24 апреля 2017

Приложение-ловушка: удивительный мир ботов Tinder

Новости Приватность

Как вы думаете, каков уровень кликабельности ссылок, которые пользователи-мужчины получают от привлекательных женщин в мессенджерах, встроенных в приложения сервисов знакомств? Попробуйте угадать. 1%? 5%? 15%? А вот и нет: как утверждает исследователь Инбар Рац из PerimeterX, целых 70%! То есть из трех мужчин два кликают по ссылкам — это, без сомнения, самый высокий показатель CTR (click-trough rate) в мире. Казалось бы, что может пойти не так…

Приложение-ловушка: удивительный мир ботов Tinder

Инбар Рац начал свое исследование, создав идеальный профиль в Tinder. Эта тема, как это ни удивительно, довольно хорошо изучена, в смысле изучена математически. Есть множество рекомендаций, в том числе интервью с главой Tinder Шоном Рэдом (Sean Rad), в котором он объясняет, какие фотографии обеспечат вам наибольший успех. Вот краткий список:

  • снимки, сделанные профессиональным фотографом;
  • фотографии с домашним питомцем;
  • фото, где вы занимаетесь спортом или своим хобби;
  • «официозные» фотографии с работы;
  • что-то дурацкое или креативное.

Любовь с первого взгляда

Около года назад Рац выступал на конференции по информационной безопасности в Копенгагене. Приехав, он зашел в Tinder и в течение часа получил восемь совпадений (matches), или пар, как это называется в русском интерфейсе Tinder, — все как на подбор привлекательные молодые женщины. Одна из них отправила ему сообщение на датском со ссылкой в конце. После этого Tinder предложил Рацу еще множество вариантов пар, и все они написали ему сообщения. Все эти сообщения были практически идентичными — различие состояло в четырех символах в конце ссылки.

У Раца зародились вполне обоснованные подозрения, что все эти привлекательные женщины — на самом деле боты, так что он решил пристальнее их изучить. Например, он выяснил, что на 57 предложенных кандидатур приходится только 29 вузов, 26 мест работы и 11 профессий (в большинстве своем женщины представлялись моделями). Более того, хотя все боты, кроме одного, в качестве вуза указали в профиле датские учебные заведения, почти все они якобы работали в тех или иных британских компаниях (в основном расположенных в Лондоне).

После этого Рац проверил информацию профилей. Они тоже оказались составлены… неидеально: в профиле указывались ссылки на страницы в Facebook и Instagram, не совпадающие с именами и фотографиями профиля в Tinder.

Они тоже оказались составлены… неидеально: в профиле указывались ссылки на страницы в Facebook и Instagram, не совпадающие с именами и фотографиями профиля в Tinder.

Знакомимся с ботами поближе

Спустя несколько месяцев Рац снова поехал на конференцию по безопасности — на этот раз в Денвер. Стоило ему ненадолго открыть Tinder — и сервис снова предложил ему множество потенциальных пар, по большей части фейковых. Здесь некоторые из ботов были исполнены на более высоком уровне: сначала они пробовали наладить общение, а уже потом присылали ссылку. Рац попробовал позадавать ботам въедливые вопросы, чтобы проверить степень интерактивности. Как выяснилось, она все-таки была невысокой — боты следовали довольно жесткому сценарию диалога, вне зависимости от того, что спрашивал исследователь. Общение ожидаемо заканчивалось приглашением продолжить разговор в Skype или перейти по ссылке.

На этот раз Рац решил проверить ссылки, которые отправляли ему боты. Они вели на другой сайт, который, в свою очередь, перенаправлял посетителей на третий сайт. В конце концов Рац попал на страницу, гласящую: «Это НЕ сайт знакомств». Следующее предупреждение звучало так: «Вы увидите обнаженные фото. Пожалуйста, будьте рассудительны», что бы ни значило слово «рассудительный» в этом контексте.

Перематываем чуть вперед: прошло два месяца, Рац направлялся на следующую конференцию — Chaos Communication Congress в Гамбурге. В этот раз сообщение от одного из ботов содержало ссылку на сайт под названием «Лучше, чем Tinder» с огромными фотографиями обнаженных женщин прямо на главной странице.

Ищем кукловода

Еще немного вперед: месяц спустя Рац вновь ехал на конференцию по безопасности в Остине. Он зашел в Tinder, и, как и ожидалось, приложение предложило ему новые мэтчи. Теперь Рац уже был уверен на 100%, что его собеседницы — боты. Общаясь с ними, исследователь даже не пытался вести диалог по-человечески. И действительно, разговор неизменно шел в соответствии со скриптом, а в конце Рац получал приглашение в Skype — пообщаться с пользователем под ником juicyyy768.

Имя аккаунта напомнило ему о другом боте, который пригласил Раца в Skype, когда тот был в Денвере, — никнейм того тоже выглядел как слово, в котором последняя буква повторяется несколько раз, плюс три цифры. Рац создал аккаунт в Skype специально в целях исследования и пообщался с ботом. Следуя другому скрипту, бот попросил Раца создать учетную запись на некоем фотохостинге. Естественно, при создании аккаунта понадобился номер кредитной карты, и, конечно же, вам уже понятно, что бы произошло дальше.

В качестве следующего шага Рац попытался понять, как устроена империя ботов и ее инфраструктура. Он проверил IP-адрес одного из веб-сайтов, ссылки на который получал в сообщениях. С данным IP-адресом был связан ряд сомнительных доменных имен, в названиях которых неизменно фигурировали секс, Tinder или что-нибудь в таком духе. Рац проверил, на кого были зарегистрированы эти домены, но в большинстве случаев владельцы оказались анонимами.

Однако проверка всех доменов (а их оказалось аж 61) принесла больше сведений. Некоторые из доменов содержали хоть какую-то информацию, в отдельных случаях были даже указаны имена, номера телефона, адреса в Марселе и email. Как выяснилось потом, это были фейковые данные, но Рац смог свести все воедино и предпринять следующие шаги.

С помощью сайта Scamadviser.com, который проверяет, насколько безопасно покупать что-либо в Интернете, Рац выяснил, что бот-кампании на различных сайтах, зарегистрированных на различных континентах, связаны с одним и тем же email-адресом *****752@gmail.com, который Рац узнал из сведений о регистрации домена. Хозяин email-адреса использует несколько фейковых имен, номеров телефона и адресов. Единственное, что их связывает, — это местоположение в Марселе и единая формула создания ников для ботов. Рац не смог выяснить подлинную личность мошенника — кем бы он ни был, он хорошо умеет прятаться.

После этого Рац переключился на другую платформу, OkCupid, чтобы проверить ее на наличие ботов. И естественно, они там были. Они уступали ботам в Tinder по качеству исполнения, а сайты, на которые вели ссылки, явно были сделаны на коленке. Как показало дальнейшее исследование, хозяин этой небольшой империи ботов совсем не так хорошо умел прятаться, как *****752. Проверив несколько сайтов, Рац сначала смог обнаружить email, а затем реальное имя мошенника и даже его основной аккаунт в Facebook. На фото профиля кукловод позировал с пачками купюр в руках.

На фото профиля кукловод позировал с пачками купюр в руках.

Не бойся «Тиндера»

Итак, в Tinder есть боты. И что? Ну, как вы уже догадались, они там совсем не для красоты и не для того, чтобы вы почаще тратили время впустую или питали несбыточные надежды. Они — часть фишинговой кампании, их задача — перевести вас на сайт, который собирает данные кредитных карт, а кликабельность фишинговых ссылок в чатах Tinder и ему подобных сервисов, как мы отметили еще в начале материала, невероятно высока. То есть по ссылкам кликает действительно большое количество мужчин, а некоторые даже вводят данные своей кредитки, чтобы получше рассмотреть потенциальную прекрасную подругу.

Но это не значит, что вам нужно срочно отказаться от Tinder, OkCupid или других сервисов знакомств. Просто нужно быть начеку.

  1. Не переходите по ссылкам, которые вам присылают незнакомцы. Собственно, у ваших потенциальных мэтчей вообще нет никаких особых причин присылать вам ссылки. Проверяйте информацию профиля вашего собеседника. Если в профиле указаны ссылки на аккаунты с другими именами, что-то тут явно не так.
  2. Боты есть практически во всех интернет-сервисах, но по крайней мере сейчас в большинстве своем они примитивны, так что отличить бота от реального человека довольно легко. Просто не теряйте голову из-за красотки, которой вы якобы тоже приглянулись. Попробуйте сменить тему разговора и наблюдайте, может ли ваш собеседник продолжать диалог.
  3. Не пытайтесь ходить с ботами на свидания. Ну и пройдите наш тест о фишинге, чтобы получше изучить приемы мошенников.