Двенадцать способов распознать бота: как определить, что аккаунт в Твиттере — фейковый

Эта статья была впервые опубликована на DFRLab

«Боты», то есть автоматические аккаунты в социальных сетях, выдающие себя за реальных людей, присутствуют в огромном количестве на таких платформах, как Твиттер. Их насчитывается миллионы; в отдельные ботнеты может входить до полумиллиона аккаунтов.

Эти боты могут негативно влиять на онлайн-дискурс, особенно работая сообща. Их можно использовать для вывода в тренды фразы или хештега, как проиллюстрировала @DFRLab, а также для распространения или критики сообщения или статьи и, наконец, для атак на других пользователей.

При этом многие боты и ботнеты легко заметны «невооруженным глазом», без применения специализированного программного обеспечения или платных аналиитических инструментов. В этой статье приводится двенадцать признаков, которые оказались для нас наиболее полезными при выявлении фейковых аккаунтов.

Основные принципы

Твиттер-бот — это аккаунт, который ведется программой, примерно как самолет, ведомый автопилотом. Автопилот можно включать и выключать; точно так же, такие аккаунты могут в разное время вести себя как боты и как реальные люди. Поэтому признаки, приведенные ниже, следует считать индикаторами «ботоподобного» поведения в конкретное время, а не стопроцентный способ установить, является ли аккаунт ботом.

Не все боты одинаково вредны; кроме того, не все связаны с политикой. Автоматические аккаунты могут, например, публиковать поэзию, фотографии или новости, не нанося никакого вреда.

Мы же изучаем ботов, прикидывающихся людьми и продвигающих политическую повестку.

В любом случае, важно отметить, что нельзя полагаться на единственный признак при выявлении «ботоподобного» поведения. Важна именно комбинация факторов. По нашему опыту, три наиболее важных признака — активность, анонимность и усиление.

1. Активность

Наиболее очевидный признак автоматического аккаунта — его активность. Ее легко вычислить, зайдя в профиль аккаунта и разделив количество постов на количество дней с момента его создания. Чтобы увидеть точную дату создания, наведите курсор на надпись рядом с календарем под никнеймом.

Скриншот профиля @Sunneversets100, сделанный 28 августа, на котором видна точная дата создания аккаунта. Архивные копии профиля сделаны 13 января и 28 августа 2017 года. Видно изменение количества твитов за этот период.

Частота твитов, вызывающая подозрения, может быть разной. Команда по изучению «вычислительной пропаганды» Оксфордского института интернета считает подозрительным среднедневное количество твитов, превышающее 50. Эта цифра широко признается и применяется, однако может быть заниженной.

@DFRLab считает подозрительными 72 твита в день (один твит каждые десять минут на протяжении 12 часов), а 144 твита в день — крайне подозрительными.

Например, аккаунт @sunneversets100, продвигающий прокремлевскую повестку, был создан 14 ноября 2016 года. К 28 августа 2017 года ему «исполнилось» 288 дней. За это время он опубликовал 203 197 твитов (точную цифру можно увидеть, наведя курсор на количество твитов в профиле).

Таким образом, он публиковал в среднем 705 твитов в день, то есть примерно твит в минуту за период в двенадцать часов, каждый день в течение девяти месяцев. Такое поведение нельзя назвать человеческим.

2. Анонимность

Второй важный признак — степень анонимности аккаунта. В целом, чем меньше в аккаунте личной информации, тем вероятнее, что это бот. Так, на аватарке @sunneversets100 — фотография собора во Флоренции, на фоне профиля — фрагмент графика роста населения, а его адрес и никнейм анонимны. Единственная уникальная черта — ссылка на американский политический агитационный комитет.

Другой пример — аккаунт @BlackManTrump, также отличающийся гиперактивностью: с 28 августа по 19 декабря 2016 года он опубликовал 89 944 твита (см. архив здесь), то есть в среднем 789 твитов в день.

Скриншот архива профиля @BlackManTrump. Обратите внимание на дату создания слева внизу и дату архивации справа вверху.

В этом аккаунте вообще нет личной информации. Его аватарка и фон не уникальны, местонахождение указано как «США», а в биографии содержится политическое заявление общего характера. Таким образом, ничто не указывает на личность хозяина аккаунта.

3. Усиление

Третий ключевой признак — усиление. Одна из основных задач ботов — «усиливать сигнал» других пользователей, ретвитя, лайкая и цитируя их. Поэтому лента типичного бота состоит из ретвитов и точных цитат новостных заголовков, а оригинальные посты полностью или практически отсутствуют.

Наиболее эффективный способ установить такой характер ленты — автоматически просканировать большое количество твитов. Однако можно и определить это «на глазок», нажав на «твиты и ответы» в профиле аккаунта и просмотрев последние 200 постов. Цифра 200 выбрана достаточно произвольно и представляет собой выборку разумных размеров; исследователи, у которых больше времени и меньше «замыливается глаз», могут просматривать больше твитов.

Например, по состоянию на 28 августа, 200 последних твитов @Sunneversets100 являлись ретвитами, многие — ретвитами кремлевских СМИ RT и Sputnik:

Скриншот ленты @Sunneversets100, сделанный 28 августа, на котором видно несколько ретвитов «Спутника» подряд. Отметим, что аккаунт, по-видимому, не публикует твитов с конца апреля. Если пересчитать количество твитов в день до 30 апреля, то получится 1210.

@BlackManTrump ведет себя чуть сложнее; большая часть его постов представляют собой ретвиты других аккаунтов, из которых удалено “RT @”:

Посты @BlackManTrump в ноябре 2016 года. Отметим, что каждый твит начинается с имени пользователя и двоеточия, что говорит о том, что это ретвиты, из которых удалено “RT @”

Таким образом, и @BlackManTrump, и @SunNeverSets100 ведут себя как боты, поскольку отличаются очень высокой активностью, анонимностью и «усилением сигнала».

Следует отметить, что аккаунт @BlackManTrump не проявлял активности с 14 ноября по 13 декабря 2016 года. Когда же он возобновил активность, она была гораздо меньшей, а гораздо больше твитов выглядели авторскими. Поэтому, если выражаться точнее, он вел себя как бот до середины ноября, а не является ботом сейчас.

Еще одна методика усиления — запрограммировать бота делиться новостями непосредственно с избранного списка сайтов, не добавляя комментариев. Разумеется, «шеры» — стандартная часть трафика Твиттера (например, шеринг этого поста читателями приветствуется) и сами по себе не являются подозрительными. Однако аккаунт, публикующий множество таких шеров подряд, вероятно, является автоматическим — например, этот антитрамповский аккаунт, обнаруженный в июле:

Скриншот ленты @ProletStrivings от 28 августа; обратите внимание, что твиты просто воспроизводят заголовки по ссылкам без добавления комментариев. Архивная копия аккаунта создана 28 августа.

4. Низкая активность / высокие результаты

Приведенные выше боты добиваются цели с помощью активного «усиления сигнала» одним аккаунтом. Другой способ добиться аналогичного эффекта — создать множество аккаунтов, ретвитящих один и тот же твит, то есть ботнет.

Такие ботнеты можно легко опознать, когда они «усиливают» конкретный твит, если аккаунт, который запостил этот твит, обычно не отличается подобной популярностью.

Например 24 августа аккаунт @KirstenKellog_ (ныне заблокирован, однако архивная копия доступна здесь) опубликовал твит с атакой на американское СМИ ProPublica (propublica.com).

Профиль @KirstenKellog_, в котором приведено количество твитов и фолловеров и виден один пост. Архивная копия от 24 августа 2017 г.

Как видно на скриншоте выше, этот аккаунт отличался очень низкой активностью. Он запостил только 12 твитов; 11 из них уже удалены. У него было 76 фолловеров, а сам он не фолловил ни одного аккаунта.

Тем не менее, этот твит получил более 23 000 лайков и ретвитов:

Скриншот твита с количеством лайков и ретвитов. Архивная копия от 24 августа 2017 г.

На следующий день еще один, по-видимому, российский аккаунт опубликовал аналогичный атакующий твит, набравший более 12 000 ретвитов и лайков:

Следующая атака. Архивная копия от 25 августа 2017 г. К 28 августа количество ретвитов и лайков перевалило за 20 000.

Этот аккаунт такой же малоактивный: он опубликовал всего 6 твитов, начиная с 25 августа, и зафолловил 5 других аккаунтов:

Профиль второго атакующего аккаунта.

Невероятно, чтобы два настолько малоактивных и непопулярных аккаунта набрали столько ретвитов, даже с использованием хештегов #FakeNews и #HateGroup. Такая разница в активности и популярности отдельных твитов говорит о том, что аккаунты, «усилившие» их, входят в состав ботнета.

5. Одинаковый контент

Принадлежность аккаунтов одной и той же сети можно подтвердить, изучив их твиты. Если они все одновременно публикуют одинаковый контент, вероятно, они на это запрограммированы.

Например, многие из аккаунтов предполагаемого ботнета, «усилившего» твит @KirstenKellog_, публикуют одинаковые твиты — например, такие:

Слева направо: Одинаковые ретвиты аккаунтами “Gail Harrison”, “voub19” и “Jabari Washington”, которые также вместе усиливали @KirstenKellog_.

Случается, что боты публикуют целые серии одинаковых твитов в одном и том же порядке. Три приведенных ниже аккаунта входят в одну и ту же антитрамповскую сеть, выявленную в июле:

Слева направо: одинаковые твиты в одном и том же порядке, опубликованные аккаунтамиy @CouldBeDelusion, @ProletStrivings и @FillingDCSwamp. Заметьте также, как в этих твитах слово в слово повторяются названия статей, которыми они делятся.

28 августа те же три аккаунта вновь опубликовали одинаковые твиты в одном и том же порядке; @ProletStrivings добавил к этому еще и ретвит:

Слева направо: Скриншоты профилей @CouldBeDelusion, @FillingDCSwamp и @ProletStrivings, в которых видны «шеры» в одном и том же порядке. Заметим также, что в первом твите в каждом из профилей содержится текст “Check out this link” [«Посмотрите на эту ссылку»], что также указывает на автоматический шеринг. Скриншоты и архивные копии сделаны 28 августа.

Такие серии одинаковых постов — классические признаки автоматизации.

6. Клуб любителей силуэтов

Наиболее примитивных ботов особо легко распознать, поскольку их создатели не озаботились загрузкой аватарок. Эти боты раньше назывались «яйцами», поскольку раньше на аватарках аккаунтов без юзерпика отображалось яйцо. Теперь там отображаются силуэты.

Некоторые пользователи имеют силуэты на аватарках по совершенно невинным причинам; таким образом, присутствие силуэта само по себе не является признаком бота. Однако если список аккаунтов, ретвитнувших твит, выглядит так…

Скриншот списка ретвитов твита @AtlanticCouncil, пережившего 28 августа особо очевидное и топорное нашествие ботов.

…или же если страница фолловеров аккаунта напоминает посиделки Клуба любителей силуэтов…

Скриншот страницы фолловеров финской журналистки @JessikkaAro после внезапного наплыва ботов 28 августа.

…ясно, что имеет место активность ботов.

7. Украденные или одинаковые фото профиля

Другие ботоводы более тщательно подходят к делу, маскируя анонимность фотографиями, взятыми из интернета. Поэтому хороший способ проверить подлинность аккаунта — поискать в интернете его аватар. В браузере Google Chrome нажмите на изображение правой кнопкой мыши и выберите «Поиск изображения в Google».

Поиск в Google Chrome фотографии предполагаемого бота “Shelly Wilson”.

В других браузерах выберите «копировать ссылку на изображение», введите ссылку в строку поиска Google и выберите «поиск по картинке».

В любом случае в результатах поиска отобразятся страницы с совпадающими изображениями, и тем самым можно определить, украденный ли аватар у аккаунта:

В случае с “Shelly Wilson” выяснилось, что изображение использовалось несколькими аккаунтами в той же сети, что подтверждает их «фейковость»:

8. Что в имени тебе..?

Еще один признак бота — название аккаунта (начинающееся с “@”). У многих ботов такие названия — просто бессмысленный набор букв и цифр, созданный алгоритмом, например:

Названия аккаунтов некоторых ботов, ретвитнувших твит @KirstenKellog_. Заметьте, что среди них есть одно настоящее имя — @ToddLeal3. О нем речь пойдет ниже.

Названия некоторых других аккаунтов выглядят как имена, но не соответствуют отображаемым именам:

Слева направо: “Sherilyn Matthews”, “Abigayle Simmons”и “Dorothy Potter” с названиями аккаунтов “NicoleMcdonal”, “Monique Grieze” и “Marina”соответственно.

Другие боты имеют типично мужские имена, но при этом женские аватарки (такие встречаются гораздо чаще, чем женские имена с мужскими аватарками; возможно, для мужской целевой аудитории)…

Еще три аккаунта в том же ботнете: “Todd Leal”, “James Reese” и “Tom Mondy”, архивные копии от 24 и 28 августа 2017.

или же мужские названия, но женские имена и аватарки…

Слева направо — “Irma Nicholson”, “Poppy Townsend” и “Mary Shaw”, согласно названиям аккаунтов — David Nguyen, Adrian Ramirez и Adam Garner.

… или что-то совершенно иное.

“Erik Young,” женщина, которая любит Иисуса, из того же ботнета.

Все это указывает на фейковые аккаунты, которые представляются кем-то другим (зачастую молодыми женщинами) для привлечения пользователей. Идентификация типа фейкового аккаунта и определение, бот ли это, зависит от его поведения.

9. Вавилонский Твиттер

Некоторые боты — политические, а все их твиты отражают одну и ту же точку зрения. Однако другие боты — коммерческие, и их услуги, по-видимому, продаются вне зависимости от содержания публикаций. Большая часть этих твитов аполитичные. Однако и эти боты могут использоваться для усиления политических твитов.

Такие ботнеты часто отличаются крайним языковым разнообразием. Например, в аккаунте “Erik Young” («женщины, любящей Иисуса») есть ретвиты на арабском, английском, испанском и французском.

Изучив подобным образом анонимный «силуэтный» аккаунт @multimauistvols (отображаемое имя “juli komm”), можно найти твиты на английском…

испанском…

арабском…

суахили (если верить Google Translate)…

индонезийском…

китайском…

русском…

и японском.

В реальности любой человек, владеющий всеми этими языками, наверняка может заниматься чем-то интереснее, чем продвижение видео с YouTube.

10. Коммерческий контент

Рекламная деятельность — классический признак ботнета. Как указано выше, некоторые ботнеты, по-видимому, существуют в основном для этой цели, и лишь изредка пробуют себя в политике. Когда же они все-таки это делают, их выдает как раз сосредоточенность на рекламе.

Хороший пример — любопытный ботнет, ретвитивший политический твит от аккаунта @every1bets, обычно посвященного азартным играм.

Ретвитившие «носили» самые разные имена, как видно в этом списке:

Однако значительная часть их твитов носили рекламный характер.

Аккаунты, которые в основном ретвитят подобные твиты, особенно на разных языках, вероятнее всего, входят в коммерческие ботнеты, клиенты которых хотят продвигать или рекламировать свои посты.

11. Программы автоматизации

Еще один признак возможной автоматизации — использование сокращения ссылок. Такие сокращения в основном используются для отслеживания трафика по конкретной ссылке, однако частота их использования может быть признаком автоматизации.

Например, один недавно выявленный фейковый аккаунт под именем “Angee Dixson” с фотографией немецкой супермодели Lorena Rae на аватарке опубликовал множество ультраправых политических твитов. В каждом из них присутствовала сокращенная ссылка ift.tt:

Это программное обеспечение, которое производится компанией ifttt.com и похволяет пользователям автоматизировать посты с различными критериями — например, ретвитить любой пост с конкретным хештегом. Поэтому лента с большим количеством сокращенных ссылок ift.tt наверняка принадлежит боту.

Другие сокращения ссылок также могут указывать на автоматизацию, если они постоянно встречаются в ленте. Например, сокращение ссылок ow.ly связано с менеджером социальных сетей HootSuite; известно, что многие боты публикуют множество твитов со ссылками ow.ly на различные сайты, что также указывает на автоматизацию. Приложение Твиттера TweetDeck позволяет пользователям встраивать различные сокращения ссылок, например bit.ly или tinyurl.com.

Отметим, что использование таких сокращений ссылок — нормальное явление в интернете, однако аккаунт, который только и делает, что делится новостными статьями с одним и тем же сокращением ссылок, следует проверить на другие признаки бота.

12. Ретвиты и лайки

Наконец, работу ботнета можно заметить, сравнив количество ретвитов и лайков конкретного твита. Некоторые боты запрограммированы и ретвитить, и лайкать одни и те же твиты; в таких случаях количество ретвитов и лайков будет практически одинаковым, а списки ретвитнувших и лайкнувших могут совпадать, как видно в следующем примере:

Слева — ретвиты, справа — лайки второго твита с атакой на ProPublica.com

В этом примере разница между количеством ретвитов и лайков составляет всего 11, то есть меньше 0,1%. Твит ретвитили и лайкали одни и те же аккаунты в одном и том же порядке в одно и то же время. Учитывая, что всего ретвитили и лайкали около 13 000 пользователей, такое совпадение практически невозможно. Это говорит о работе скоординированной сети, все аккаунты которой запрограммированы лайкать и ретвитить одну и ту же атаку.

Вывод

Боты стали неотъемлемой частью Твиттера. Многие из них достаточно безвредны, а вредных можно распознать по основным характеристикам.

Чаще всего такие характеристики — активность, анонимность и усиление, однако существуют и другие критерии. Краденые аватарки, бессмысленный набор букв и цифр в названии аккаунта и гендерное несоответствие названия, отображаемого имени и фото помогут распознать фейковый аккаунт. Их также можно выявить по шквалу коммерческих твитов или по твитам на множестве разных языков.

Однако важнее всего знать, что боты существуют и как их распознать. Пользователи, способные самостоятельно вычислять ботов, с меньшей вероятностью поддадутся манипуляции с их стороны, а возможно, и смогут жаловаться на деятельность ботнетов, что приведет к их блокировке. Основная цель ботов — влиять на живых пользователей. Эта статья призвана помочь пользователям заметить признаки активности ботов.

Бен Ниммо — старший научный сотрудник по информационной безопасности в Лаборатории цифровой криминалистики Атлантического совета (@DFRLab). Его аккаунт — точно не бот.

Следите за новостями и аналитикой от нашей команды #DigitalSherlocks