SlideShare a Scribd company logo

Summary of "Following Their Footsteps: Characterizing Account Automation Abuse and Defenses"

D
DamianAdrianWawryszu

Summary of "Following Their Footsteps: Characterizing Account Automation Abuse and Defenses". The document classifies Account Automation Services and offers a possible solution.

Engineering
1 of 9
Download to read offline
UNIVERSITA’ DEGLI STUDI DI TRIESTE DIPARTIMENTO DI INGEGNERIA ED ARCHITETTURA LAUREA TRIENNALE IN INGEGNERIA ELETTRONICA E INFORMATICA ANNO ACCADEMICO 2018-2019 SUMMARY OF “FOLLOWING THEIR FOOTSTEPS: CHARACTERIZING ACCOUNT AUTOMATION ABUSE AND DEFENSES”. Studente RELATORE DAMIAN ADRIAN WAWRYSZUK PROF. ALBERTO BARTOLI MATRICOLA: IN0500287
2 INDICE 1.Introduzione..................................................................................................................................3 2.Account Automation Services (AAS). ............................................................................................3 3.Servizi e costi.................................................................................................................................4 4.Profili honeypot e la raccolta dati.................................................................................................5 5.I grandi numeri dell’abuso. ...........................................................................................................6 6.Le contromisure. ...........................................................................................................................8 7.Conclusioni. ...................................................................................................................................9 8.Fonti bibliografiche .......................................................................................................................9
3 INTRODUZIONE. Instagram, come la maggior parte dei social media, si basa sul concetto della popolarità secondo cui più un utente è popolare, e più grande è la platea a cui giungono i suoi messaggi. Il concetto dei follower diviene così un simbolo con cui possiamo collocarci all'interno di un'astratta piramide sociale formatasi tra gli utilizzatori della piattaforma sopraccitata. Non è strano dunque pensare a dei servizi che, violando le Condizioni d'Uso di Instagram, permettano di gonfiare il nostro status sociale in cambio di denaro. Come si dimostra nel seguito del documento, sono organizzazioni di enorme successo il cui profitto mensile può sfiorare anche il milione di dollari. Proprio per questo motivo è importante capire in che modo agiscono, che servizi offrono ai propri clienti e come si può fermare la suddetta inflazione dei “mi piace”. L'analisi sfrutta e approfondisce alcuni lavori, come quello di Hooi et al. che evidenzia la difficoltà nel distinguere tra azioni legittime e illegittime svolte da account organici (non bot), o come quello di Mislove et al. che identifica un alto grado di interazioni reciproche all'interno delle piattaforme social. ACCOUNT AUTOMATION SERVICES (AAS). Per raggiungere il loro obiettivo, le organizzazioni utilizzano l'automazione degli account (account automation): ogni utente, durante il processo di registrazione, deve fornire le credenziali di accesso al proprio account in modo da permettere al sistema di operare per suo conto. Grazie all'ingegneria inversa sulle API distribuite da Instagram, le richieste generate dal servizio sembrano essere generate da un mobile client. In particolare gli AAS si dividono in: • Reciprocity Abuse, in cui viene abusato il fenomeno della reciprocità sociale. Dall'account del cliente viene automatizzato un grande numero di azioni uscenti nella speranza che almeno un sottoinsieme di soggetti bersagli replichi fornendo dei like o follow all'utente. Tra i servizi studiati di questo tipo troviamo: Instalex, Instazood e Boostgram. • Collusion Networks che forniscono al cliente azioni non autentiche. Una rete di collusione ha come finalità lo scambio di azioni tra gli account che vi partecipano. Ogni partecipante genera attività in uscita verso gli altri utenti e riceve azioni in entrata dalla rete. Tutti i soci dunque vengono sfruttati dal servizio per soddisfare le richieste di ogni iscritto. Tra i servizi studiati i questo tipo troviamo: Hublaagram e Followersgratis.
4 SERVIZI E COSTI Dalla prima tabella è possibile capire quali sono i servizi offerti per ciascun AAS studiato. Non è sorprendente il fatto che ogni organizzazione offra almeno like e follow in quanto si tratta delle azioni più comuni associate alla piattaforma Instagram. Dai seguenti dati si deduce inoltre, che tutti gli AAS di tipo Reciprocity Abuse offrano l’unfollow in modo da cancellare le azioni in uscita dai profili dei loro clienti. Per ottenere massimi risultati, agli utenti di questo tipo di servizio, viene chiesto di specificare una lista di profili Instragram o hashtag con cui interagirà il sistema. Ai clienti delle reti di collusione invece viene chiesto solo il quantitativo di azioni in entrata desiderato. Per aggiudicarsi più clienti possibile, le due tipologie di AAS procedono in due direzioni diverse: • I Reciprocity Abuse offrono un periodo di prova in cui mostrano le potenzialità dei loro servizi. • I Collusion Network danno la possibilità di richiedere periodicamente delle azioni “gratuite”. Le azioni non sono del tutto gratuite in quanto per poterle richiedere l’account deve avere una partecipazione attiva nella rete. La fonte di entrata principale per tutti gli AAS studiati sono i servizi a pagamento. In entrambe le tipologie di sistemi, più grande è la quantità di denaro investita e maggiore è il numero di azioni che si riceve. Nelle tabelle riportate di seguito vediamo i costi relativi alle organizzazioni Hubblagram, Instalex, Instazood e Boostgram. LE TABELLE SONO PRESE DA: “FOLLOWING THEIR FOOTSTEPS: CHARACTERIZING ACCOUNT AUTOMATION ABUSE AND DEFENSES” LA TABELLA È PRESA DA: “FOLLOWING THEIR FOOTSTEPS: CHARACTERIZING ACCOUNT AUTOMATION ABUSE AND DEFENSES” Tabella RA: viene mostrato il periodo di prova, durata minima dell’abbonamento ed il corrispettivo costo. Una volta pagata la quota, il profilo dell’utente ottiene tutti i vantaggi del servizio scelto. Tabella CN: gli utenti delle reti di collusione possono scegliere se participare attivamente nella rete. Pagando $15 l’account dell’utente riceverà azioni dal servizio ma non ne genererà. Hublaagram permette di focalizzare tutti i “mi piace” sull’ultima foto (Immediate) oppure di ricevere i “mi piace” comprati su ogni foto caricata durante il mese di abbonamento (Month).
5 PROFILI HONEYPOT E LA RACCOLTA DATI Per capire cosa succede agli account di ogni utente iscritto agli AAS nominati sopra, sono stati creati molteplici profili honeypot (profili trappole). Questi possono essere distinti in: • Vuoti: contengono il minimo di informazioni necessarie per poter essere iscritti a tutti i servizi. In particolare vi troveremo dieci foto di varie categorie. • Vissuti: oltre alle dieci fotografie contengono anche una biografia e un nome unici. • Controllo: le caratteristiche sono quelle degli account vuoti ma che non verranno mai iscritti a nessun servizio. Questi vengono utilizzati per stimare le azioni in entrata generate spontaneamente dagli altri utenti Instagram. Dal momento che ogni utente deve fornire i dati di accesso al proprio profilo, quest’ultimo potrebbe essere utilizzato per produrre azioni non desiderate. Il risultato del confronto tra azioni richieste ed azioni registrate, mostra come ogni AAS genera solo attività strettamente richiesta dal cliente. Nelle reti di collusione dunque, se le azioni in entrata richieste sono i like, il profilo produrrà solo like in uscita. E’ altrettanto importante capire quanto sono efficaci i sistemi basati sull’Abuso di Reciprocità. I dati raccolti sono divisi tra profili vuoti (E) ed i profili vissuti (L). Le azioni outbound sono quelle in uscita dall’account mentre inbound sono le azioni in entrata. Dai dati raccolti emerge che gli account vissuti, in genere, ricevono più azioni in ritorno. Tra queste, lo scambio di follow è di gran lunga la pratica più comune tra gli utilizzatori della piattaforma Instagram. Gli utenti tendono inoltre a rispondere con la stessa azione e non rispondono mai con i like ai follow. I risultati ottenuti sono simili per tutte e tre le organizzazioni. Questo è dovuto al fatto che sfruttano lo stesso fenomeno sociale. LA TABELLA È PRESA DA: “FOLLOWING THEIR FOOTSTEPS: CHARACTERIZING ACCOUNT AUTOMATION ABUSE AND DEFENSES”
6 I GRANDI NUMERI DELL’ABUSO. Grazie alle informazioni raccolte da honeypot accounts come il tipo di azione, indirizzo IP e Autonomous System Number (ASN) del client e alcuni segnali prodotti all’interno di Instagram, è stato possibile catalogare le attività di tutti gli AAS studiati. Questi dati permettono di risalire all’organizzazione che ha generato un'azione sulla piattaforma. In questa sezione non è possibile distinguere le azioni svolte da Instalex e Instazood in quanto franchising della stessa azienda. D’ora in poi si parla di Insta*. In aggiunta non viene preso in considerazione Followersgratis in quanto già schedato dal sistema anti abuso di Instagram. L’analisi interna delle organizzazioni parte dallo stimare il numero di utenti che hanno usufruito dei vari servizi nei tre mesi di osservazione. Viene fatta una distinzione tra gli utenti a lungo (Long-term) e corto (Short-term) termine. Nel caso di Abuso di Reciprocità un utente diventa a lungo termine se aderisce al servizio per più di sette giorni consecutivi mentre un utente delle reti di collusione deve partecipare per più di quattro giorni consecutivi per essere definito tale. Il mercato inoltre non sembra essere saturo. Nei 90 giorni di misurazione Insta* registra una crescita del 10% degli utenti a lungo termine mentre Hublaagram e Boostgram annotano solo un piccolo calo. Il passo successivo è quello di stimare le entrate di ciascuna organizzazione. E’ necessario suddividere gli account tra quelli che generano e non generano profitto. Per i servizi del tipo Abuso di Reciprocità i contribuenti sono coloro che pagano l’abbonamento una volta che finisce il periodo di prova, ovvero i Long-term. Ognuno di questi porta un guadagno pari al costo della sottoscrizione che ricopre tutti i giorni di attività. Per Insta* viene fornito un range in quanto le due organizzazioni hanno prezzi differenti. Di seguito viene riportata la tabella con le relative entrate mensili. La grande fiducia in questi sistemi è dovuta alla loro efficacia. Si dimostra infatti che i profili bersagli non sono casuali ma bensì utenti con tanti “Following” e pochi “Followers” (ovvero utenti che più probabilmente ricambieranno). LA TABELLA È PRESA DA: “FOLLOWING THEIR FOOTSTEPS: CHARACTERIZING ACCOUNT AUTOMATION ABUSE AND DEFENSES” LA TABELLA È PRESA DA: “FOLLOWING THEIR FOOTSTEPS: CHARACTERIZING ACCOUNT AUTOMATION ABUSE AND DEFENSES”
7 Per le reti di collusione la suddivisione non è altrettanto semplice in quanto un utente può far parte della rete ma richiedere solamente i servizi gratuiti. Innanzitutto sono stati rilevati 24420 account che hanno pagato per non partecipare attivamente nella rete. Dopo di che viene adottato il seguente schema per collocare gli utenti nelle varie categorie di abbonamenti: Al fatturato di questa organizzazione si aggiungono anche le pubblicità che vengono mostrate ad ogni interazione con il website: è stato stimato che per mille impression (CPM), in base alla geolocalizzazione di chi visualizza il sito, Hublaagram guadagni dai $0.60 ai $4.00. Dalla Tabella entrate CN è possibile vedere il numero di account in ogni categoria, la corrispettiva spesa ed il guadagno generato ogni mese. LA TABELLA È PRESA DA: “FOLLOWING THEIR FOOTSTEPS: CHARACTERIZING ACCOUNT AUTOMATION ABUSE AND DEFENSES” ”
8 LE CONTROMISURE. L’obiettivo di questa sezione non è di fermare definitivamente gli AAS ma di fornire informazioni utili ai sistemi di rilevamento e prevenzione. Instagram è in grado di individuare gli account associati alle varie organizzazioni e grazie a questo fatto è possibile distinguere due tipi di interventi: • Blocco sincrono: blocca le azioni degli account di un AAS. • Rimozione ritardata dei follows: gli outbound follows vengono rimossi dopo 24 ore. Per escludere il maggior numero possibile di falsi positivi durante gli interventi è stato preso in considerazione un insieme di account che non aderiscono a nessun AAS. È stata calcolata una soglia di azioni svolte da account regolari ed il superamento di questa da uno degli account irregolari indica automaticamente l’abuso. Le contromisure sono state applicate in due fasi: In entrambe le fasi è stato costituito anche un gruppo di account di controllo a cui non è mai stata applicata alcuna contromisura. I risultati sono stati simili per tutte le organizzazioni studiate. Le due fasi, nonostante il numero di soggetti sia diverso, portano agli stessi risultati: il blocco viene individuato e raggirato subito mentre la rimozione ritardata non viene mai rilevata. Di seguito vengono riportate due figure esemplificative: Figura Follow Boostgram e Figura Like Hubblagram.
9 CONCLUSIONI. Data l’influenza di Instagram nella vita delle persone è importante capire come controllare questo fenomeno che permette di acquisire grandi quantità di follower e like. Un business da quasi un milione di dollari al mese a cui rimetterci sono gli utilizzatori regolari che si ritrovano circondati da interazioni non genuine. Per evitare l’ulteriore espansione di questi mezzi è importante agire nell’immediato, prima che le loro azioni diventino non identificabili. Dagli esperimenti condotti risulta che la soluzione più vantaggiosa è costituita dalla rimozione ritardata. Quest’ultima porta ai migliori risultati nella tutela di tutti gli utenti: le organizzazioni non riescono ad individuarla e, di conseguenza, a sviluppare sistemi per aggirarla come accade nel caso del blocco sincrono. FONTI BIBLIOGRAFICHE • DeKoven Louis F., Leontiadis Nektarios, Pottinger Trevor, Savage Stefan, Voelker Goeffrey M., Following Their Footsteps: Characterizing Account Automation Abuse and Defenses, in IMC '18 Proceedings of the Internet Measurement Conference 2018, pp. 43-55. LE FIGURE SONO PRESE DA: “FOLLOWING THEIR FOOTSTEPS: CHARACTERIZING ACCOUNT AUTOMATION ABUSE AND DEFENSES” ” Figura Follow Boostgram: mostra il numero medio di follow in uscita da ogni profilo associato. Si nota come Boostgram riesca a capire quanto valga la soglia (Follow Threshold) e di come riesca ad allineare i suoi sistemi a rispettare i nuovi limi. Figura Like Hublaagram: Mostra la proporzione degli account sottoposti al blocco. Hublaagram ci ha impiegato tre settimane per sviluppare e attuare un sistema che raggirasse la contromisura. La rimozione ritardata non viene mai individuata.

Recommended

Presentazione damian adrian wawryszuk
Presentazione damian adrian wawryszukPresentazione damian adrian wawryszuk
Presentazione damian adrian wawryszuk
DamianAdrianWawryszu
 
Summary of “An Automated Approach to Auditing Disclosure of Third-Party Data ...
Summary of “An Automated Approach to Auditing Disclosure of Third-Party Data ...Summary of “An Automated Approach to Auditing Disclosure of Third-Party Data ...
Summary of “An Automated Approach to Auditing Disclosure of Third-Party Data ...
FabioDalCol
 
Presentazione Dal Col Fabio
Presentazione Dal Col FabioPresentazione Dal Col Fabio
Presentazione Dal Col Fabio
FabioDalCol
 
Slides summary of - measuring the facebook advertising ecosystem
Slides summary of - measuring the facebook advertising ecosystemSlides summary of - measuring the facebook advertising ecosystem
Slides summary of - measuring the facebook advertising ecosystem
eugenioceschia
 
Michielin Davide Extended Summary
Michielin Davide Extended SummaryMichielin Davide Extended Summary
Michielin Davide Extended Summary
Davide Michielin
 
Summary of "AdBudgetKiller: Online Advertising Budget Draining Attack"
Summary of "AdBudgetKiller: Online Advertising Budget Draining Attack"Summary of "AdBudgetKiller: Online Advertising Budget Draining Attack"
Summary of "AdBudgetKiller: Online Advertising Budget Draining Attack"
Davide Nigri
 
Summary of "AdBudgetKiller: Online Advertising Budget Draining Attack"
Summary of "AdBudgetKiller: Online Advertising Budget Draining Attack"Summary of "AdBudgetKiller: Online Advertising Budget Draining Attack"
Summary of "AdBudgetKiller: Online Advertising Budget Draining Attack"
Davide Nigri
 
Cyberextortion
CyberextortionCyberextortion
Cyberextortion
Salim Al Talie
 

Recommended

Presentazione damian adrian wawryszuk
Presentazione damian adrian wawryszukPresentazione damian adrian wawryszuk
Presentazione damian adrian wawryszuk
DamianAdrianWawryszu
 
Summary of “An Automated Approach to Auditing Disclosure of Third-Party Data ...
Summary of “An Automated Approach to Auditing Disclosure of Third-Party Data ...Summary of “An Automated Approach to Auditing Disclosure of Third-Party Data ...
Summary of “An Automated Approach to Auditing Disclosure of Third-Party Data ...
FabioDalCol
 
Presentazione Dal Col Fabio
Presentazione Dal Col FabioPresentazione Dal Col Fabio
Presentazione Dal Col Fabio
FabioDalCol
 
Slides summary of - measuring the facebook advertising ecosystem
Slides summary of - measuring the facebook advertising ecosystemSlides summary of - measuring the facebook advertising ecosystem
Slides summary of - measuring the facebook advertising ecosystem
eugenioceschia
 
Michielin Davide Extended Summary
Michielin Davide Extended SummaryMichielin Davide Extended Summary
Michielin Davide Extended Summary
Davide Michielin
 
Summary of "AdBudgetKiller: Online Advertising Budget Draining Attack"
Summary of "AdBudgetKiller: Online Advertising Budget Draining Attack"Summary of "AdBudgetKiller: Online Advertising Budget Draining Attack"
Summary of "AdBudgetKiller: Online Advertising Budget Draining Attack"
Davide Nigri
 
Summary of "AdBudgetKiller: Online Advertising Budget Draining Attack"
Summary of "AdBudgetKiller: Online Advertising Budget Draining Attack"Summary of "AdBudgetKiller: Online Advertising Budget Draining Attack"
Summary of "AdBudgetKiller: Online Advertising Budget Draining Attack"
Davide Nigri
 
Cyberextortion
CyberextortionCyberextortion
Cyberextortion
Salim Al Talie
 
Legal (Types of Cyber Crime)
Legal (Types of Cyber Crime)Legal (Types of Cyber Crime)
Legal (Types of Cyber Crime)
Jay Visavadiya
 
Cybersecurity for Everyone Course. Final Project OilRig.pdf
Cybersecurity for Everyone Course. Final Project OilRig.pdfCybersecurity for Everyone Course. Final Project OilRig.pdf
Cybersecurity for Everyone Course. Final Project OilRig.pdf
HamzaAfzal61
 
Botnet and its Detection Techniques
Botnet and its Detection Techniques Botnet and its Detection Techniques
Botnet and its Detection Techniques
SafiUllah Saikat
 
Botnet Detection in Online-social Network
Botnet Detection in Online-social NetworkBotnet Detection in Online-social Network
Botnet Detection in Online-social Network
Rubal Sagwal
 
Spyware
SpywareSpyware
Spyware
Peeyush Sharma
 
Phising a Threat to Network Security
Phising a Threat to Network SecurityPhising a Threat to Network Security
Phising a Threat to Network Security
anjuselina
 
Cyber security Awareness: In perspective of Bangladesh
Cyber security Awareness: In perspective of Bangladesh Cyber security Awareness: In perspective of Bangladesh
Cyber security Awareness: In perspective of Bangladesh
Bangladesh Network Operators Group
 
Corporate threat vector and landscape
Corporate threat vector and landscapeCorporate threat vector and landscape
Corporate threat vector and landscape
yohansurya2
 
Penetration testing
Penetration testingPenetration testing
Penetration testing
Ammar WK
 
Cyber security
Cyber security Cyber security
Cyber security
Tanu Basoiya
 
Dark web markets: from the silk road to alphabay, trends and developments
Dark web markets: from the silk road to alphabay, trends and developmentsDark web markets: from the silk road to alphabay, trends and developments
Dark web markets: from the silk road to alphabay, trends and developments
Andres Baravalle
 
Phishing
PhishingPhishing
Phishing
Alka Falwaria
 
PHISHING PROJECT REPORT
PHISHING PROJECT REPORTPHISHING PROJECT REPORT
PHISHING PROJECT REPORT
vineetkathan
 
IDS - Fact, Challenges and Future
IDS - Fact, Challenges and FutureIDS - Fact, Challenges and Future
IDS - Fact, Challenges and Future
amiable_indian
 
Introduction to Cross Site Scripting ( XSS )
Introduction to Cross Site Scripting ( XSS )Introduction to Cross Site Scripting ( XSS )
Introduction to Cross Site Scripting ( XSS )
Irfad Imtiaz
 
From email address to phone number, a new OSINT approach
From email address to phone number, a new OSINT approachFrom email address to phone number, a new OSINT approach
From email address to phone number, a new OSINT approach
Martin Vigo
 
Phishing detection & protection scheme
Phishing detection & protection schemePhishing detection & protection scheme
Phishing detection & protection scheme
Mussavir Shaikh
 
Guest Lecture-Computer and Cyber Security.pptx
Guest Lecture-Computer and Cyber Security.pptxGuest Lecture-Computer and Cyber Security.pptx
Guest Lecture-Computer and Cyber Security.pptx
GudipudiDayanandam
 
Phishing attack seminar presentation
Phishing attack seminar presentation Phishing attack seminar presentation
Phishing attack seminar presentation
AniketPandit18
 
Web Hacking
Web HackingWeb Hacking
Web Hacking
Information Technology
 
Gianluca Treu - Poste Mobile: Social customer service: how to become best in ...
Gianluca Treu - Poste Mobile: Social customer service: how to become best in ...Gianluca Treu - Poste Mobile: Social customer service: how to become best in ...
Gianluca Treu - Poste Mobile: Social customer service: how to become best in ...
OpenKnowledge srl
 
Presentazione Work@Net
Presentazione Work@NetPresentazione Work@Net
Presentazione Work@Net
Insubria
 

More Related Content

What's hot

Dark web markets: from the silk road to alphabay, trends and developments
Dark web markets: from the silk road to alphabay, trends and developmentsDark web markets: from the silk road to alphabay, trends and developments
Dark web markets: from the silk road to alphabay, trends and developments
Andres Baravalle
 
PHISHING PROJECT REPORT
PHISHING PROJECT REPORTPHISHING PROJECT REPORT
PHISHING PROJECT REPORT
vineetkathan
 
From email address to phone number, a new OSINT approach
From email address to phone number, a new OSINT approachFrom email address to phone number, a new OSINT approach
From email address to phone number, a new OSINT approach
Martin Vigo
 

What's hot (20)

Legal (Types of Cyber Crime)
Legal (Types of Cyber Crime)Legal (Types of Cyber Crime)
Legal (Types of Cyber Crime)
 
Cybersecurity for Everyone Course. Final Project OilRig.pdf
Cybersecurity for Everyone Course. Final Project OilRig.pdfCybersecurity for Everyone Course. Final Project OilRig.pdf
Cybersecurity for Everyone Course. Final Project OilRig.pdf
 
Botnet and its Detection Techniques
Botnet and its Detection Techniques Botnet and its Detection Techniques
Botnet and its Detection Techniques
 
Botnet Detection in Online-social Network
Botnet Detection in Online-social NetworkBotnet Detection in Online-social Network
Botnet Detection in Online-social Network
 
Spyware
SpywareSpyware
Spyware
 
Phising a Threat to Network Security
Phising a Threat to Network SecurityPhising a Threat to Network Security
Phising a Threat to Network Security
 
Cyber security Awareness: In perspective of Bangladesh
Cyber security Awareness: In perspective of Bangladesh Cyber security Awareness: In perspective of Bangladesh
Cyber security Awareness: In perspective of Bangladesh
 
Corporate threat vector and landscape
Corporate threat vector and landscapeCorporate threat vector and landscape
Corporate threat vector and landscape
 
Penetration testing
Penetration testingPenetration testing
Penetration testing
 
Cyber security
Cyber security Cyber security
Cyber security
 
Dark web markets: from the silk road to alphabay, trends and developments
Dark web markets: from the silk road to alphabay, trends and developmentsDark web markets: from the silk road to alphabay, trends and developments
Dark web markets: from the silk road to alphabay, trends and developments
 
Phishing
PhishingPhishing
Phishing
 
PHISHING PROJECT REPORT
PHISHING PROJECT REPORTPHISHING PROJECT REPORT
PHISHING PROJECT REPORT
 
IDS - Fact, Challenges and Future
IDS - Fact, Challenges and FutureIDS - Fact, Challenges and Future
IDS - Fact, Challenges and Future
 
Introduction to Cross Site Scripting ( XSS )
Introduction to Cross Site Scripting ( XSS )Introduction to Cross Site Scripting ( XSS )
Introduction to Cross Site Scripting ( XSS )
 
From email address to phone number, a new OSINT approach
From email address to phone number, a new OSINT approachFrom email address to phone number, a new OSINT approach
From email address to phone number, a new OSINT approach
 
Phishing detection & protection scheme
Phishing detection & protection schemePhishing detection & protection scheme
Phishing detection & protection scheme
 
Guest Lecture-Computer and Cyber Security.pptx
Guest Lecture-Computer and Cyber Security.pptxGuest Lecture-Computer and Cyber Security.pptx
Guest Lecture-Computer and Cyber Security.pptx
 
Phishing attack seminar presentation
Phishing attack seminar presentation Phishing attack seminar presentation
Phishing attack seminar presentation
 
Web Hacking
Web HackingWeb Hacking
Web Hacking
 

Similar to Summary of "Following Their Footsteps: Characterizing Account Automation Abuse and Defenses"

Digitalizzazione pmi facile veloce economica
Digitalizzazione pmi facile veloce economicaDigitalizzazione pmi facile veloce economica
Digitalizzazione pmi facile veloce economica
Gianluca Vaglio
 
Typo3 inistat carbone
Typo3 inistat carboneTypo3 inistat carbone
Typo3 inistat carbone
daniela20088
 

Similar to Summary of "Following Their Footsteps: Characterizing Account Automation Abuse and Defenses" (20)

Gianluca Treu - Poste Mobile: Social customer service: how to become best in ...
Gianluca Treu - Poste Mobile: Social customer service: how to become best in ...Gianluca Treu - Poste Mobile: Social customer service: how to become best in ...
Gianluca Treu - Poste Mobile: Social customer service: how to become best in ...
 
Presentazione Work@Net
Presentazione Work@NetPresentazione Work@Net
Presentazione Work@Net
 
ISBF 14 e Social Bullguard: Poste Mobile – Social customer service how to be...
ISBF 14 e Social Bullguard: Poste Mobile – Social customer service how to be...ISBF 14 e Social Bullguard: Poste Mobile – Social customer service how to be...
ISBF 14 e Social Bullguard: Poste Mobile – Social customer service how to be...
 
Extended summary of why we still can’t browse in peace on the uniqueness and ...
Extended summary of why we still can’t browse in peace on the uniqueness and ...Extended summary of why we still can’t browse in peace on the uniqueness and ...
Extended summary of why we still can’t browse in peace on the uniqueness and ...
 
Elaborato Tesi
Elaborato TesiElaborato Tesi
Elaborato Tesi
 
Analisi delle kpi sul pubblico di Google Analytics
Analisi delle kpi sul pubblico di Google AnalyticsAnalisi delle kpi sul pubblico di Google Analytics
Analisi delle kpi sul pubblico di Google Analytics
 
Direct response af
Direct response afDirect response af
Direct response af
 
Agile User story mapping (Mokabyte)
Agile User story mapping (Mokabyte)Agile User story mapping (Mokabyte)
Agile User story mapping (Mokabyte)
 
Linee guida web PA: qualità dei siti web della pubblica amministrazione
Linee guida web PA: qualità dei siti web della pubblica amministrazioneLinee guida web PA: qualità dei siti web della pubblica amministrazione
Linee guida web PA: qualità dei siti web della pubblica amministrazione
 
The Fintech Revolution
The Fintech RevolutionThe Fintech Revolution
The Fintech Revolution
 
Reti e aggregazioni immobiliari 2019
Reti e aggregazioni immobiliari 2019Reti e aggregazioni immobiliari 2019
Reti e aggregazioni immobiliari 2019
 
Digitalizzazione pmi facile veloce economica
Digitalizzazione pmi facile veloce economicaDigitalizzazione pmi facile veloce economica
Digitalizzazione pmi facile veloce economica
 
Guida pratica all’utilizzo dell’informazione aziendale (1)
Guida pratica all’utilizzo dell’informazione aziendale (1)Guida pratica all’utilizzo dell’informazione aziendale (1)
Guida pratica all’utilizzo dell’informazione aziendale (1)
 
Richiesta incentivo giovani genitori
Richiesta incentivo giovani genitoriRichiesta incentivo giovani genitori
Richiesta incentivo giovani genitori
 
Searcle
SearcleSearcle
Searcle
 
Content Marketing
Content Marketing Content Marketing
Content Marketing
 
Relazione
RelazioneRelazione
Relazione
 
Ninjalitcs
NinjalitcsNinjalitcs
Ninjalitcs
 
Case business intelligence
Case business intelligenceCase business intelligence
Case business intelligence
 
Typo3 inistat carbone
Typo3 inistat carboneTypo3 inistat carbone
Typo3 inistat carbone
 

Summary of "Following Their Footsteps: Characterizing Account Automation Abuse and Defenses"

  • 1. UNIVERSITA’ DEGLI STUDI DI TRIESTE DIPARTIMENTO DI INGEGNERIA ED ARCHITETTURA LAUREA TRIENNALE IN INGEGNERIA ELETTRONICA E INFORMATICA ANNO ACCADEMICO 2018-2019 SUMMARY OF “FOLLOWING THEIR FOOTSTEPS: CHARACTERIZING ACCOUNT AUTOMATION ABUSE AND DEFENSES”. Studente RELATORE DAMIAN ADRIAN WAWRYSZUK PROF. ALBERTO BARTOLI MATRICOLA: IN0500287
  • 2. 2 INDICE 1.Introduzione..................................................................................................................................3 2.Account Automation Services (AAS). ............................................................................................3 3.Servizi e costi.................................................................................................................................4 4.Profili honeypot e la raccolta dati.................................................................................................5 5.I grandi numeri dell’abuso. ...........................................................................................................6 6.Le contromisure. ...........................................................................................................................8 7.Conclusioni. ...................................................................................................................................9 8.Fonti bibliografiche .......................................................................................................................9
  • 3. 3 INTRODUZIONE. Instagram, come la maggior parte dei social media, si basa sul concetto della popolarità secondo cui più un utente è popolare, e più grande è la platea a cui giungono i suoi messaggi. Il concetto dei follower diviene così un simbolo con cui possiamo collocarci all'interno di un'astratta piramide sociale formatasi tra gli utilizzatori della piattaforma sopraccitata. Non è strano dunque pensare a dei servizi che, violando le Condizioni d'Uso di Instagram, permettano di gonfiare il nostro status sociale in cambio di denaro. Come si dimostra nel seguito del documento, sono organizzazioni di enorme successo il cui profitto mensile può sfiorare anche il milione di dollari. Proprio per questo motivo è importante capire in che modo agiscono, che servizi offrono ai propri clienti e come si può fermare la suddetta inflazione dei “mi piace”. L'analisi sfrutta e approfondisce alcuni lavori, come quello di Hooi et al. che evidenzia la difficoltà nel distinguere tra azioni legittime e illegittime svolte da account organici (non bot), o come quello di Mislove et al. che identifica un alto grado di interazioni reciproche all'interno delle piattaforme social. ACCOUNT AUTOMATION SERVICES (AAS). Per raggiungere il loro obiettivo, le organizzazioni utilizzano l'automazione degli account (account automation): ogni utente, durante il processo di registrazione, deve fornire le credenziali di accesso al proprio account in modo da permettere al sistema di operare per suo conto. Grazie all'ingegneria inversa sulle API distribuite da Instagram, le richieste generate dal servizio sembrano essere generate da un mobile client. In particolare gli AAS si dividono in: • Reciprocity Abuse, in cui viene abusato il fenomeno della reciprocità sociale. Dall'account del cliente viene automatizzato un grande numero di azioni uscenti nella speranza che almeno un sottoinsieme di soggetti bersagli replichi fornendo dei like o follow all'utente. Tra i servizi studiati di questo tipo troviamo: Instalex, Instazood e Boostgram. • Collusion Networks che forniscono al cliente azioni non autentiche. Una rete di collusione ha come finalità lo scambio di azioni tra gli account che vi partecipano. Ogni partecipante genera attività in uscita verso gli altri utenti e riceve azioni in entrata dalla rete. Tutti i soci dunque vengono sfruttati dal servizio per soddisfare le richieste di ogni iscritto. Tra i servizi studiati i questo tipo troviamo: Hublaagram e Followersgratis.
  • 4. 4 SERVIZI E COSTI Dalla prima tabella è possibile capire quali sono i servizi offerti per ciascun AAS studiato. Non è sorprendente il fatto che ogni organizzazione offra almeno like e follow in quanto si tratta delle azioni più comuni associate alla piattaforma Instagram. Dai seguenti dati si deduce inoltre, che tutti gli AAS di tipo Reciprocity Abuse offrano l’unfollow in modo da cancellare le azioni in uscita dai profili dei loro clienti. Per ottenere massimi risultati, agli utenti di questo tipo di servizio, viene chiesto di specificare una lista di profili Instragram o hashtag con cui interagirà il sistema. Ai clienti delle reti di collusione invece viene chiesto solo il quantitativo di azioni in entrata desiderato. Per aggiudicarsi più clienti possibile, le due tipologie di AAS procedono in due direzioni diverse: • I Reciprocity Abuse offrono un periodo di prova in cui mostrano le potenzialità dei loro servizi. • I Collusion Network danno la possibilità di richiedere periodicamente delle azioni “gratuite”. Le azioni non sono del tutto gratuite in quanto per poterle richiedere l’account deve avere una partecipazione attiva nella rete. La fonte di entrata principale per tutti gli AAS studiati sono i servizi a pagamento. In entrambe le tipologie di sistemi, più grande è la quantità di denaro investita e maggiore è il numero di azioni che si riceve. Nelle tabelle riportate di seguito vediamo i costi relativi alle organizzazioni Hubblagram, Instalex, Instazood e Boostgram. LE TABELLE SONO PRESE DA: “FOLLOWING THEIR FOOTSTEPS: CHARACTERIZING ACCOUNT AUTOMATION ABUSE AND DEFENSES” LA TABELLA È PRESA DA: “FOLLOWING THEIR FOOTSTEPS: CHARACTERIZING ACCOUNT AUTOMATION ABUSE AND DEFENSES” Tabella RA: viene mostrato il periodo di prova, durata minima dell’abbonamento ed il corrispettivo costo. Una volta pagata la quota, il profilo dell’utente ottiene tutti i vantaggi del servizio scelto. Tabella CN: gli utenti delle reti di collusione possono scegliere se participare attivamente nella rete. Pagando $15 l’account dell’utente riceverà azioni dal servizio ma non ne genererà. Hublaagram permette di focalizzare tutti i “mi piace” sull’ultima foto (Immediate) oppure di ricevere i “mi piace” comprati su ogni foto caricata durante il mese di abbonamento (Month).
  • 5. 5 PROFILI HONEYPOT E LA RACCOLTA DATI Per capire cosa succede agli account di ogni utente iscritto agli AAS nominati sopra, sono stati creati molteplici profili honeypot (profili trappole). Questi possono essere distinti in: • Vuoti: contengono il minimo di informazioni necessarie per poter essere iscritti a tutti i servizi. In particolare vi troveremo dieci foto di varie categorie. • Vissuti: oltre alle dieci fotografie contengono anche una biografia e un nome unici. • Controllo: le caratteristiche sono quelle degli account vuoti ma che non verranno mai iscritti a nessun servizio. Questi vengono utilizzati per stimare le azioni in entrata generate spontaneamente dagli altri utenti Instagram. Dal momento che ogni utente deve fornire i dati di accesso al proprio profilo, quest’ultimo potrebbe essere utilizzato per produrre azioni non desiderate. Il risultato del confronto tra azioni richieste ed azioni registrate, mostra come ogni AAS genera solo attività strettamente richiesta dal cliente. Nelle reti di collusione dunque, se le azioni in entrata richieste sono i like, il profilo produrrà solo like in uscita. E’ altrettanto importante capire quanto sono efficaci i sistemi basati sull’Abuso di Reciprocità. I dati raccolti sono divisi tra profili vuoti (E) ed i profili vissuti (L). Le azioni outbound sono quelle in uscita dall’account mentre inbound sono le azioni in entrata. Dai dati raccolti emerge che gli account vissuti, in genere, ricevono più azioni in ritorno. Tra queste, lo scambio di follow è di gran lunga la pratica più comune tra gli utilizzatori della piattaforma Instagram. Gli utenti tendono inoltre a rispondere con la stessa azione e non rispondono mai con i like ai follow. I risultati ottenuti sono simili per tutte e tre le organizzazioni. Questo è dovuto al fatto che sfruttano lo stesso fenomeno sociale. LA TABELLA È PRESA DA: “FOLLOWING THEIR FOOTSTEPS: CHARACTERIZING ACCOUNT AUTOMATION ABUSE AND DEFENSES”
  • 6. 6 I GRANDI NUMERI DELL’ABUSO. Grazie alle informazioni raccolte da honeypot accounts come il tipo di azione, indirizzo IP e Autonomous System Number (ASN) del client e alcuni segnali prodotti all’interno di Instagram, è stato possibile catalogare le attività di tutti gli AAS studiati. Questi dati permettono di risalire all’organizzazione che ha generato un'azione sulla piattaforma. In questa sezione non è possibile distinguere le azioni svolte da Instalex e Instazood in quanto franchising della stessa azienda. D’ora in poi si parla di Insta*. In aggiunta non viene preso in considerazione Followersgratis in quanto già schedato dal sistema anti abuso di Instagram. L’analisi interna delle organizzazioni parte dallo stimare il numero di utenti che hanno usufruito dei vari servizi nei tre mesi di osservazione. Viene fatta una distinzione tra gli utenti a lungo (Long-term) e corto (Short-term) termine. Nel caso di Abuso di Reciprocità un utente diventa a lungo termine se aderisce al servizio per più di sette giorni consecutivi mentre un utente delle reti di collusione deve partecipare per più di quattro giorni consecutivi per essere definito tale. Il mercato inoltre non sembra essere saturo. Nei 90 giorni di misurazione Insta* registra una crescita del 10% degli utenti a lungo termine mentre Hublaagram e Boostgram annotano solo un piccolo calo. Il passo successivo è quello di stimare le entrate di ciascuna organizzazione. E’ necessario suddividere gli account tra quelli che generano e non generano profitto. Per i servizi del tipo Abuso di Reciprocità i contribuenti sono coloro che pagano l’abbonamento una volta che finisce il periodo di prova, ovvero i Long-term. Ognuno di questi porta un guadagno pari al costo della sottoscrizione che ricopre tutti i giorni di attività. Per Insta* viene fornito un range in quanto le due organizzazioni hanno prezzi differenti. Di seguito viene riportata la tabella con le relative entrate mensili. La grande fiducia in questi sistemi è dovuta alla loro efficacia. Si dimostra infatti che i profili bersagli non sono casuali ma bensì utenti con tanti “Following” e pochi “Followers” (ovvero utenti che più probabilmente ricambieranno). LA TABELLA È PRESA DA: “FOLLOWING THEIR FOOTSTEPS: CHARACTERIZING ACCOUNT AUTOMATION ABUSE AND DEFENSES” LA TABELLA È PRESA DA: “FOLLOWING THEIR FOOTSTEPS: CHARACTERIZING ACCOUNT AUTOMATION ABUSE AND DEFENSES”
  • 7. 7 Per le reti di collusione la suddivisione non è altrettanto semplice in quanto un utente può far parte della rete ma richiedere solamente i servizi gratuiti. Innanzitutto sono stati rilevati 24420 account che hanno pagato per non partecipare attivamente nella rete. Dopo di che viene adottato il seguente schema per collocare gli utenti nelle varie categorie di abbonamenti: Al fatturato di questa organizzazione si aggiungono anche le pubblicità che vengono mostrate ad ogni interazione con il website: è stato stimato che per mille impression (CPM), in base alla geolocalizzazione di chi visualizza il sito, Hublaagram guadagni dai $0.60 ai $4.00. Dalla Tabella entrate CN è possibile vedere il numero di account in ogni categoria, la corrispettiva spesa ed il guadagno generato ogni mese. LA TABELLA È PRESA DA: “FOLLOWING THEIR FOOTSTEPS: CHARACTERIZING ACCOUNT AUTOMATION ABUSE AND DEFENSES” ”
  • 8. 8 LE CONTROMISURE. L’obiettivo di questa sezione non è di fermare definitivamente gli AAS ma di fornire informazioni utili ai sistemi di rilevamento e prevenzione. Instagram è in grado di individuare gli account associati alle varie organizzazioni e grazie a questo fatto è possibile distinguere due tipi di interventi: • Blocco sincrono: blocca le azioni degli account di un AAS. • Rimozione ritardata dei follows: gli outbound follows vengono rimossi dopo 24 ore. Per escludere il maggior numero possibile di falsi positivi durante gli interventi è stato preso in considerazione un insieme di account che non aderiscono a nessun AAS. È stata calcolata una soglia di azioni svolte da account regolari ed il superamento di questa da uno degli account irregolari indica automaticamente l’abuso. Le contromisure sono state applicate in due fasi: In entrambe le fasi è stato costituito anche un gruppo di account di controllo a cui non è mai stata applicata alcuna contromisura. I risultati sono stati simili per tutte le organizzazioni studiate. Le due fasi, nonostante il numero di soggetti sia diverso, portano agli stessi risultati: il blocco viene individuato e raggirato subito mentre la rimozione ritardata non viene mai rilevata. Di seguito vengono riportate due figure esemplificative: Figura Follow Boostgram e Figura Like Hubblagram.
  • 9. 9 CONCLUSIONI. Data l’influenza di Instagram nella vita delle persone è importante capire come controllare questo fenomeno che permette di acquisire grandi quantità di follower e like. Un business da quasi un milione di dollari al mese a cui rimetterci sono gli utilizzatori regolari che si ritrovano circondati da interazioni non genuine. Per evitare l’ulteriore espansione di questi mezzi è importante agire nell’immediato, prima che le loro azioni diventino non identificabili. Dagli esperimenti condotti risulta che la soluzione più vantaggiosa è costituita dalla rimozione ritardata. Quest’ultima porta ai migliori risultati nella tutela di tutti gli utenti: le organizzazioni non riescono ad individuarla e, di conseguenza, a sviluppare sistemi per aggirarla come accade nel caso del blocco sincrono. FONTI BIBLIOGRAFICHE • DeKoven Louis F., Leontiadis Nektarios, Pottinger Trevor, Savage Stefan, Voelker Goeffrey M., Following Their Footsteps: Characterizing Account Automation Abuse and Defenses, in IMC '18 Proceedings of the Internet Measurement Conference 2018, pp. 43-55. LE FIGURE SONO PRESE DA: “FOLLOWING THEIR FOOTSTEPS: CHARACTERIZING ACCOUNT AUTOMATION ABUSE AND DEFENSES” ” Figura Follow Boostgram: mostra il numero medio di follow in uscita da ogni profilo associato. Si nota come Boostgram riesca a capire quanto valga la soglia (Follow Threshold) e di come riesca ad allineare i suoi sistemi a rispettare i nuovi limi. Figura Like Hublaagram: Mostra la proporzione degli account sottoposti al blocco. Hublaagram ci ha impiegato tre settimane per sviluppare e attuare un sistema che raggirasse la contromisura. La rimozione ritardata non viene mai individuata.