, hogy az Easy Adder vagy az Online Community nem az átlagos facebookozóknak készült. Miért lenne szüksége valakinek például arra, hogy tömegesen jelöljön meg barátként felhasználókat különböző kritériumok alapján? Mindezt automatikusan, úgy, hogy nincs is a gép előtt? És miért lenne valakinek szüksége arra, hogy korlátlan számú accountja legyen egy-egy közösségi szájton? És miért kellene egy ártatlan ismerősbejelöléshez proxy szervert használni?

Precíz targeting: spamelje meg a 18 és 35 év közötti, Denvertől legfeljebb 15 kilométeres távolságban élő, ismerkedni vágyó elvált nőket!

A közösségi spammerprogramok készítői nem nagyon titkolják, mire szánták őket: "Érd el a megfelelő embereket. Reklámozd magadat és termékeidet" – hirdeti magát az Online Community. "Az Easy Adder az igazi MySpace Barátbejelölő eszköz, amely segít reklámozni együttesedet, termékeidet, szolgáltatásaidat, vagy akár elindulni a választásokon." – hirdeti magát a ToolSmith.

A célba vett közösségi szájtok érdekeit erősen sérti, hogy kívülállók élősködnek rajtuk, hiszen ők éppen azért gyűjtik a felhasználók demográfiai adatait, hogy maguk spamelhessék őket testre szabott hirdetésekkel. Aki a spamszoftvereket használja, ha nem akar, nem is találkozik a közösségi szájtok webes felületeivel, mert a spamszoftverek révén közvetlenül az adatbázissal kommunikál. A közösségi szájtok a védekezés módját is kitalálták: mivel a tömeges ismerősbejelölgetés, a kéretlen reklámok kommentekben való elhelyezése gépi úton, emberi beavatkozás nélkül zajlik, előszeretettel használják a captchát, ami arra hivatott, hogy ellenőrizze, ember ül-e a gép előtt, vagy sem. A legtöbb közösségi szájt (és ha már itt tartunk, webes levelező vagy blog a Gmailtől az Indáig) captchát használ legalább a regisztrációhoz, aztán vannak olyan szolgáltatások, ahol a felhasználók eldönthetik, kérnek-e captchát például a kommentezéshez vagy az üzenetíráshoz.

Még precízebb targeting: spameljen dohányzó, homo- vagy biszexuális, iskolázatlan indiánokat!

A captchák kijátszására számos módszer létezik, meg lehet próbálni hekkeléssel teljesen kikerülni őket, rájuk lehet támadni karakterfelismerő szoftverekkel, de a legbiztosabb a "human computing" néven emlegetett módszer, ami azt jelenti, hogy emberekkel olvastatjuk el és íratjuk le a captchákat, lehetőleg minél többet, és lehetőleg minél olcsóbban. A captchaocr.com-on például 1000 captchát 30, 100 000-t 1800 dollárért olvasnak el, de Dancho Danchev biztonságtechnikai szakértő tavaly nyáron olyan szolgáltatókat is talált, akik naponta 250 ezer captchát vállalnak, és 1000-ért csak 2 dollárt kérnek.

Mi az a CAPTCHA?

A CAPTCHA (ejtsd kb.: kapcsa, magyarul kacsa vagy kapca) a Completely Automated Public Turing test to tell Computers and Humans Apart kifejezésből alkotott mozaikszó, 2000-ben találták ki, és arra szolgál, hogy megkülönböztesse az embert a géptől. A captcha leggyakrabban egy szándékosan eltorzított, képformátumban megjelenített betű- vagy számsor, amit az emberi agy elméletileg könnyen feldolgoz (bár vannak kivételek), a gépi eszközök viszont nem tudnak megbirkózni vele (bár vannak kivételek.)

A captchaolvasó robotembereket foglalkoztató cégek jellemzően Kínában és Indiában működnek, és mint az a ToolSmith fórumaiból kiderül, nagyon komolyan veszik a vállalkozást, 24 órás online támogatással állnak a spammer ügyfelek rendelkezésére, és folyamatosan dolgoznak a szolgáltatás minőségének emelésén.

"Bármilyen, ember által olvasható captchatípust tudunk kezelni (Google, Yahoo és természetesen MySpace) – írja Daizisheng, a captchaocr.com ügyvezetője, valószínűleg Kínából, mert a fennakadások egy részéért a GMT-hez képest +8 órás időeltolódást okolja. "Munkásaink gyorsan dolgoznak. Naponta tízezernél is több captchával is megbirkózunk. És mivel gyorsan tudunk új munkaerőt felvenni, ha több captcha érkezik, azzal sem lesz probléma."

A vásárlók általában elégedettek a szolgáltatással, bár drágállják, és van, aki arra panaszkodik, hogy amikor magára hagyja a gépet, az 8 óra alatt is csak 150 új barátot jelöl be. "Ezt én az önök szolgáltatása nélkül 30 perc alatt megcsinálnám" – írja az elégedetlen spammer.

Meg is kerestük Daizishenget, aki MSN-en, Gtalkon és AIM-en is elérhető. Kiderült, hogy valóban Kínában van a cég, amely Myspace-es captchák megoldását 80-95, a technikailag bonyolultabb facebookosokét 70 százalékos hatékonysággal vállalja. 1000 captcha 30 dollárba kerül, de nagyobb megrendelés esetén az ár akár 20 dollár alá is lemehet. Fizetni természetesen csak azokért kell, amelyeket sikeresen megfejtettek.

Daizishenggel a Gtalkon

– És mi történik azokkal, amiket nem sikerül megfejteni?
– A munkások megtesznek minden tőlük telhetőt, de megeshet, hogy érvénytelen szöveget kapnak vissza – mondja Daizisheng.
– Elég munkásuk van? Azt mondjak, hogy a szolgáltatás néha lelassul.
– Sok munkásunk van, de néha lassúnak tűnik a dolog, mert kevesebb captcha érkezik be, vagy a munkások rövid pihenőt tartanak. Ez általában itteni idő szerint reggel történik, amikor az USA egyes részein este van.

Egy legitim spammer

A közösségi spamszoftvereknek létezik persze legitim, vagy legalább annak tartott alkalmazásuk is, magyarázza Brunner Zsolt 31 éves house-dj és producer, aki a MySpace-en nyomul, ehhez legalább két éve használja az Online Communityt. "Be tudom például jelölni vele egy júzer összes barátját" – mondja Brunner, aki ezzel a módszerrel szerzi a rajongókat és közvetve a koncertmeghívásokat is. A dj szerint a felhasználók úgy 10 százaléka kér captchát az üzenetküldéshez vagy a kommenteléshez, így ő is használja a szoftver captchaszolgáltatását: 1000 darabért 30 dollárt fizet.

"Nekünk megéri, mert az összes eddigi felkérésünk a MySpace-ről jött", mondta Brunner, aki zenei projektjeinek nevét érthető okokból inkább nem árulja el, de az biztos, hogy az aktív jelölgetés révén fellépett már Angliában, Olaszországban, Bulgáriában és Romániában is.

Hogyan védekezzen?

– Ha semmiképpen nem szeretné, hogy spammerek játszadozzanak az adataival, egyszerűen ne adja meg őket. Ezzel persze saját maga alatt vágja a fát, főleg ha meghatározott érdeklődésű vagy korú ismerősöket keres a közösségi szájtokon, de hát valamit valamiért.
– Ne jelöljön vissza senkit, akit nem ismer. Ezzel lemond az új ismerősökről, de a spammerek sem férkőzhetnek a bizalmába.
– Kérjen captchát, ahol lehet. Ezzel is maga alatt vágja a fát, illetve ismerőseivel szúr ki, a többit lásd fent.
– Regisztráljon álnéven, hogy senki ne találjon önre. Ennek hátránya, hogy a spammerek megtalálják, az ismerősei nem.
– Ne használjon közösségi szájtokat.