Перейти к основному содержанию

Двенадцать способов распознать бота: как определить, что аккаунт в Twitter — фейковый

О том, как распознать ботов в этом вашем твиторе. Мануал от #Bellingcat

Примечание редакции. Технологии воздействия на общественное сознание, механизмы манипулирования массами путём дезинформации давно переместились из средств массовой информации в соцсети и приобрели совершенно иной облик — ботнетов. О том, как не попасться на удочку и выявить ботов — в материале Bellingcat. Особенно это актуально на фоне информационной войны России против Украины.

Эта статья была впервые опубликована на DFRLab

Боты, то есть автоматические аккаунты в социальных сетях, выдающие себя за реальных людей, присутствуют в огромном количестве на таких платформах, как Twitter. Их насчитывается миллионы; в отдельные ботнеты может входить до полумиллиона аккаунтов.

Эти боты могут негативно влиять на онлайн-дискурс, особенно работая сообща. Их можно использовать для вывода в тренды фразы или хештега, как проиллюстрировала @DFRLab, а также для распространения или критики сообщения или статьи и, наконец, для атак на других пользователей.

При этом многие боты и ботнеты легко заметны «невооружённым глазом», без применения специализированного программного обеспечения или платных аналитических инструментов. В этой статье приводится двенадцать признаков, которые оказались для нас наиболее полезными при выявлении фейковых аккаунтов.

Основные принципы

Twitter-бот — это аккаунт, который ведётся программой, примерно как самолёт, ведомый автопилотом. Автопилот можно включать и выключать; точно так же такие аккаунты могут в разное время вести себя как боты и как реальные люди. Поэтому признаки, приведённые ниже, следует считать индикаторами «ботоподобного» поведения в конкретное время, а не стопроцентный способ установить, является ли аккаунт ботом.

Не все боты одинаково вредны; кроме того, не все связаны с политикой. Автоматические аккаунты могут, например, публиковать поэзиюфотографии или новости, не нанося никакого вреда.

Мы же изучаем ботов, прикидывающихся людьми и продвигающих политическую повестку.

В любом случае важно отметить, что нельзя полагаться на единственный признак при выявлении «ботоподобного» поведения. Важна именно комбинация факторов. По нашему опыту, три наиболее важных признака: активность, анонимность и усиление.

1. Активность

Наиболее очевидный признак автоматического аккаунта — его активность. Её легко вычислить, зайдя в профиль аккаунта и разделив количество постов на количество дней с момента его создания. Чтобы увидеть точную дату создания, наведите курсор на надпись рядом с календарем под никнеймом.

1-lNakDG-1admL5OkdtSIstw

Скриншот профиля @Sunneversets100, сделанный 28 августа, на котором видна точная дата создания аккаунта. Архивные копии профиля сделаны 13 января и 28 августа 2017 года. Видно изменение количества твитов за этот период.

Частота твитов, вызывающая подозрения, может быть разной. Команда по изучению «вычислительной пропаганды» Оксфордского института интернета считает подозрительным среднедневное количество твитов, превышающее 50. Эта цифра широко признаётся и применяется, однако может быть заниженной.

@DFRLab считает подозрительными 72 твита в день (один твит каждые десять минут на протяжении 12 часов), а 144 твита в день — крайне подозрительными.

Например, аккаунт @sunneversets100, продвигающий прокремлёвскую повестку, был создан 14 ноября 2016 года. К 28 августа 2017 года ему «исполнилось» 288 дней. За это время он опубликовал 203 197 твитов (точную цифру можно увидеть, наведя курсор на количество твитов в профиле).

Таким образом, он публиковал в среднем 705 твитов в день, то есть примерно твит в минуту за период в двенадцать часов, каждый день в течение девяти месяцев. Такое поведение нельзя назвать человеческим.

2. Анонимность

Второй важный признак — степень анонимности аккаунта. В целом чем меньше в аккаунте личной информации, тем вероятнее, что это бот. Так, на аватарке @sunneversets100 — фотография собора во Флоренции, на фоне профиля — фрагмент графика роста населения, а его адрес и никнейм анонимны. Единственная уникальная черта — ссылка на американский политический агитационный комитет.

Другой пример — аккаунт @BlackManTrump, также отличающийся гиперактивностью: с 28 августа по 19 декабря 2016 года он опубликовал 89 944 твита (см. архив здесь), то есть в среднем 789 твитов в день.

1-XCZ9q1cy81JdNNnVOuFWhg

Скриншот архива профиля @BlackManTrump. Обратите внимание на дату создания слева внизу и дату архивации справа вверху.

В этом аккаунте вообще нет личной информации. Его аватарка и фон не уникальны, местонахождение указано как «США», а в биографии содержится политическое заявление общего характера. Таким образом, ничто не указывает на личность хозяина аккаунта.

3. Усиление

Третий ключевой признак — усиление. Одна из основных задач ботов — «усиливать сигнал» других пользователей, ретвитя, лайкая и цитируя их. Поэтому лента типичного бота состоит из ретвитов и точных цитат новостных заголовков, а оригинальные посты полностью или практически отсутствуют.

Наиболее эффективный способ установить такой характер ленты — автоматически просканировать большое количество твитов. Однако можно и определить это «на глазок», нажав на «твиты и ответы» в профиле аккаунта и просмотрев последние 200 постов. Цифра 200 выбрана достаточно произвольно и представляет собой выборку разумных размеров; исследователи, у которых больше времени и меньше «замыливается глаз», могут просматривать больше твитов.

Например, по состоянию на 28 августа 200 последних твитов @Sunneversets100 являлись ретвитами, многие — ретвитами кремлёвских СМИ RT и Sputnik.

1-mMxR7qx0uEkQSwJei61m3A

Скриншот ленты @Sunneversets100, сделанный 28 августа, на котором видно несколько ретвитов «Спутника» подряд. Отметим, что аккаунт, по-видимому, не публикует твитов с конца апреля. Если пересчитать количество твитов в день до 30 апреля, то получится 1210.

@BlackManTrump ведёт себя чуть сложнее; большая часть его постов представляют собой ретвиты других аккаунтов, из которых удалено «RT @».

1-Q9ps2IE-srwdG_eVTWeavQ

Посты @BlackManTrump в ноябре 2016 года. Отметим, что каждый твит начинается с имени пользователя и двоеточия, что говорит о том, что это ретвиты, из которых удалено «RT @».

Таким образом, и @BlackManTrump, и @SunNeverSets100 ведут себя как боты, поскольку отличаются очень высокой активностью, анонимностью и «усилением сигнала».

Следует отметить, что аккаунт @BlackManTrump не проявлял активности с 14 ноября по 13 декабря 2016 года. Когда же он возобновил активность, она была гораздо меньшей, а гораздо больше твитов выглядели авторскими. Поэтому, если выражаться точнее, он вёл себя как бот до середины ноября, а не является ботом сейчас.

Ещё одна методика усиления — запрограммировать бота делиться новостями непосредственно с избранного списка сайтов, не добавляя комментариев. Разумеется, шеры — стандартная часть трафика Twitter (например, шеринг этого поста читателями приветствуется) и сами по себе не являются подозрительными. Однако аккаунт, публикующий множество таких шеров подряд, вероятно, является автоматическим — например, этот антитрамповский аккаунт, обнаруженный в июле.

1-FSMJVZp-eqs9oteNfJuZCw

Скриншот ленты @ProletStrivings от 28 августа; обратите внимание, что твиты просто воспроизводят заголовки по ссылкам без добавления комментариев. Архивная копия аккаунта создана 28 августа.

4. Низкая активность / высокие результаты

Приведённые выше боты добиваются цели с помощью активного «усиления сигнала» одним аккаунтом. Другой способ добиться аналогичного эффекта — создать множество аккаунтов, ретвитящих один и тот же твит, то есть ботнет.

Такие ботнеты можно легко опознать, когда они «усиливают» конкретный твит, если аккаунт, который запостил этот твит, обычно не отличается подобной популярностью.

Например 24 августа аккаунт @KirstenKellog_ (ныне заблокирован, однако архивная копия доступна здесь) опубликовал твит с атакой на американское СМИ ProPublica (propublica.com).

1-lvhKlsRmpgfIS3jYi4SSYg

Профиль @KirstenKellog_, в котором приведено количество твитов и фолловеров и виден один пост. Архивная копия от 24 августа 2017 г.

Как видно на скриншоте выше, этот аккаунт отличался очень низкой активностью. Он запостил только 12 твитов; 11 из них уже удалены. У него было 76 фолловеров, а сам он не фолловил ни одного аккаунта.

Тем не менее, этот твит получил более 23 000 лайков и ретвитов.

1-53NZ2K6Eo-HmPO5R5tpGpA

Скриншот твита с количеством лайков и ретвитов. Архивная копия от 24 августа 2017 г.

На следующий день ещё один, по-видимому, российский аккаунт опубликовал аналогичный атакующий твит, набравший более 12 000 ретвитов и лайков.

1-A4oTl9jFH2sX07nSM7o3SQ

Следующая атака. Архивная копия от 25 августа 2017 г. К 28 августа количество ретвитов и лайков перевалило за 20 000.

Этот аккаунт такой же малоактивный: он опубликовал всего 6 твитов, начиная с 25 августа, и зафолловил 5 других аккаунтов.

1-12R5ekZ9grPEggcgP47jXw

Профиль второго атакующего аккаунта.

Невероятно, чтобы два настолько малоактивных и непопулярных аккаунта набрали столько ретвитов, даже с использованием хештегов #FakeNews и #HateGroup. Такая разница в активности и популярности отдельных твитов говорит о том, что аккаунты, «усилившие» их, входят в состав ботнета.

5. Одинаковый контент

Принадлежность аккаунтов одной и той же сети можно подтвердить, изучив их твиты. Если они все одновременно публикуют одинаковый контент, вероятно, они на это запрограммированы.

Например, многие из аккаунтов предполагаемого ботнета, «усилившего» твит @KirstenKellog_, публикуют одинаковые твиты — например, такие.

syeddoha-1200x436

Слева направо: Одинаковые ретвиты аккаунтами «Gail Harrison», «voub19» и «Jabari Washington», которые также вместе усиливали @KirstenKellog_.

Случается, что боты публикуют целые серии одинаковых твитов в одном и том же порядке. Три приведённых ниже аккаунта входят в одну и ту же антитрамповскую сеть, выявленную в июле.

couldjusb-1200x493

Слева направо: одинаковые твиты в одном и том же порядке, опубликованные аккаунтами @CouldBeDelusion, @ProletStrivings и @FillingDCSwamp. Заметьте также, как в этих твитах слово в слово повторяются названия статей, которыми они делятся.

28 августа те же три аккаунта вновь опубликовали одинаковые твиты в одном и том же порядке; @ProletStrivings добавил к этому ещё и ретвит.

couldjusb2-1200x584

Слева направо: Скриншоты профилей @CouldBeDelusion, @FillingDCSwamp и @ProletStrivings, в которых видны шеры в одном и том же порядке. Заметим также, что в первом твите в каждом из профилей содержится текст «Check out this link» [«Посмотрите на эту ссылку»], что также указывает на автоматический шеринг. Скриншоты и архивные копии сделаны 28 августа.

Такие серии одинаковых постов — классические признаки автоматизации.

6. Клуб любителей силуэтов

Наиболее примитивных ботов особо легко распознать, поскольку их создатели не озаботились загрузкой аватарок. Эти боты раньше назывались «яйцами», поскольку раньше на аватарках аккаунтов без юзерпика отображалось яйцо. Теперь там отображаются силуэты.

Некоторые пользователи имеют силуэты на аватарках по совершенно невинным причинам; таким образом, присутствие силуэта само по себе не является признаком бота. Однако если список аккаунтов, ретвитнувших твит, выглядит так…

1-kTOwAKhoxAdgemTxTH9PGA

Скриншот списка ретвитов твита @AtlanticCouncil, пережившего 28 августа особо очевидное и топорное нашествие ботов.

…или же если страница фолловеров аккаунта напоминает посиделки Клуба любителей силуэтов…

1-XECnHNbj-nmYLTUWDp5yrw

Скриншот страницы фолловеров финской журналистки @JessikkaAro после внезапного наплыва ботов 28 августа.

…ясно, что имеет место активность ботов.

7. Украденные или одинаковые фото профиля

Другие ботоводы более тщательно подходят к делу, маскируя анонимность фотографиями, взятыми из интернета. Поэтому хороший способ проверить подлинность аккаунта — поискать в интернете его аватар. В браузере Google Chrome нажмите на изображение правой кнопкой мыши и выберите «Поиск изображения в Google».

1-qUUgkVFpOmceBToUEPxo-g

Поиск в Google Chrome фотографии предполагаемого бота «Shelly Wilson».

В других браузерах выберите «копировать ссылку на изображение», введите ссылку в строку поиска Google и выберите «поиск по картинке».

pbstwitter

В любом случае в результатах поиска отобразятся страницы с совпадающими изображениями, и тем самым можно определить, украденный ли аватар у аккаунта.

1-ErwLbSFTDA39bqRwqJLWLQ

В случае с «Shelly Wilson» выяснилось, что изображение использовалось несколькими аккаунтами в той же сети, что подтверждает их «фейковость».

shellyberniejulia

8. Что в имени тебе..?

Ещё один признак бота — название аккаунта (начинающееся с «@»). У многих ботов такие названия — просто бессмысленный набор букв и цифр, созданный алгоритмом, например.

1-aCILFG17mXA0j1uCiLZT9Q

Названия аккаунтов некоторых ботов, ретвитнувших твит @KirstenKellog_. Заметьте, что среди них есть одно настоящее имя — @ToddLeal3. О нём речь пойдёт ниже.

Названия некоторых других аккаунтов выглядят как имена, но не соответствуют отображаемым именам.

pottermatthews

Слева направо: «Sherilyn Matthews», «Abigayle Simmons» и «Dorothy Potter» с названиями аккаунтов «NicoleMcdonal», «Monique Grieze» и «Marina» соответственно.

Другие боты имеют типично мужские имена, но при этом женские аватарки (такие встречаются гораздо чаще, чем женские имена с мужскими аватарками; возможно, для мужской целевой аудитории)…

toddjames

Ещё три аккаунта в том же ботнете: «Todd Leal», «James Reese» и «Tom Mondy», архивные копии от 24 и 28 августа 2017.

или же мужские названия, но женские имена и аватарки…

irmapoppy

Слева направо — «Irma Nicholson», «Poppy Townsend» и «Mary Shaw», согласно названиям аккаунтов — David Nguyen, Adrian Ramirez и Adam Garner.

… или что-то совершенно иное.

1-UoaWo_8b8foUzW6jsLGANA

«Erik Young», женщина, которая любит Иисуса, из того же ботнета.

Всё это указывает на фейковые аккаунты, которые представляются кем-то другим (зачастую молодыми женщинами) для привлечения пользователей. Идентификация типа фейкового аккаунта и определение, бот ли это, зависит от его поведения.

9. Вавилонский Twitter

Некоторые боты — политические, а все их твиты отражают одну и ту же точку зрения. Однако другие боты — коммерческие, и их услуги, по-видимому, продаются вне зависимости от содержания публикаций. Большая часть этих твитов аполитичные. Однако и эти боты могут использоваться для усиления политических твитов.

Такие ботнеты часто отличаются крайним языковым разнообразием. Например, в аккаунте «Erik Young» («женщины, любящей Иисуса») есть ретвиты на арабском, английском, испанском и французском.

erikbernd-1200x362

Изучив подобным образом анонимный «силуэтный» аккаунт @multimauistvols (отображаемое имя “juli komm”), можно найти твиты на английском…

1-_wV366m0lFKRBrQpRt_pVg

испанском…

1-XkCI5QloNFJGJnQTkm5gFQ

арабском…

1-_f8UJhPvhlObVilttnnlAw

суахили (если верить Google Translate)…

1-iYXEDZrxRNfRLR3AOJIvng

индонезийском…

1-sWhl0JxfaRoS2CgdS-XiiQ

китайском…

1-jJBSkqoL2YYUJu1hAGaY6Q

русском…

1-__j8NB5UyoH8DwGQFK8gWw

и японском.

1-RQ-AtfntxBNcjZPwoT4f3g

В реальности любой человек, владеющий всеми этими языками, наверняка может заниматься чем-то интереснее, чем продвижение видео с YouTube.

10. Коммерческий контент

Рекламная деятельность — классический признак ботнета. Как указано выше, некоторые ботнеты, по-видимому, существуют в основном для этой цели, и лишь изредка пробуют себя в политике. Когда же они всё-таки это делают, их выдаёт как раз сосредоточенность на рекламе.

Хороший пример — любопытный ботнет, ретвитивший политический твит от аккаунта @every1bets, обычно посвящённого азартным играм.

Ретвитившие «носили» самые разные имена, как видно в этом списке.

1-A0ZRJdU3sJRCEsnO9HvNZA

Однако значительная часть их твитов носили рекламный характер.

saudifollow-1200x376

Аккаунты, которые в основном ретвитят подобные твиты, особенно на разных языках, вероятнее всего, входят в коммерческие ботнеты, клиенты которых хотят продвигать или рекламировать свои посты.

11. Программы автоматизации

Ещё один признак возможной автоматизации — использование сокращения ссылок. Такие сокращения в основном используются для отслеживания трафика по конкретной ссылке, однако частота их использования может быть признаком автоматизации.

Например, один недавно выявленный фейковый аккаунт под именем «Angee Dixson» с фотографией немецкой супермодели Lorena Rae на аватарке опубликовал множество ультраправых политических твитов. В каждом из них присутствовала сокращённая ссылка ift.tt.

1-PjswLFfOYTdL4mttaYdPMg

Это программное обеспечение, которое производится компанией ifttt.com и позволяет пользователям автоматизировать посты с различными критериями — например, ретвитить любой пост с конкретным хештегом. Поэтому лента с большим количеством сокращённых ссылок ift.tt наверняка принадлежит боту.

Другие сокращения ссылок также могут указывать на автоматизацию, если они постоянно встречаются в ленте. Например, сокращение ссылок ow.ly связано с менеджером социальных сетей HootSuite; известно, что многие боты публикуют множество твитов со ссылками ow.ly на различные сайты, что также указывает на автоматизацию. Приложение Twitter TweetDeck позволяет пользователям встраивать различные сокращения ссылок, например bit.ly или tinyurl.com.

Отметим, что использование таких сокращений ссылок — нормальное явление в интернете, однако аккаунт, который только и делает, что делится новостными статьями с одним и тем же сокращением ссылок, следует проверить на другие признаки бота.

12. Ретвиты и лайки

Наконец, работу ботнета можно заметить, сравнив количество ретвитов и лайков конкретного твита. Некоторые боты запрограммированы и ретвитить, и лайкать одни и те же твиты; в таких случаях количество ретвитов и лайков будет практически одинаковым, а списки ретвитнувших и лайкнувших могут совпадать, как видно в следующем примере.

likedretweetedhowmanytimeslots

Слева — ретвиты, справа — лайки второго твита с атакой на ProPublica.com

В этом примере разница между количеством ретвитов и лайков составляет всего 11, то есть меньше 0,1%. Твит ретвитили и лайкали одни и те же аккаунты в одном и том же порядке в одно и то же время. Учитывая, что всего ретвитили и лайкали около 13 000 пользователей, такое совпадение практически невозможно. Это говорит о работе скоординированной сети, все аккаунты которой запрограммированы лайкать и ретвитить одну и ту же атаку.

Вывод

Боты стали неотъемлемой частью Twitter. Многие из них достаточно безвредны, а вредных можно распознать по основным характеристикам.

Чаще всего такие характеристики — активность, анонимность и усиление, однако существуют и другие критерии. Краденые аватарки, бессмысленный набор букв и цифр в названии аккаунта и гендерное несоответствие названия, отображаемого имени и фото помогут распознать фейковый аккаунт. Их также можно выявить по шквалу коммерческих твитов или по твитам на множестве разных языков.

Однако важнее всего знать, что боты существуют и как их распознать. Пользователи, способные самостоятельно вычислять ботов, с меньшей вероятностью поддадутся манипуляции с их стороны, а возможно, и смогут жаловаться на деятельность ботнетов, что приведёт к их блокировке. Основная цель ботов — влиять на живых пользователей. Эта статья призвана помочь пользователям заметить признаки активности ботов.

Истчоник: Bellingcat.

У самурая нет цели, есть только путь. Мы боремся за объективную информацию.
Поддержите? Кнопки под статьей.