【猎云网(微信号:ilieyun)】7月29日报道(编译:金怡琳)
在会员制的激励下,网络诈骗者正在改进如何利用假Instagram账号来锁定这个流行社交媒体平台上的用户。
随着社交网络服务在本世纪初的崛起,这些服务本身以及其他所有形式的企业都看到了针对个人兴趣定制的定向广告带来的巨大收入潜力。与此同时,骗子们迅速利用这个新兴的平台从会员注册中赚钱,尽管其方式更加隐蔽。在此之前,他们一直依靠电子邮件作为推销成人约会和视频聊天进行诈骗的工具。
在社交网络兴起的几年里,一个由骗子组成的小型诈骗团伙突然冒了出来,他们利用机器人将社交媒体用户重定向到虚假账户,以利用引导性消费系统。事实上,自2016年以来,Instagram用户一直受到各种各样的骗子攻击,他们通过色情机器人发送有关成人约会和视频聊天的垃圾邮件。这些色情机器人的活动范围从简单地关注Instagram账号持有人,到喜欢和评论他们的照片,到最后甚至与他们直接进行私信交流。
虽然Instagram——在2018年达到每月10亿活跃用户——一直在努力阻止这些色情机器人账户的运营商,但正如你所想的,这不过是一个猫捉老鼠的游戏。作为一个研究这个领域多年的人,猫捉老鼠的游戏让我十分着迷。这篇文章的目的是突出我最近通过Instagram色情机器人观察到的一些值得注意的趋势,比如使用中介账户和机器人在照片标题中使用文学名言,并讨论它们出现背后的驱动力,这是我继续努力教育Instagram用户的一部分。
Instagram色情机器人
从历史上看,Instagram的色情机器人应该是独立的,它们只会执行一些简单的活动,比如点赞照片,在用户的个人简介中直接附上一个链接,并附上一些暗示性文字等。如今,这些色情机器人做了一些简单的改变,比如,换上了带有故事环的头像,让它们看起来像是在Instagram上发布了一个故事,并删除了带有暗示性的文字。
然而,为了绕过现有的一些机制对这类活动的检测,色情机器人运营商开始利用我所说的中介账户。
色情机器人如何使用中介账户
在本例中,中介账户“kayla”关注了一个用户。访问此用户的信息,显示其账户上没有照片。然而,个人简介中却包含了表情符号和“我的裸照在这里”这几个字,其间间隔着句号。添加标点符号是为了绕过Instagram可能用来检测此类活动的一些自动措施,比如对这些敏感词的检测。
之所以认为这是一个中介账户,是因为它指示用户访问不同的链接。在本例中,“kayla”中介账户链接到了一个名为“babe”的账户。
与中介账户类似,“babe”账户也不包含任何照片。然而,这篇个人简介并没有混淆文字,直接声明了“网站上所有的裸照,看”,并附有一个简短的网址链接。
没有任何与“babe”账户相关联的活动允许它在服务上持久存在而不会被检测机制自动标记。根据“babe”账户活动中使用的一些域名提供的情报,该活动的幕后推手至少从2016年中就开始频繁使用Instagram色情机器人发送垃圾邮件。自2016年以来,他们已经注册了近1300个域名,在过去6个月里注册了近100个。
类似账号开始流行
Instagram上有不少名字类似的“babe”账号。他们的个人简介中都有“全裸照片贴在网站上,看”这句话以及表情符号,但只有少数几个账户拥有缩略网址,这表明这几个账户是他们正在频繁使用的。目前还不清楚,那些没有网址缩写的账户是在达到目的后被丢弃的,还是为了防止Instagram删除他们的活跃账户而创建的可以立即使用的备用账户。
除了“babe”账户之外,还有其他具有不同命名约定的账户,但它们本质上是相同的。几个“babe”账户和一个“n_”账户使用了相同的链接,这表明每一批账户都是由同一个人生成的。
使用“小说叙述”的色情机器人账户
即使我们看到中介账户的使用有所增加,Instagram上的一些色情机器人账户仍然直接关注用户,以吸引他们的注意力。我最近发现了一批新的账号,它们与普通的色情机器人账号略有不同。这些账户不是空白的;它们通常最多包含三张照片。他们的名字包含两个随机的表情符号,一个在开头,一个在结尾。例如,一个名为“Carolyn Jones”的账户有一个敬礼表情,后面跟着一个带角的笑脸表情。
这些照片的特别之处在于它们看似随机的性质,这是为了从三个方面防止Instagram平台的怀疑:
大多数色情机器人账户都会在他们的个人资料中推广性暗示图片。
照片中的女人看起来不像同一个人。
个人简介中没有任何形式的标语,也没有简短的链接。
这些随机的图片本身也不包含任何链接或任何暗示性的评论。相反,它们包含一些似乎被截断的文本。比如,有幅图引用了亚历山大·杜马斯《基督山伯爵》中的一句话。
类似地,另一个名为“Pamela Turner”的色情机器人账户也收录了另一个摘录自《基督山伯爵》的大仲马语录,尽管来源不同。
另一个名为“Denise Sanders”的色情机器人账号的每张图片上几乎没有文字,只有一张图片上有一段更短的引言。
这篇文章没有引用杜马斯的任何小说,而是引用了George R.R Martin著名的《权力的游戏》小说。
在某些方面,这些账户在他们的手段中是新颖的,同时他们也使用小说中的引文,这就是为什么我把这些称为“小说叙述”。
与色情机器人直接“对话”
由于个人简介中没有任何内容的“小说”账户和其他色情机器人账户不会在公开场合宣传成人约会垃圾邮件,所以它们会在私下里直接发送信息。关注其中一个账户,并私信它,色情机器人就会用蹩脚的英语与你进行“对话”。
这些“对话”的有趣之处在于回复时间的延迟。“Carolyn Jones”色情机器人账户花了一个小时来回复最初的信息,而“Pamela Turner”色情机器人账户花了五个小时来回复。随后的消息将近22小时没有收到响应。推迟的原因尚不清楚。这可能是机器人配置中的一个功能,试图避开在Instagram Direct消息中寻找与机器人相关行为的自动机制。
在这两个“对话”中,相同的域在初始消息中使用,路径中使用不同的名称(Alison和Amy) ,尽管他们的账户名称完全不同(Carolyn和Pamela)。有趣的是,在后一种交换中,第二个链接使用了不同的链接,但路径却相同(都为Amy)。
需要注意的一点是,尽管这些新账户似乎是独一无二的,而且可能由同一家垃圾邮件运营商运营,但通过直接信息与Instagram用户互动、兜售垃圾邮件链接并不是独一无二的。
假的“安全”Instagram链接消息
我观察到的另一种Instagram色情机器人策略是伪造一个Instagram页面,声称某个链接被Instagram认为是安全的。
在本例中,色情机器人通过短链接服务TinyURL将用户链接到一个网站。“离开Instagram”页面托管在一个.xyz域上,只是作为一个模糊层,让用户相信他们浏览的链接确实是安全的。
非移动用户会被重定向到非色情页面
在某些情况下,如果从计算机访问链接,用户将被重定向到非成人主题的页面。例如,我在桌面浏览时观察到的一个页面提供了一个来自行星协会的旧文章的副本,其中包含破碎的图像和样式表。
但是从移动设备上访问相同的链接,就会导致一个302重定向(又称暂时性转移,是指一个网站或网页在24到48小时之内临时转移到其它的地址),将用户导入骗子的目标网站。虽然这可能被认为是一种阻止研究人员在计算机上进行检查的手段,但出于研究目的,有一些方法可以绕过它。然而,重定向背后的真正意图可能是确保“线索”来自移动设备,而不是计算机,以确保遵守成人约会附属计划指南。
Instagram即时群发消息
在中介或新账户之外,一些骗子在推送成人约会垃圾邮件时选择了更直接的方式:向大量用户发送群组直接消息。
在上面的例子中,一个名为“Dorothy”的色情机器人账号在Instagram的直接消息群聊中添加了25名用户。据Instagram称,用户可以在Instagram的一个直接消息群聊中添加多达32个用户。
虽然任何人都可以直接向用户发送Instagram消息,但他们会被过滤到一个单独的“消息请求”部分。他们通常不会更改组名,但有时他们也会为组命名,例如“my very hot photos”。
其中一个色情机器人在Instagram上发布了一条大量的直接信息,询问用户是否想让“Dorothy”给他们发信息,同时链接和图像缩略图不会显示给收件人。
一旦消息请求被接受,它就会显示一个链接和缩略图,声称该链接和缩略图将把用户引导到一个名为“SuicideGirls”的超模社区网站。
在另一个例子中,色情机器人声称链接只将用户导向粉丝网站,这是一种内容限制较少的社交网络服务,模特和色情演员通过订阅来提供内容。
毕竟,这些链接并不会直接把用户引向“SuicideGirls”网站或粉丝网站。就像上面提到的其他色情机器人账户一样,链接会指向一个连接网站的中介页面。
成人约会和视频聊天网站的中间页面
虽然我注意到存在中介账户,但Instagram色情机器人运营商也利用中介网站(称为“prelander”页面),为用户提供不同的活动,引导用户访问不同的成人主题约会和视频聊天网站。
用户被要求填写一份关于他们的性偏好的“调查”,这将导致他们选择成人约会或视频聊天网站。在这种情况下,他们会创建名为Snapcheat和Sinder的网站,这是流行社交网络和约会应用Snapchat和Tinder的一个翻版。这些链接中包含查询字符串,其中包含关于活动标识符和最重要的附属标识符的参数。
子公司和机器人
正如VICE在一篇关于Instagram色情机器人背后的金钱轨迹的文章中所讨论的,这些中间页面的目标是让Instagram的男性用户注册成人约会和Snapcheat和Sinder等视频聊天服务的会员。这些服务本身依赖于附属项目来吸引新用户。这些网站的联盟是相当普遍的,并被许多电子商务网站使用。在成人约会和视频聊天网站的世界里,当涉及到打击欺诈活动时,这些附属项目并不那么严格。毕竟,他们的目标是让更多的用户注册他们的网站。
在大多数情况下,附属公司可以通过简单地说服用户注册这些成人约会或成人视频聊天网站来获得用户引导权。通常由附属公司来定义用户的流向。在大多数情况下,当用户完成“免费用户注册”流程时,它将被视为可转移的用户流量,而通常每条用户流量值2到5美元。
“线索的圣杯”是附属公司提供包括像“CC提交”这样的措辞。它表示附属公司可以说服用户提交他们的信用卡以注册一个免费试用的服务。如果用户没有取消所谓的“免费”试用,他们通常会被收取40美元到100美元之间的费用,这确保了附属公司可以获得比用户免费注册的公司更高的报酬。
我们可以推测,那些负责Instagram色情机器人垃圾邮件的人专注于通过简单的注册来产生大量的用户流量,而不是追求要求用户提交信用卡的更有利可图的提议。后者的策略有更高的进入壁垒,它反映在从属支付金额上。尽管中介页面询问用户是否超过18岁,但用户仍然被指向成人约会和视频聊天网站,这使得甚至未成年的青少年也有可能点击这些链接并注册网站。
我们联系了Bitly和Instagram,向他们提供了有关诈骗活动的信息。Bitly证实已暂停该账户,并删除了骗子生成的链接。Instagram在截止到发表这篇文章前没有做出回应。
在Instagram垃圾邮件中链接活动
Instagram色情机器人垃圾邮件中使用的链接可以是直接链接到中介网站,也可以是屏蔽实际目标链接的短链接。根据我们从有限的活动中获得的短链接统计数据,每个链接的平均点击量约为285次。由于链接的点击程度不同,这个数字也出现了偏差,最少为9次点击,最多可达1000多次点击。
Bitly提供了每个短链接点击的细分数据。例如,下面是在一个“babe”活动中使用的较大容量的短链接之一的细分数据分析。
当我们在6月21日找到这个特别的小链接的统计数据时,它显示了超过1000次点击,其中97%来自Instagram,还有一小部分来自Facebook和一个更普通的社交网站。
与Bitly link互动的地理分布表明,它高度集中在美国,但其覆盖范围遍及全球80个地点。
总结
只要Instagram有这么多活跃用户,它就会继续成为色情机器人骗子的天堂。毕竟,就像广告商纷纷涌向Instagram等社交网络服务,他们都希望利用所有被社交网站吸引注意力的用户。因此,人们应该预料到骗子也不会离我们太远。
然而,唯一不变的就是变化。所以我们预计,随着时间的推移,这些欺骗策略会有所改变,因为猫捉老鼠的游戏还在继续。对于这些骗子来说,杜马斯的一句名言准确地描述了他们所做的行为:“人类所有的智慧可以归结为两个词:等待和希望。”