Le succès de la communauté des réseaux sociaux Twitter a donné naissance à toute une économie souterraine qui vend des comptes Twitter factices par milliers, principalement aux spammeurs, aux escrocs et aux fournisseurs de logiciels malveillants. Mais de nouvelles recherches sur l’identification des faux comptes ont aidé Twitter à épuiser considérablement le stock de comptes existants à vendre et promettent d’augmenter les coûts pour les fournisseurs de ces services louches et leurs clients.
Twitter interdit la vente et la création automatique de comptes, et la société suspend régulièrement les comptes créés en violation de cette politique. Mais selon des chercheurs de Université George Mason, la Institut international d’informatique et le Université de Californie, Berkeley, Twitter traditionnellement ne l’a fait que après ces comptes frauduleux ont été utilisés pour spammer et attaquer les utilisateurs légitimes de Twitter.
Recherche de méthodes plus fiables pour détecter les comptes créés automatiquement avant de ils peuvent être utilisés à des fins abusives, les chercheurs ont contacté Twitter l’année dernière pour obtenir l’autorisation de l’entreprise d’acheter des informations d’identification auprès de divers marchands de comptes Twitter. Autorisation accordée, les chercheurs ont dépensé plus de 5 000 dollars sur dix mois pour acheter des comptes auprès d’au moins 27 vendeurs clandestins différents.
Dans un rapport qui sera présenté à la Conférence sur la sécurité USENIX à Washington, DC aujourd’hui, l’équipe de recherche détaille son expérience dans l’achat de plus de 121 000 comptes Twitter frauduleux d’âge et de qualité variés, à des prix allant de 10 $ à 200 $ pour mille comptes.
L’équipe de recherche a rapidement découvert que presque tous les marchands de comptes Twitter frauduleux utilisent une gamme de contre-mesures pour échapper aux obstacles techniques que Twitter érige pour contrecarrer la création automatisée de nouveaux comptes.
« Nos résultats montrent que les commerçants comprennent parfaitement les défenses existantes de Twitter contre l’enregistrement automatisé et, par conséquent, peuvent générer des milliers de comptes avec peu de perturbations de la disponibilité ou d’instabilité des prix », indique le document. « Nous déterminons que les marchands peuvent fournir des milliers de comptes dans les 24 heures à un prix de 0,02 $ à 0,10 $ par compte. »
DÉPENSER DE L’ARGENT POUR GAGNER DE L’ARGENT
Par exemple, pour exécuter les commandes de comptes Twitter frauduleux, les commerçants paient généralement des services tiers pour les aider à résoudre ces problèmes. Défis CAPTCHA. J’ai écrit ici et ici sur ces ateliers clandestins virtuels, qui reposent sur des travailleurs mal rémunérés en Chine, en Inde et en Europe de l’Est qui gagnent des sous par heure à déchiffrer les énigmes.
Les vendeurs de comptes Twitter doivent également vérifier les nouveaux comptes avec des adresses e-mail uniques, et ils ont tendance à s’appuyer sur des services qui vendent des boîtes de réception bon marché et créées automatiquement sur Hotmail, Yahoo et Mail.ru, les chercheurs ont trouvé. « L’échec de la confirmation par e-mail en tant que barrière découle directement de l’abus généralisé des comptes lié aux fournisseurs de messagerie Web », a écrit l’équipe. « 60 % des comptes ont été créés avec Hotmail, suivi de yahoo.com et mail.ru. »
Les comptes créés en masse chez ces fournisseurs de messagerie Web sont parmi les moins chers des fournisseurs de messagerie gratuits, probablement parce qu’ils manquent de mécanismes supplémentaires de vérification de la création de compte requis par des concurrents tels que Google, qui repose sur la vérification par téléphone. Comparez les prix sur ce marchand d’e-mails en masse: 1 000 comptes Yahoo peuvent être achetés pour 10 $ (1 cent par compte), et le même nombre de comptes Hotmail coûte 12 $. En revanche, il en coûte 200 $ pour acheter 1 000 comptes Gmail.
Enfin, les chercheurs ont découvert que les marchands de comptes Twitter répartissaient très souvent leurs nouveaux enregistrements de compte sur des milliers d’adresses Internet pour éviter la mise sur liste noire et la limitation des adresses IP de Twitter. Ils ont conclu que certains des plus grands vendeurs de comptes ont accès à de grands botnets de PC piratés qui peuvent être utilisés comme proxy pendant le processus d’inscription.
« Notre analyse nous porte à croire que les marchands de comptes possèdent ou louent l’accès à des milliers d’hôtes compromis pour échapper aux défenses IP », ont écrit les chercheurs.
Damon McCoy, professeur adjoint d’informatique à GMU et l’un des auteurs de l’étude, a déclaré que les principales sources d’adresses IP proxy étaient des ordinateurs dans des pays en développement comme l’Inde, l’Ukraine, la Thaïlande, le Mexique et le Vietnam. « Ce sont des pays où le prix d’achat s’installe [installations of malware that turns PCs into bots] est relativement faible », a déclaré McCoy.
PAYPAL, DOUBLE-POMPAGE ET STOCKAGE
Les chercheurs ont payé la plupart des comptes en utilisant Pay Pal, ce qui signifie que la plupart des vendeurs de comptes Twitter acceptent les cartes de crédit. Ils ont également constaté que les commerçants indépendants vendant des comptes via Fiverr.com et d’autres vendeurs non associés à un site Web statique étaient les plus susceptibles de revendre des informations d’identification à d’autres acheteurs, essayant essentiellement de vendre les mêmes comptes à plusieurs acheteurs. Cela a été possible parce que les chercheurs ont pris la décision de ne pas changer les mots de passe des comptes qu’ils ont achetés.
Ils ont constaté que les comptes Twitter créés en masse et vendus via les marchands Fiverr étaient également parmi les plus éphémères : 57 % des comptes achetés auprès des vendeurs Fiverr ont été annulés au cours de leur analyse. En revanche, les vitrines Web comme acheter des accs[dot]com (sur la photo de gauche) n’ont eu que 5 % de leurs comptes achetés finalement détectés comme frauduleux.
Il s’avère que la plupart des marchands de comptes Twitter stockent d’énormes quantités de comptes avant leur vente ; les chercheurs ont déterminé que l’âge moyen des comptes à vendre était d’environ 30 jours, tandis que certains vendeurs commercialisaient régulièrement des comptes datant de plus d’un an. Pour ces derniers marchands, les comptes « pré-âgés » semblaient être un argument de vente fier, bien que les chercheurs aient déclaré avoir trouvé peu de corrélation entre l’âge d’un compte et sa capacité à survivre à d’autres après l’achat.
LE DÉMONTAGE
Twitter n’a pas répondu aux multiples demandes de commentaires. L’un des chercheurs nommés dans l’article – étudiant diplômé de Berkeley Kurt Thomas — était un employé de Twitter au moment de l’étude ; il a également reporté ses commentaires sur Twitter. Mais les autres chercheurs affirment avoir bénéficié de l’entière coopération de Twitter pour tester l’efficacité de leurs techniques de profilage des marchands. Ils se sont concentrés sur la création de signatures uniques pouvant être utilisées pour identifier les comptes enregistrés par chacun des 27 marchands étudiés, en fonction de qualités telles que les chaînes d’agent utilisateur du navigateur, le moment de la soumission, le flux d’inscription et les comptes portant le même nom.
Vern Paxson, un professeur d’informatique à l’UC Berkeley et chercheur clé à l’International Computer Science Institute, a déclaré qu’en coopération avec Twitter, le groupe avait analysé la fraction totale de tous les comptes suspendus qui semblaient provenir des 27 marchands qu’ils suivaient. Ils ont découvert qu’à son apogée, le marché clandestin était responsable de l’enregistrement de 60 % de tous les comptes qui seraient ensuite suspendus pour spam. Pendant des périodes d’activité plus typiques, les marchands qu’ils ont suivis ont contribué à 10 à 20 % de tous les comptes de spam.
Paxson a déclaré que lorsque Twitter est revenu et a appliqué les signatures des marchands du groupe à tous les comptes Twitter enregistrés au cours des dix mois de l’étude, ils ont pu désactiver 95% de tous les comptes frauduleux enregistrés par ces 27 marchands, y compris ceux précédemment vendus mais pas encore suspendu pour spam. Seuls 0,08 % des comptes annulés ont demandé à être réactivés, et les chercheurs pensent que 93 % de ces demandes ont été effectuées par des comptes frauduleux abusant du processus de réactivation.
Immédiatement après que Twitter a suspendu les comptes, les chercheurs ont passé 16 nouvelles commandes pour les comptes des 10 vendeurs avec les stocks les plus importants ; sur les 14 067 comptes qu’ils ont achetés, 90 % étaient morts à leur arrivée en raison de l’intervention précédente de Twitter.
«Il y avait une bonne dose de confusion sur le [black hat hacker] forums sur ce que Twitter faisait », a déclaré Paxson. Lorsque les chercheurs ont demandé des remplaçants, l’un des commerçants a répondu : « Tout le stock a été suspendu…. Pas seulement le mien…..C’est arrivé avec tous les vendeurs….Je ne sais pas ce que Twitter a fait…. »
En quelques semaines, cependant, les plus gros commerçants étaient de retour dans les affaires, et les modèles que les chercheurs ont construits pour détecter les comptes enregistrés par les différents commerçants ont commencé à montrer leur âge : sur les 6 879 comptes qu’ils ont achetés deux semaines après l’intervention de Twitter, seuls 54 % ont été suspendus à leur arrivée.
Néanmoins, Paxson a déclaré que Twitter travaillait activement à intégrer leurs techniques dans son cadre de détection en temps réel pour aider à prévenir les abus lors des inscriptions. L’astuce, dit-il, est de trouver un moyen durable d’affiner leurs signatures marchandes à l’avenir et de continuer à rester en tête dans la course aux armements.
« Nous aimerions continuer à faire cela, mais le plus difficile est que vous devez en quelque sorte continuer à faire les achats, et c’est beaucoup de travail », a déclaré Paxson. « Les signatures que nous avons créées jusqu’à présent leur sont définitivement utiles et ils en ont déjà beaucoup tiré parti en suspendant activement les comptes qui correspondent à ces signatures. Mais dès que les marchands de compte deviennent sages, ils changent légèrement les choses et nos signatures ne correspondent plus.
En tant que tel, le document conclut qu’une perturbation à long terme du marché des comptes Twitter frauduleux nécessite à la fois d’augmenter le coût d’enregistrement du compte – peut-être par le biais d’obstacles supplémentaires tels que la vérification par téléphone – et d’intégrer la classification des abus de temps lors de l’inscription dans le processus d’enregistrement du compte.
Pour en savoir plus sur cette recherche, consultez : Trafficking Fraudulent Accounts: The Role of the Underground Market in Twitter Spam and Abuse (PDF).