Summary of "Following Their Footsteps: Characterizing Account Automation Abuse and Defenses". The document classifies Account Automation Services and offers a possible solution.
Summary of "Following Their Footsteps: Characterizing Account Automation Abuse and Defenses"
1. UNIVERSITA’ DEGLI STUDI DI TRIESTE
DIPARTIMENTO DI INGEGNERIA ED ARCHITETTURA
LAUREA TRIENNALE IN INGEGNERIA ELETTRONICA E INFORMATICA
ANNO ACCADEMICO 2018-2019
SUMMARY OF “FOLLOWING THEIR FOOTSTEPS:
CHARACTERIZING ACCOUNT AUTOMATION ABUSE
AND DEFENSES”.
Studente RELATORE
DAMIAN ADRIAN WAWRYSZUK PROF. ALBERTO BARTOLI
MATRICOLA: IN0500287
2. 2
INDICE
1.Introduzione..................................................................................................................................3
2.Account Automation Services (AAS). ............................................................................................3
3.Servizi e costi.................................................................................................................................4
4.Profili honeypot e la raccolta dati.................................................................................................5
5.I grandi numeri dell’abuso. ...........................................................................................................6
6.Le contromisure. ...........................................................................................................................8
7.Conclusioni. ...................................................................................................................................9
8.Fonti bibliografiche .......................................................................................................................9
3. 3
INTRODUZIONE.
Instagram, come la maggior parte dei social media, si basa sul concetto della popolarità secondo cui più un
utente è popolare, e più grande è la platea a cui giungono i suoi messaggi. Il concetto dei follower diviene così un
simbolo con cui possiamo collocarci all'interno di un'astratta piramide sociale formatasi tra gli utilizzatori della
piattaforma sopraccitata. Non è strano dunque pensare a dei servizi che, violando le Condizioni d'Uso di Instagram,
permettano di gonfiare il nostro status sociale in cambio di denaro. Come si dimostra nel seguito del documento,
sono organizzazioni di enorme successo il cui profitto mensile può sfiorare anche il milione di dollari. Proprio per
questo motivo è importante capire in che modo agiscono, che servizi offrono ai propri clienti e come si può fermare
la suddetta inflazione dei “mi piace”. L'analisi sfrutta e approfondisce alcuni lavori, come quello di Hooi et al. che
evidenzia la difficoltà nel distinguere tra azioni legittime e illegittime svolte da account organici (non bot), o come
quello di Mislove et al. che identifica un alto grado di interazioni reciproche all'interno delle piattaforme social.
ACCOUNT AUTOMATION SERVICES (AAS).
Per raggiungere il loro obiettivo, le organizzazioni utilizzano l'automazione degli account (account automation):
ogni utente, durante il processo di registrazione, deve fornire le credenziali di accesso al proprio account in modo
da permettere al sistema di operare per suo conto. Grazie all'ingegneria inversa sulle API distribuite da Instagram,
le richieste generate dal servizio sembrano essere generate da un mobile client. In particolare gli AAS si dividono in:
• Reciprocity Abuse, in cui viene abusato il fenomeno della reciprocità sociale. Dall'account del cliente viene
automatizzato un grande numero di azioni uscenti nella speranza che almeno un sottoinsieme di soggetti
bersagli replichi fornendo dei like o follow all'utente. Tra i servizi studiati di questo tipo troviamo: Instalex,
Instazood e Boostgram.
• Collusion Networks che forniscono al cliente azioni non autentiche. Una rete di collusione ha come finalità
lo scambio di azioni tra gli account che vi partecipano. Ogni partecipante genera attività in uscita verso gli
altri utenti e riceve azioni in entrata dalla rete. Tutti i soci dunque vengono sfruttati dal servizio per
soddisfare le richieste di ogni iscritto. Tra i servizi studiati i questo tipo troviamo: Hublaagram e
Followersgratis.
4. 4
SERVIZI E COSTI
Dalla prima tabella è possibile capire quali
sono i servizi offerti per ciascun AAS
studiato. Non è sorprendente il fatto che
ogni organizzazione offra almeno like e
follow in quanto si tratta delle azioni più
comuni associate alla piattaforma
Instagram. Dai seguenti dati si deduce
inoltre, che tutti gli AAS di tipo Reciprocity
Abuse offrano l’unfollow in modo da
cancellare le azioni in uscita dai profili dei
loro clienti. Per ottenere massimi risultati,
agli utenti di questo tipo di servizio, viene
chiesto di specificare una lista di profili Instragram o hashtag con cui interagirà il sistema. Ai clienti delle reti di
collusione invece viene chiesto solo il quantitativo di azioni in entrata desiderato.
Per aggiudicarsi più clienti possibile, le due tipologie di AAS procedono in due direzioni diverse:
• I Reciprocity Abuse offrono un periodo di prova in cui mostrano le potenzialità dei loro servizi.
• I Collusion Network danno la possibilità di richiedere periodicamente delle azioni “gratuite”. Le azioni non
sono del tutto gratuite in quanto per poterle richiedere l’account deve avere una partecipazione attiva
nella rete.
La fonte di entrata principale per tutti gli AAS studiati sono i servizi a pagamento. In entrambe le tipologie di
sistemi, più grande è la quantità di denaro investita e maggiore è il numero di azioni che si riceve. Nelle tabelle
riportate di seguito vediamo i costi relativi alle organizzazioni Hubblagram, Instalex, Instazood e Boostgram.
LE TABELLE SONO PRESE DA: “FOLLOWING THEIR FOOTSTEPS: CHARACTERIZING ACCOUNT AUTOMATION ABUSE AND DEFENSES”
LA TABELLA È PRESA DA: “FOLLOWING THEIR FOOTSTEPS: CHARACTERIZING
ACCOUNT AUTOMATION ABUSE AND DEFENSES”
Tabella RA: viene mostrato il periodo di prova, durata
minima dell’abbonamento ed il corrispettivo costo.
Una volta pagata la quota, il profilo dell’utente
ottiene tutti i vantaggi del servizio scelto.
Tabella CN: gli utenti delle reti di collusione possono
scegliere se participare attivamente nella rete.
Pagando $15 l’account dell’utente riceverà azioni dal
servizio ma non ne genererà. Hublaagram permette
di focalizzare tutti i “mi piace” sull’ultima foto
(Immediate) oppure di ricevere i “mi piace”
comprati su ogni foto caricata durante il mese di
abbonamento (Month).
5. 5
PROFILI HONEYPOT E LA RACCOLTA DATI
Per capire cosa succede agli account di ogni utente iscritto agli AAS nominati sopra, sono stati creati molteplici
profili honeypot (profili trappole). Questi possono essere distinti in:
• Vuoti: contengono il minimo di informazioni necessarie per poter essere iscritti a tutti i servizi. In
particolare vi troveremo dieci foto di varie categorie.
• Vissuti: oltre alle dieci fotografie contengono anche una biografia e un nome unici.
• Controllo: le caratteristiche sono quelle degli account vuoti ma che non verranno mai iscritti a nessun
servizio. Questi vengono utilizzati per stimare le azioni in entrata generate spontaneamente dagli altri
utenti Instagram.
Dal momento che ogni utente deve fornire i dati di accesso al proprio profilo, quest’ultimo potrebbe
essere utilizzato per produrre azioni non desiderate. Il risultato del confronto tra azioni richieste ed azioni
registrate, mostra come ogni AAS genera solo attività strettamente richiesta dal cliente. Nelle reti di collusione
dunque, se le azioni in entrata richieste sono i like, il
profilo produrrà solo like in uscita.
E’ altrettanto importante capire quanto sono
efficaci i sistemi basati sull’Abuso di Reciprocità. I
dati raccolti sono divisi tra profili vuoti (E) ed i
profili vissuti (L). Le azioni outbound sono quelle in
uscita dall’account mentre inbound sono le azioni
in entrata.
Dai dati raccolti emerge che gli account vissuti, in
genere, ricevono più azioni in ritorno. Tra queste,
lo scambio di follow è di gran lunga la pratica più
comune tra gli utilizzatori della piattaforma
Instagram. Gli utenti tendono inoltre a rispondere
con la stessa azione e non rispondono mai con i
like ai follow. I risultati ottenuti sono simili per
tutte e tre le organizzazioni. Questo è dovuto al
fatto che sfruttano lo stesso fenomeno sociale.
LA TABELLA È PRESA DA: “FOLLOWING THEIR FOOTSTEPS:
CHARACTERIZING ACCOUNT AUTOMATION ABUSE AND DEFENSES”
6. 6
I GRANDI NUMERI DELL’ABUSO.
Grazie alle informazioni raccolte da honeypot accounts come il tipo di azione, indirizzo IP e Autonomous
System Number (ASN) del client e alcuni segnali prodotti all’interno di Instagram, è stato possibile catalogare le
attività di tutti gli AAS studiati. Questi dati permettono di risalire all’organizzazione che ha generato un'azione sulla
piattaforma. In questa sezione non è possibile distinguere le azioni svolte da Instalex e Instazood in quanto
franchising della stessa azienda. D’ora in poi si parla di Insta*. In aggiunta non viene preso in considerazione
Followersgratis in quanto già schedato dal sistema anti abuso di Instagram.
L’analisi interna delle
organizzazioni parte dallo stimare il
numero di utenti che hanno
usufruito dei vari servizi nei tre mesi
di osservazione. Viene fatta una
distinzione tra gli utenti a lungo
(Long-term) e corto (Short-term)
termine. Nel caso di Abuso di
Reciprocità un utente diventa a
lungo termine se aderisce al servizio per più di sette giorni consecutivi mentre un utente delle reti di collusione
deve partecipare per più di quattro giorni consecutivi per essere definito tale. Il mercato inoltre non sembra essere
saturo. Nei 90 giorni di misurazione Insta* registra una crescita del 10% degli utenti a lungo termine mentre
Hublaagram e Boostgram annotano solo un piccolo calo.
Il passo successivo è quello di stimare le entrate di ciascuna organizzazione. E’ necessario suddividere gli
account tra quelli che generano e non generano profitto. Per i servizi del tipo Abuso di Reciprocità i contribuenti
sono coloro che pagano l’abbonamento una volta che finisce il periodo di prova, ovvero i Long-term. Ognuno di
questi porta un guadagno pari al costo della sottoscrizione che ricopre tutti i giorni di attività. Per Insta* viene
fornito un range in quanto le due organizzazioni hanno prezzi differenti. Di seguito viene riportata la tabella con le
relative entrate mensili.
La grande fiducia in questi sistemi è
dovuta alla loro efficacia. Si dimostra
infatti che i profili bersagli non sono
casuali ma bensì utenti con tanti
“Following” e pochi “Followers”
(ovvero utenti che più probabilmente
ricambieranno).
LA TABELLA È PRESA DA: “FOLLOWING THEIR FOOTSTEPS: CHARACTERIZING ACCOUNT
AUTOMATION ABUSE AND DEFENSES”
LA TABELLA È PRESA DA: “FOLLOWING THEIR FOOTSTEPS: CHARACTERIZING
ACCOUNT AUTOMATION ABUSE AND DEFENSES”
7. 7
Per le reti di collusione la suddivisione non è altrettanto semplice in quanto un utente può far parte della rete ma
richiedere solamente i servizi gratuiti. Innanzitutto sono stati rilevati 24420 account che hanno pagato per non
partecipare attivamente nella rete. Dopo di che viene adottato il seguente schema per collocare gli utenti nelle
varie categorie di abbonamenti:
Al fatturato di questa organizzazione si aggiungono anche
le pubblicità che vengono mostrate ad ogni interazione
con il website: è stato stimato che per mille impression
(CPM), in base alla geolocalizzazione di chi visualizza il sito,
Hublaagram guadagni dai $0.60 ai $4.00.
Dalla Tabella entrate CN è possibile vedere il numero di
account in ogni categoria, la corrispettiva spesa ed il
guadagno generato ogni mese.
LA TABELLA È PRESA DA: “FOLLOWING THEIR FOOTSTEPS:
CHARACTERIZING ACCOUNT AUTOMATION ABUSE AND
DEFENSES”
”
8. 8
LE CONTROMISURE.
L’obiettivo di questa sezione non è di fermare definitivamente gli AAS ma di fornire informazioni utili ai
sistemi di rilevamento e prevenzione. Instagram è in grado di individuare gli account associati alle varie
organizzazioni e grazie a questo fatto è possibile distinguere due tipi di interventi:
• Blocco sincrono: blocca le azioni degli account di un AAS.
• Rimozione ritardata dei follows: gli outbound follows vengono rimossi dopo 24 ore.
Per escludere il maggior numero possibile di falsi positivi durante gli interventi è stato preso in considerazione un
insieme di account che non aderiscono a nessun AAS. È stata calcolata una soglia di azioni svolte da account
regolari ed il superamento di questa da uno degli account irregolari indica automaticamente l’abuso. Le
contromisure sono state applicate in due fasi:
In entrambe le fasi è stato costituito anche un gruppo di account di controllo a cui non è mai stata applicata alcuna
contromisura. I risultati sono stati simili per tutte le organizzazioni studiate. Le due fasi, nonostante il numero di
soggetti sia diverso, portano agli stessi risultati: il blocco viene individuato e raggirato subito mentre la rimozione
ritardata non viene mai rilevata. Di seguito vengono riportate due figure esemplificative: Figura Follow Boostgram
e Figura Like Hubblagram.
9. 9
CONCLUSIONI.
Data l’influenza di Instagram nella vita delle persone è importante capire come controllare questo fenomeno che
permette di acquisire grandi quantità di follower e like. Un business da quasi un milione di dollari al mese a cui
rimetterci sono gli utilizzatori regolari che si ritrovano circondati da interazioni non genuine. Per evitare l’ulteriore
espansione di questi mezzi è importante agire nell’immediato, prima che le loro azioni diventino non identificabili.
Dagli esperimenti condotti risulta che la soluzione più vantaggiosa è costituita dalla rimozione ritardata.
Quest’ultima porta ai migliori risultati nella tutela di tutti gli utenti: le organizzazioni non riescono ad individuarla e,
di conseguenza, a sviluppare sistemi per aggirarla come accade nel caso del blocco sincrono.
FONTI BIBLIOGRAFICHE
• DeKoven Louis F., Leontiadis Nektarios, Pottinger Trevor, Savage Stefan, Voelker Goeffrey M., Following
Their Footsteps: Characterizing Account Automation Abuse and Defenses, in IMC '18 Proceedings of the
Internet Measurement Conference 2018, pp. 43-55.
LE FIGURE SONO PRESE DA: “FOLLOWING THEIR FOOTSTEPS: CHARACTERIZING ACCOUNT AUTOMATION ABUSE AND DEFENSES”
”
Figura Follow Boostgram: mostra il numero
medio di follow in uscita da ogni profilo
associato. Si nota come Boostgram riesca a
capire quanto valga la soglia (Follow
Threshold) e di come riesca ad allineare i suoi
sistemi a rispettare i nuovi limi.
Figura Like Hublaagram: Mostra la
proporzione degli account sottoposti al
blocco. Hublaagram ci ha impiegato tre
settimane per sviluppare e attuare un
sistema che raggirasse la contromisura. La
rimozione ritardata non viene mai
individuata.