Lakhasly

نكتشف نظامًا بيئيًا مزدهرًا من التلاعب بالسمعة على نطاق واسع الخدمات على Facebook التي تستفيد من مبدأ التواطؤ. تجمع شبكات التواطؤ الرموز المميزة للوصول إلى OAuth من الأعضاء المتواطئين وإساءة استخدامها لتقديم اعجاب وهمية أو تعليقات على أفراد. نتسلل إلى شبكات التواطؤ الشائعة باستخدام مصائد مخترقي الشبكات وتحديد أكثر من مليون متعاطف على الفيسبوك الحسابات عن طريق "حلب" شبكات التواطؤ هذه. نحن نكشف نتائجنا على الفيسبوك والتعاون معهم لتنفيذ سلسلة من الإجراءات المضادة التي تعمل على تخفيف إساءة استخدام رمز OAuth للوصول دون التضحية قابلية استخدام منصة التطبيق لطرف ثالث وبعدها نفذ Facebook مجموعة من التغييرات غير ذات الصلة في بنيتها التحتية لمواجهة شبكات التواطؤ. نحن الأول للإبلاغ عن رمز وصول OAuth واسع النطاق وتخفيفه بشكل فعال سوء المعاملة في البرية. أصبحت الشبكات الاجتماعية عبر الإنترنت الطريقة الأساسية للاتصال بين الأشخاص والتواصل مع بعضهم البعض ، السمعة هي العقيدة الأساسية الاجتماعية على الإنترنت الشبكات. ينتشر الاحتيال على مستوى سمعته عبر الإنترنت شبكات اجتماعية. تعتمد هذه الخدمات على عدد كبير من الإنترنت حسابات الشبكة الاجتماعية لإجراء التلاعب في سمعة في مقياس. أو تجند المستخدمين للانضمام إلى التواطؤ الشبكات [58]. تحاول الشبكات الاجتماعية على الإنترنت مواجهة التلاعب بالسمعة الأنشطة على المنصات الخاصة بهم عن طريق إزالة الإعجابات وهمية وتعليق حسابات مشبوهة. الدفاع ضد التلاعب بالسمعة الاحتيالية هو سباق التسلح المستمر بين المحتالين ومشغلي الشبكات الاجتماعية. لفهم مدى تشكل شبكات التواطؤ المشكلة ، تواطؤ الشبكات التي تجمع رموز وصول OAuth للتطبيقات التي تستخدم الوضع الضمني في OAuth 2. ثم يتم استخدام رموز الوصول هذه للقيام بأنشطة نيابة عن هذه التطبيقات وتواطؤ الحسابات. توفر شبكات التواطؤ الإعجابات والتعليقات لأعضائها على أساس الطلب. الوصول إلى تسرب رمزي وإساءة استخدام شبكات التواطؤ. نحن أول من أبلغ عن نطاق واسع OAuth الوصول إلى تسرب رمزي وإساءة الاستخدام. شبكات التكاثر بالحلب باستخدام Honeypotsلإجراء دراسة قياس واسعة النطاق على الفيسبوك شعبية شبكات التواطؤ. والانضمام إلى شبكات التواطؤ ، نحن بعد ذلك مراقبة وتحليل مصائد مخترقي الشبكات لدينا لفهم الاستراتيجيات تستخدمها شبكات التواطؤ للتلاعب بالسمعة. نحدد حجم العضوية في التواطؤ الشبكات عن طريق تتبع عدد الحسابات الفريدة التي تحب نكشف عن النتائج التي توصلنا إليها على Facebook والعمل معهم للتخفيف من هذه التلاعب في السمعة المستندة إلى التواطؤ خدمات. على سبيل المثال ، لا نقوم بحظر تطبيقات الطرف الثالث التي يتم استغلالها بواسطة شبكات التواطؤ لأنها سوف تؤثر سلبًا على الملايين من المستخدمين الشرعيين. نحن نقيم حدودًا إضافية ونضع قائمة سوداء في عناوين IP والأنظمة الذاتية (ASes) المستخدمة من قبل شبكات التواطؤ لوقف عملياتها تماما المساهمات الرئيسية. We تثبت كيف شبكات التواطؤ استغلال تطبيقات Facebook الخاصة بجهات خارجية ذات شعبية ضعيفة إعدادات الأمان لاسترداد الرموز المميزة للوصول إلى OAuth وإساءة الاستخدام لهم لتلاعب سمعة. لدينا تدابير مضادة قادرة على وقف عمليات شبكة التواطؤ دون الحاجة إلى أي تعديلات على OAuth الإطار. يناقش نحن تصف لنا مصيدة نشر لقياس شبكات التواطؤ الأنشطة. نستعرض الأعمال ذات الصلة في هذا القسم ، والترفيه ، والتعليم ، والمرافق ، عشرات الملايين من المستخدمين النشطين ويقومون بعمليات القراءة والكتابة بشكل روتيني العمليات نيابة عن مستخدميها. ينفذ Facebook إطار تفويض OAuth 2. 0 [30] والذي يسمح لتطبيقات الطرف الثالث بالحصول على قيود الوصول إلى حسابات المستخدمين دون مشاركة بيانات اعتماد المصادقة (على سبيل المثال ، هذا الوصول الرمز المميز عبارة عن سلسلة مبهمة تحدد بشكل فريد مستخدم و يمثل نطاق إذن محددًا مُمنحًا للتطبيق لتنفيذ إجراءات القراءة / الكتابة نيابة عن المستخدم. النوع الأول من الأذونات الأساسية لا يتطلب Facebook موافقة. النوع الثاني من الأذونات الحساسة على سبيل المثال ، وتوليد الإعجابات والتعليقات. 2 كلا سير العمل تتشابه مع بعض التغييرات في معلمات الطلب وبعضها خطوات إضافية في تدفق جانب الخادم. يوضح الشكل 1 تدفق OAuth 2. تطبيق المعرف هو معرف فريد يتم تعيينه لكل تطبيق Facebook. تم تكوين URI إعادة التوجيه في التطبيق إعدادات. يتم تعيين نوع الاستجابة على أنه "رمز مميز" لإرجاع الوصول الرمز المميز في تدفق من جانب العميل ويتم تعيينه كـ "رمز" لإرجاع رمز التفويض في تدفق من جانب الخادم. يتضمن الطلب معرف التطبيق ، طلب تبادل رمز ترخيص للوصول ثم يتم استخدام الرموز المميزة للوصول من قبل التطبيقات المراد تنفيذها مطلوب عموما طلب لتمرير التطبيق المعرّف وسر التطبيق ورمز الوصول المقابل. كما هو مبين في الشكل 2 (أ) ، يوفر Facebook خيارًا لتعطيل تدفق العميل من إعدادات التطبيق. عادةً ما يسمح بالتدفق من جانب العميل بالتطبيقات التي تجعل من واجهة برمجة تطبيقات Graph من Google مكالمة فقط من جانب العميل. قد لا يكون بعض التطبيقات من جانب العميل تطبيقًا الخادم على الإطلاق وتنفيذ طلبات واجهة برمجة تطبيقات Graph فقط من المتصفح كما هو موضح في الشكل 2 (ب) ، 49 ، 54 ، 54] ، باستخدام UAuth redirection URI ، نحن استرجاع الرمز المميز للوصول من جانب العميل من التطبيق عنوان URL لتسجيل الدخول. المدى القصير تشكل الرموز المميزة للوصول تهديدًا محدودًا نظرًا لأنها مطلوبة ليتم تحديثها بعد كل 1-2 ساعة. 3 شبكات colllon كما ناقشنا من قبل ، التطبيقات الحساسة ذات النفاذ الطويل الأجل الرموز المميزة بين أفضل 100 تطبيق Facebook. نحن نجمع قائمة من هذه المواقع واستخدام اليكسا [2] لتلخيص التواطؤ شعبية الشبكات. حيث يتم تصنيفها ضمن أعلى 3K المواقع. من المثير للاهتمام أن نلاحظ أن شبكات التواطؤ الأخرى قد حصلت أيضًا معظم حركة المرور الخاصة بهم من دول مثل الهند ومصر وتركيا ، وفيتنام. نحن نحقق في شبكات التواطؤ الشائعة لفهم الميزات التي تقدمها والتعرف على تطبيقات الفيسبوك أنهم استغلال. يسرد الجدول 3 التطبيقات المستخدمة من قبل شبكات التواطؤ الشعبية جنبا إلى جنب مع إحصاءاتها استردادها من واجهة برمجة تطبيقات الرسم البياني على Facebook. في المرتبة 40 ولديها ترتيب مليون مستخدم نشط يوميًا (DAU). وبالمثل ، سوني اريكسون الهاتف الذكي في المرتبة 886 ولديها ترتيب من عشرة آلاف يوميا المستخدمين النشطين. من الجدير بالذكر أن شبكات التواطؤ لا يمكن أن تخلق واستخدام تطبيقاتهم الخاصة لأنهم لن يمروا على Facebook عملية مراجعة يدوية صارمة للتطبيقات التي تتطلب إرسال الأذونات [3]. معظم شبكات التواطؤ لديها واجهة ويب مماثلة وأنها توفر كل مستخدم مماثل إلى حد ما تجربة. يوضح الشكل 3 سير العمل في تواطؤ فيس بوك الشبكات. يزور أحد المستخدمين موقع الويب الخاص بشبكة التواطؤ وينقر عليه الزر لتثبيت التطبيق. الموقع يعيد التوجيه ال يطلب من المستخدم منح الأذونات المطلوبة وتثبيته تطبيق. • يعود المستخدم إلى موقع شبكة التواطؤ بعد التثبيت التطبيق والنقر على الزر لاسترداد رمز الوصول. يقوم مربع حوار التخويل بإعادة توجيه المستخدم إلى صفحة يحتوي على الرمز المميز للوصول كسلسلة استعلام في عنوان URL. نسجل 22 حساب جديد على Facebook لاستخدامها كصناديق نشيطة نشطة لدراسة التواطؤ الشعبي الشبكات. في محاولة لإشراك شبكات التواطؤ بشكل نشط ، تنشر حسابات honeypot بانتظام تحديثات الحالة في المخططات الزمنية وطلب شبكات التواطؤ لتقديم إبداءات الإعجاب / التعليقات على them. تفرض بعض شبكات التواطؤ تأخيرات ثابتة أو عشوائية بين طلبين متتاليين. تتطلب العديد من شبكات التواطؤ من المستخدمين حل CAPTCHA من أجل تسجيل الدخول وقبل كل طلب. فإننا نستخدم خدمة حل CAPTCHA [4] لحل أوتومات CAPTCHA و Selenium تلقائيًا [19] لـ تقديم الطلبات لشبكات التواطؤ. نحن نشر باستمرار تحديثات الحالة وطلبات شبكات التواطؤ على مدار المدة ما يقرب من ثلاثة أشهر من نوفمبر 2015 إلى فبراير عام 2016. نحن نزحف بانتظام إلى المخططات الزمنية لمصيدة لدينا حسابات Facebook لتسجيل الإعجابات والتعليقات الواردة المقدمة لاحظ أن تقدير العضوية لدينا هو بدقة أقل لأننا قد لا نلاحظ كل التواطؤ حسابات الشبكة ، نقوم أيضًا بالزحف إلى سجلات الأنشطة الخاصة بمصيدة لدينا حسابات لجمع الإعجابات والتعليقات الصادرة على وجه التحديد، بسبب أخذ عينات عشوائية من المستخدمين من قاعدة بيانات الوصول ، تحديثات الحالة لحساب honeypot. إلى عن على com و monkeyliker. com بسعر 178 كيلوبايت. ال حجم عضوية جميع شبكات التواطؤ في دراستنا تلخيص إلى 1، بعض الحسابات جزء من متعددة شبكات التواطؤ. 008, 021 خدمات تقصير URL مثل كما يوفر goo. لكل منها مئات الآلاف من الأعضاء (انظر الجدول4). نلاحظ أن العديد من عناوين المواقع القصيرة تشير إلى نفس عنوان URL الطويل. قد لا تعطينا أعداد النقرات هذه تقديرًا دقيقًا في المجمل ، f8-autoliker. وتقدم myliker. com ما يقرب من 400 و 250 و 100 إعجاب لكل طلب ، على التوالي. على سبيل المثال ، autolike. 8K يحب على مشاركات 1. العديد من شبكات التواطؤ تقدم أيضا خدمات "التعليق التلقائي". مطلوب من المستخدمين لتحديد الوظائف المستهدفة للحصول على تعليقات. نلاحظ أن شبكات التواطؤ توفر ما معدله 16 شبكة فقط التعليقات لكل منشور. من الجدير بالذكر أن العدد الإجمالي للفريدة التعليقات تشكل جزءًا صغيرًا من جميع التعليقات المقدمة من قبل شبكات التواطؤ. (ب) الاستخدام غير الضروري لعلامات الترقيم مثل "؟؟ رائع ؟؟؟ ؟؟؟؟؟؟؟ ؟؟؟؟ "، نستنتج ذلك التواطؤ شبكات توليد عدد قليل جدا من التعليقات الفريدة محدودة مفردات اللغه. 5.1 تسييل يستخدم مشغلو شبكات التواطؤ آليتين رئيسيتين لتحقيق الدخل خدماتهم: (1) الإعلان و (2) خطط قسط التأمين. إعلان. تجذب شبكات التواطؤ عددًا كبيرًا من المستخدمين لمواقعهم كل يوم. أذكر من الجدول رقم 5 ذلك تعرض شبكات التواطُع إعلانات مختلفة شبكات الإعلانات لاستثمار حركة المستخدم على مواقعهم على الويب. نحن تحديد شبكات الإعلانات والتعقب على مواقع شبكة التواطؤ باستخدام Ghostery [9]. مثل DoubleClick ، للتغلب على هذه المشكلة ، العديد من شبكات التواطؤ استخدام عمليات إعادة توجيه عناوين URL لإعادة توجيه المستخدمين مؤقتًا إلى مستخدمين آخرين نطاقات القائمة البيضاء والإعلانات الصورية من شبكات إعلانات مختلفة على الصفحة المعاد توجيهها. يقوم mg-likers. بعض شبكات التواطؤ إعادة توجيه إلى خدمات تقصير URL مدفوعة مثل مثل adf. خطط ممتازة. فمثلا، تبيع شبكات التواطؤ خططًا متميزة تسمح بذلك المستخدمين للحصول على المزيد من إبداءات الإعجاب / التعليقات والتغلب على القيود الأخرى حتى عام 2000 يحب لخطة أغلى من قبل mg-likers. هم ايضا تقدم تلقائيا يحب دون الحاجة للمستخدمين يدويا تسجيل الدخول إلى مواقع شبكة التواطؤ لكل طلب. نلاحظ أن مواقع شبكة التواطؤ تستخدم مختلفًا تقنيات لإخفاء هويتهم. للبقية شبكات التواطؤ ، في الواقع ، نشير إلى ذلك أن معلومات المسجل المستخرجة من سجلات WHOIS و يمكن أن يتم تنظيم حسابات وسائل التواصل الاجتماعي من قبل المالكين الفعليين. com كان لديه أكثر من 9 مليون متابع في وقت هذه الكتابة. ومن الجدير بالذكر أيضا أن حسابات honeypot لدينا هي في كثير من الأحيان تستخدم لإعجاب صور الملف الشخصي وغيرها من منشورات الجدول الزمني لهذه حسابات الفيسبوك. 6 متلازمة نحن تلقى مراجعة رسمية من مجلس المراجعة المؤسسية المحلي لدينا IRB) لأننا نجمع بعض معلومات الحساب المتاحة للعامة مثل المشاركات وإبداءات الإعجاب. نفصح عن نتائجنا إلى Facebook لإزالة كل التحف من التلاعب بالسمعة خلال القياسات وكذلك التحقيق في التدابير المضادة للتخفيف أنشطة شبكة التواطؤ. نجري تجارب مصيدة لـ تقريبا عشرة أيام لإنشاء خط الأساس لأنشطة شبكة التواطؤ. نحن كرر تجارب حلب honeypot للتواطؤ الشعبي الشبكات ابتداء من أغسطس 2016 (وتستمر حتى منتصف أكتوبر يوضح الشكل 5 متوسط عدد عمليات الإعجاب التي تم تلقيها بواسطة honeypots لشعبين تواطؤ شعبية . في حين أننا نعتبر مجموعة واسعة من التدابير المضادة ، فإننا نقرر لتنفيذ التدابير المضادة التي توفر مقايضة مناسبة بين الكشف عن إساءة استخدام رمز الوصول ومنصة التطبيق قابلية الاستخدام لمطوري الجهات الخارجية. تستغل شبكات التواطؤ حاليًا بعض التطبيقات (المدرجة في القائمة في الجدول 3) للقيام بأنشطة التلاعب بالسمعة. تعليق هذه التطبيقات هو نسبيا مضاد بسيط لتنفيذ ؛ يمكننا تفويض سر التطبيق (وبالتالي فرض عمليات جانب الخادم) لتروق / تعليق الأنشطة 18]. لن تكون شبكات التواطؤ قادرة على القيام بسمعة أنشطة التلاعب حتى لو كانوا يستردون رموز الوصول من تواطؤ المستخدمين. 6.1 الوصول إلى حدود معدل الرمز المميز نحن نحد من الحد الأقصى للسعر بأكثر من مبلغ من الحجم في اليوم 12 كما هو ملحوظ من قبل الدوائر الخضراء في الشكل 5. فإن المتوسط عدد من الإعجابات المقدمة من الرسمي-liker. 6.2 Honeypot based Access Token Invalidation me و official-liker. نتوقع أن إبطال هذه الرموز الوصول سيحد من أنشطة شبكة التواطؤ. نقوم بإبطال عينة عشوائية 50٪ من رموز الوصول المحلاة في يوم 23 كما هو ملحوظ من قبل الصليب الأسود في الشكل 5. 5 نلاحظ هذا الانخفاض لم يكن دائما ومتوسط عدد يحب زيادة تدريجيا مرة أخرى خلال الأيام القليلة المقبلة.

نبذة مختصرة
نكتشف نظامًا بيئيًا مزدهرًا من التلاعب بالسمعة على نطاق واسع الخدمات على Facebook التي تستفيد من مبدأ التواطؤ. تجمع شبكات التواطؤ الرموز المميزة للوصول إلى OAuth من الأعضاء المتواطئين وإساءة استخدامها لتقديم اعجاب وهمية أو تعليقات على أفراد. نقوم بإجراء دراسة شاملة للقياس نفهم كيف تستغل شبكات التواطؤ هذه الطرف الثالث الشعبي تطبيقات Facebook مع إعدادات الأمان ضعيفة لاسترداد رموز الدخول إلى OAuth. نتسلل إلى شبكات التواطؤ الشائعة باستخدام مصائد مخترقي الشبكات وتحديد أكثر من مليون متعاطف على الفيسبوك الحسابات عن طريق "حلب" شبكات التواطؤ هذه. نحن نكشف نتائجنا على الفيسبوك والتعاون معهم لتنفيذ سلسلة من الإجراءات المضادة التي تعمل على تخفيف إساءة استخدام رمز OAuth للوصول دون التضحية قابلية استخدام منصة التطبيق لطرف ثالث
المطورين. هذه التدابير المضادة ظلت قائمة حتى أبريل 2017 ، وبعدها نفذ Facebook مجموعة من التغييرات غير ذات الصلة في بنيتها التحتية لمواجهة شبكات التواطؤ. نحن الأول للإبلاغ عن رمز وصول OAuth واسع النطاق وتخفيفه بشكل فعال سوء المعاملة في البرية.

1 المقدمة
أصبحت الشبكات الاجتماعية عبر الإنترنت الطريقة الأساسية للاتصال بين الأشخاص والتواصل مع بعضهم البعض ، واستهلاك المعلومات ، وشكل الآراء. السمعة هي العقيدة الأساسية الاجتماعية على الإنترنت الشبكات. يثق الناس في المعلومات التي يتم نشرها من قبل السمعة حساب وسائل الاعلام الاجتماعية أو يتم التصديق عليها (على سبيل المثال ، يحب) من قبل عدد كبير من الحسابات. للأسف ، ينتشر الاحتيال على مستوى سمعته عبر الإنترنت شبكات اجتماعية. وهناك عدد من التلاعب سمعة قبعة سوداء تستهدف الخدمات الشبكات الاجتماعية الشائعة عبر الإنترنت مثل Facebook وتويتر [29 ، 53 ، 63]. تعتمد هذه الخدمات على عدد كبير من الإنترنت حسابات الشبكة الاجتماعية لإجراء التلاعب في سمعة في مقياس. لإنجاز هذا الهدف ، يشتري المحتالون حسابات مزيفة في بالجملة من الأسواق تحت الأرض [55 ، 57] ، واستخدام الحسابات المصابة تتعرض للضرر بسبب البرامج الضارة [51] ، أو تجند المستخدمين للانضمام إلى التواطؤ الشبكات [58]. تحاول الشبكات الاجتماعية على الإنترنت مواجهة التلاعب بالسمعة
الأنشطة على المنصات الخاصة بهم عن طريق إزالة الإعجابات وهمية وتعليق حسابات مشبوهة. بحوث مسبقة حول اكتشاف التلاعب بالسمعة يمكن تقسيم الأنشطة في الشبكات الاجتماعية عبر الإنترنت إلى حد كبير إلى فئتين: (أ) تحديد المتلاعب مؤقتا المتلاعب أنماط النشاط [24 ، 28 ، 40] ؛ (ب) تحديد الفرد حسابات يشتبه في تورطهم في النشاط المناخي على خصائص الرسم البياني الاجتماعي [26 ، 58 ، 64 ، 65]. الدراسات الحديثة أظهرت أن المحتالين يمكنهم التحايل على طرق الكشف هذه من خلال دمج السلوك "الطبيعي" في أنماط أنشطتهم [29 ، 50 ، 59]. الدفاع ضد التلاعب بالسمعة الاحتيالية هو سباق التسلح المستمر بين المحتالين ومشغلي الشبكات الاجتماعية. وفقا لتقديراتهم المنشورة ، الفيسبوك و لدى تويتر حاليًا عشرات الملايين من الحسابات "الزائفة" [5 ، 21].ولذلك ، فإن مسألة التلاعب بالاحتيال السمعة لا تزال قائمة تحدٍ مستمر لمشغلي الشبكات الاجتماعية. في هذه الورقة ، نكتشف نظامًا بيئيًا مزدهرًا من السمعة خدمات التلاعب على Facebook التي تستفيد من مبدأ التواطؤ. في شبكات التواطؤ هذه ، أعضاء مثل الأعضاء الآخرين وظائف في المقابل وتلقى يحب على منشوراتهم الخاصة. مثل هذا التواطؤ شبكات ذات حجم كبير تمكن الأعضاء من الحصول على عدد كبير من إبداء الإعجاب من الأعضاء الآخرين ، مما يجعلها تظهر أكثر من ذلك بكثير
شعبية من هم في الواقع. كما هو متوقع ، فإن الحسابات المتواطئة هي من الصعب اكتشافها لأنهم يخلطون النشاط الحقيقي المزيف. هدفنا في هذه الورقة هو فهم أساليب التنسيق الخاصة بهم و التنفيذ لتطوير تدابير مضادة فعالة وطويلة الأمد.
OAuth Access Token Leakage. لفهم مدى تشكل شبكات التواطؤ المشكلة ، نبدأ بتحليل شعبية.شبكات تواطؤ فيس بوك. وجدنا أن شبكات التواطؤ تصرف أنشطة التلاعب سمعة من خلال استغلال 3rd الطرف الشعبي تطبيقات Facebook مع إعدادات الأمان ضعيفة. تواطؤ الشبكات التي تجمع رموز وصول OAuth للتطبيقات التي تستخدم الوضع الضمني في OAuth 2.0 [30] ، بمساعدة من التواطؤ أفراد. ثم يتم استخدام رموز الوصول هذه للقيام بأنشطة نيابة عن هذه التطبيقات وتواطؤ الحسابات. عن طريق مجموعة كبيرة من رموز الوصول ، توفر شبكات التواطؤ الإعجابات والتعليقات لأعضائها على أساس الطلب. نجد أن شبكات التواطؤ الشائعة تستغل حاليا القليل من الشعبية تطبيقات الفيسبوك. ومع ذلك ، فإن تحليلنا لأفضل 100 فيسبوك تكشف التطبيقات أن أكثر من نصفهم عرضة له
الوصول إلى تسرب رمزي وإساءة استخدام شبكات التواطؤ. بينما قبل أبلغت الأبحاث عن وجود العديد من نقاط الضعف الأمنية في OAuth وتطبيقات [54 ، 61 ، 66] ، نحن أول من أبلغ عن نطاق واسع OAuth الوصول إلى تسرب رمزي وإساءة الاستخدام. نظرًا لاستخدام OAuth 2.0 أيضًا من قبل العديد من مقدمي الخدمات الكبيرة ، يمكن تنفيذها
يكون أيضا عرضة للوصول مماثلة تسرب وسوء المعاملة. شبكات التكاثر بالحلب باستخدام Honeypotsلإجراء دراسة قياس واسعة النطاق على الفيسبوك شعبية شبكات التواطؤ. على وجه التحديد ، نخلق honeypot Facebookالحسابات ، والانضمام إلى شبكات التواطؤ ، و "الحليب" لهم عن طريق طلب إبداء الإعجاب والتعليقات على مشاركات حسابات honeypot الخاصة بنا. نحن بعد ذلك مراقبة وتحليل مصائد مخترقي الشبكات لدينا لفهم الاستراتيجيات تستخدمها شبكات التواطؤ للتلاعب بالسمعة. نحن نحدد أكثر من مليون حساب تواطؤ فريد من خلال تواطؤ الحلب الشبكات. كجزء من عملية الحلب ، نقدم المزيد من 11 ألف مشاركة لشبكات التواطؤ والحصول على ما مجموعه أكثر من ذلك من 2.7 مليون معجب. نحدد حجم العضوية في التواطؤ الشبكات عن طريق تتبع عدد الحسابات الفريدة التي تحب
المشاركات من حسابات honeypot لدينا. تقديرنا العضوية لهذه شبكات التواطؤ تصل إلى 295K لـ hublaa.me متبوعة بـ 233Kل official-liker.net في المركز الثاني. عناوين المواقع القصيرة المستخدمة من قبل شبكات التواطؤ لاسترداد رموز الوصول لديها أكثر من 289مليون نقرة حتى الآن. يوضح تحليلنا لعناوين URL القصيرة هذا الشهرة يتم استخدام شبكات التواطؤ يوميا بمئات الآلاف من أفراد. تكتسب شبكات التواطؤ خدماتها من خلال العرض الإعلانات على مواقع الويب التي يزورها بشدة وتقديمها خطط التلاعب سمعة متميزة. إجراءات مضادة. نكشف عن النتائج التي توصلنا إليها على Facebook والعمل معهم للتخفيف من هذه التلاعب في السمعة المستندة إلى التواطؤ خدمات. في حين أننا نحدد مجموعة واسعة من التدابير المضادة الممكنة ، نقرر تنفيذ التدابير المضادة التي توفير مقايضة مناسبة بين الكشف عن إساءة استخدام الرمز المميز للوصول واستخدام النظام الأساسي للتطبيقات لمطوري الجهات الخارجية. إلى عن على
على سبيل المثال ، لا نقوم بحظر تطبيقات الطرف الثالث التي يتم استغلالها بواسطة شبكات التواطؤ لأنها سوف تؤثر سلبًا على الملايين من المستخدمين الشرعيين.نحن لا نسمح لوضع OAuth الضمني ، والذي هو الأمثل للتطبيقات المستندة إلى المتصفح ، لأنه سوف العبء مطورو الطرف الثالث بتكاليف باهظة مقترنة إدارة التطبيقات من جانب الخادم. كجزء من الإجراءات المضادة ، نقدم أولاً حدود السعر للتخفيف من إساءة استخدام الرمز المميز ولكن شبكات التواطؤ بسرعة تكييف أنشطتها لتجنب هذه النسبة حدود. نبدأ بعد ذلك بإبطال رموز الوصول التي يتم تحريكها جزء من تجارب honeypot للتخفيف من إساءة استخدام رمز الدخول.من خلال شبكات التواطؤ. نحن نقيم حدودًا إضافية ونضع قائمة سوداء في عناوين IP والأنظمة الذاتية (ASes) المستخدمة من قبل شبكات التواطؤ لوقف عملياتها تماما المساهمات الرئيسية. مساهماتنا الرئيسية هي ملخصة يتبع.
• نحن أول من يبلغ عن رمز وصول OAuth واسع النطاق التسرب في wild.We تثبت كيف شبكات التواطؤ استغلال تطبيقات Facebook الخاصة بجهات خارجية ذات شعبية ضعيفة إعدادات الأمان لاسترداد الرموز المميزة للوصول إلى OAuth وإساءة الاستخدام لهم لتلاعب سمعة.
• نحن نشر مصائد مخترقي الشبكات لشبكات التكاثر الحليب ، وتحديد حسابات متواطئة ، ودراسة حجم عملياتها تحديد أكثر من مليون من الحسابات المتواطئة الفريدة.
• نكشف عن النتائج التي توصلنا إليها على Facebook ونتحرى عن التدابير المضادة للكشف عن إساءة استخدام رموز الوصول OAuth المسربة. لدينا تدابير مضادة قادرة على وقف عمليات شبكة التواطؤ دون الحاجة إلى أي تعديلات على OAuth الإطار.
منظمة الورق: يتم تنظيم بقية هذه الورقة كما يلي.
في القسم 2 ، نناقش كيف يستغل المهاجمون نقاط الضعف الأمنية في تطبيقات Facebook التابعة لجهات خارجية لتسريب OAuth وإساءة استعمالها الوصول الرموز. يناقش
القسم 3 عمليات التلاعب بالسمعة شبكات التواطؤ.
في القسم 4 ، نحن تصف لنا مصيدة نشر لقياس شبكات التواطؤ الأنشطة.
القسم 5 يلقي الضوء على استراتيجيات تحقيق الدخل وملكية التواطؤ الشبكات.
يناقش القسم 6 تصميم ونشر إجراءاتنا المضادة. نستعرض الأعمال ذات الصلة
في القسم 7 . نستعرض الأعمال ذات الصلة
و اختتم في القسم 8.

2 oauth access travise abuse
في هذا القسم ، نقدم أولاً خلفية عن الطرف الثالث لـ Facebook النظام البيئي للتطبيق ثم ناقش كيف يمكن للمهاجمين استغلال هذه التطبيقات لإساءة استخدام رموز الدخول إلى OAuth.
2.1 الخلفية
توفر جميع الشبكات الاجتماعية الرئيسية عبر الإنترنت واجهات برمجة تطبيقات تكامل اجتماعي. وتستخدم هذه APIs لتطوير التطبيقات طرف ثالث مثل مثل الألعاب ، والترفيه ، والتعليم ، والمرافق ، وما إلى ذلك هذه التطبيقات الحصول على أذونات القراءة / الكتابة من الشبكة الاجتماعية للتنفيذ وظائفها. شعبية تطبيقات الشبكات الاجتماعية لها
عشرات الملايين من المستخدمين النشطين ويقومون بعمليات القراءة والكتابة بشكل روتيني العمليات نيابة عن مستخدميها. يوفر Facebook أيضًا نظامًا أساسيًا للتطوير لطرف ثالث التطبيقات. ينفذ Facebook إطار تفويض OAuth 2.0 [30] والذي يسمح لتطبيقات الطرف الثالث بالحصول على قيود الوصول إلى حسابات المستخدمين دون مشاركة بيانات اعتماد المصادقة (على سبيل المثال ، اسم المستخدم وكلمة المرور). عندما يقوم مستخدم بمصادقة
باستخدام تطبيق OAuth 2.0 ، يتم إنشاء رمز وصول. هذا الوصول الرمز المميز عبارة عن سلسلة مبهمة تحدد بشكل فريد مستخدم و يمثل نطاق إذن محددًا مُمنحًا للتطبيق لتنفيذ إجراءات القراءة / الكتابة نيابة عن المستخدم. إذن
النطاق عبارة عن مجموعة من الأذونات التي يطلبها التطبيق للتنفيذ إجراءات نيابة عن المستخدم. هناك نوعان من الأذونات التي قد يكون تطبيق ما طلب. النوع الأول من الأذونات الأساسية لا يتطلب Facebook موافقة. وتشمل الوصول إلى معلومات الملف الشخصي والبريد الإلكتروني عناوين وقوائم الأصدقاء. النوع الثاني من الأذونات الحساسة
(على سبيل المثال ، publish_actions) تتطلب موافقة Facebook [7]. هذه الأذونات السماح لتطبيقات الطرف الثالث بتنفيذ إجراءات معينة نيابة عن مستخدم ، على سبيل المثال ، نشر تحديثات الحالة ، وتوليد الإعجابات
والتعليقات. يتم إلغاء صلاحية رموز الدخول بعد انتهاء مدة صلاحية ثابتة. يمكن تصنيفها على المدى القصير أو على المدى الطويل على أساس مدة انتهاء الصلاحية. يصدر Facebook رموزًا للوصول على المدى القصير مدة صلاحية تمتد من ساعة إلى ساعتين ورموز وصول طويلة المدى ما يقرب من شهرين مدة انتهاء الصلاحية. يوفر OAuth 2.0 [30] اثنين من مهام سير العمل لإنشاء وصول الرمز المميز: تدفق من جانب العميل (يشار إليه أيضًا بالوضع الضمني) وخادم المسار التدفق (يشار إليه أيضًا باسم وضع كود التفويض) .2 كلا سير العمل تتشابه مع بعض التغييرات في معلمات الطلب وبعضها خطوات إضافية في تدفق جانب الخادم. يوضح الشكل 1 تدفق OAuth 2.0 لتطبيق Facebook لإنشاء إمكانية وصول
رمز مميز من جانب العميل وإذن من جانب الخادم.
• يبدأ التدفق عن طريق توجيه المستخدم إلى تفويض Facebook الخادم من خلال النقر على زر تسجيل الدخول. طلب
يتضمن خادم التفويض هوية التطبيق ، وإعادة التوجيه URI ونوع الاستجابة ونطاق إذن. تطبيق المعرف هو معرف فريد يتم تعيينه لكل تطبيق Facebook. تم تكوين URI إعادة التوجيه في التطبيق إعدادات. يتم تعيين نوع الاستجابة على أنه "رمز مميز" لإرجاع الوصول الرمز المميز في تدفق من جانب العميل ويتم تعيينه كـ "رمز" لإرجاع رمز التفويض في تدفق من جانب الخادم.
• خادم تفويض Facebook بالتحقق من صحة الطلب و مطالبة المستخدم بتفويض التطبيق ومنح أذونات في المتصفح. يخول المستخدم التطبيق ومنح الأذونات المطلوبة للتطبيق.
• يعيد Facebook توجيه المستخدم إلى عنوان URI الخاص بإعادة التوجيه على طول مع رمز وصول أو رمز تفويض في عنوان URL شظية. بالنسبة للتدفق من جانب العميل ، يتم إرجاع رمز وصول في الاستجابة التي يتم استردادها وتخزينها من قبل التطبيق إنهاء تدفق العميل. للتدفق من جانب الخادم ، يتم إرجاع رمز المصادقة في الاستجابة وما يلي
خطوة إضافية مطلوبة.
• يتم تبادل رمز التفويض لرمز الوصول عن طريق طلب خادم تفويض Facebook من خلال خادم التطبيق [14]. يتضمن الطلب معرف التطبيق ، إعادة توجيه URI ورمز التفويض وسر التطبيق. طلب تبادل رمز ترخيص للوصول
يتم توثيق الرمز المميز باستخدام سر التطبيق. ثم يتم استخدام الرموز المميزة للوصول من قبل التطبيقات المراد تنفيذها
طلبات واجهة برمجة تطبيقات الرسم البياني فيسبوك نيابة عن المستخدمين. لكل طلب ، مطلوب عموما طلب لتمرير التطبيق

المعرّف وسر التطبيق ورمز الوصول المقابل. كما نحن ناقش بعد ذلك ، قد لا يكون سر التطبيق إلزامياً هذه الطلبات.
2.2 التعرف على التطبيقات الحساسة
تحدد التطبيقات تدفق OAuth مناسبًا استنادًا إلى وصولها سيناريوهات استخدام الرمز المميز. تدفقات جانب الخادم حسب التصميم أكثر أماناً من تدفقات جانب العميل لأنها لا تعرض رموز الدخول على المتصفح. كما هو مبين في الشكل 2 (أ) ، يوفر Facebook خيارًا لتعطيل تدفق العميل من إعدادات التطبيق. الفيسبوك يوصي تطبيقات الطرف الآخر لتعطيل تدفق العميل إذا كان لا تستخدم [13]. عادةً ما يسمح بالتدفق من جانب العميل بالتطبيقات التي تجعل من واجهة برمجة تطبيقات Graph من Google مكالمة فقط من جانب العميل. على سبيل المثال ، يتم استخدام تدفق العميل من قبل التطبيقات المستندة إلى المستعرض والتي لا يمكن أن تشمل سر التطبيق في رمز العميل. في الواقع ، قد لا يكون بعض التطبيقات من جانب العميل تطبيقًا الخادم على الإطلاق وتنفيذ طلبات واجهة برمجة تطبيقات Graph فقط من المتصفح
باستخدام جافا سكريبت. إذا كان سر التطبيق مطلوبًا ، كما هو موضح في الشكل 2 (ب) ، يجب على التطبيقات أن تعرض سر التطبيق الخاص بها في تدفق العميل. من الجدير بالذكر أن سر التطبيق هو تعامل مثل كلمة المرور ، وبالتالي لا ينبغي أن تكون جزءا لا يتجزأ من رمز العميل. وقد أظهر العمل السابق أن المهاجمين يمكنهم استرداد رموز الوصول
من خلال استغلال نقاط الضعف الأمنية في بروتوكول OAuth وبروتوكوله تطبيقات [16 ، 32 ، 49 ، 54 ، 61 ، 66]. تطبيقات الفيسبوك ذلك استخدام تدفق جانب العميل ولا تتطلب سر التطبيق عرضة للوصول إلى تسرب رمزي وإساءة الاستخدام. على سبيل المثال ، المهاجمين يمكن استرداد رموز الوصول في التدفقات من جانب العميل عن طريق التنصت [54] ، البرمجة النصية عبر المواقع [49 ، 54] ، أو تقنيات الهندسة الاجتماعية [25 ، 38]. يحتوي رمز الوصول الذي تم تسريبه على الأمان والخصوصية الخطرين تداعيات اعتمادا على مواردها المصرح بها. يمكن للمهاجمين إساءة استخدام رموز الدخول للوصول إلى معلومات المستخدمين الشخصية.
يمكن للمهاجمين أيضًا إساءة استخدام رموز الوصول المسربة لإجراء ضار أنشطة مثل نشر البريد العشوائي / البرامج الضارة. ننفذ أداة فحص تطبيق Facebook لتحديدها التطبيقات التي هي عرضة للوصول إلى تسرب رمزي وسوء الاستخدام. تستخدم أداة لدينا Selenium [19] و Facebook SDK for Python [17] لإطلاق عنوان URL لتسجيل الدخول إلى التطبيق وتثبيت التطبيق على حساب اختبار الفيسبوك مع مجموعة كاملة من الأذونات. نحن تستنتج أولاً معرف URI لإعادة توجيه OAuth المستخدم بواسطة التطبيق بواسطة مراقبة عمليات إعادة التوجيه أثناء تدفق تسجيل الدخول على Facebook. باستخدام UAuth redirection URI ، نقوم بتثبيت التطبيق على اختبار الفيسبوك حساب مع الأذونات التي تم الحصول عليها في الأصل من خلال التطبيق. إذا تم تثبيت التطبيق بنجاح ، نحن استرجاع الرمز المميز للوصول من جانب العميل من التطبيق عنوان URL لتسجيل الدخول. باستخدام الرمز المميز للوصول ، نقوم بإجراء استدعاء API لاسترداده معلومات الملف الشخصي العامة لاختبار حساب الفيسبوك ومثل اختبار مشاركة Facebook. إذا كنا قادرين على إجراء هذه بنجاح العمليات ، نستنتج أنه يمكن استغلال التطبيق ل التلاعب سمعة باستخدام الرموز الوصول تسربت. نحن نحلل أفضل 100 تطبيق تابع لجهة خارجية على Facebook [6] أداة المسح لدينا. حددت أداتنا 55 من التطبيقات الحساسة ، من بينها 46 يتم إصدار طلبات الوصول على المدى القصير وتصدر الرموز المميزة و 9 طلبات الوصول الرموز على المدى الطويل. المدى القصير تشكل الرموز المميزة للوصول تهديدًا محدودًا نظرًا لأنها مطلوبة ليتم تحديثها بعد كل 1-2 ساعة. من ناحية أخرى ، على المدى الطويل توفر رموز الدخول المميزة نافذة زمنية لمدة شهرين للمهاجم. يسرد الجدول 1 9 من التطبيقات الحساسة التي يتم إصدارها على المدى الطويل الوصول الرموز. نقوم بالإبلاغ عن إحصائيات المستخدمين النشطين شهريًا (MAUs) مقدمة من واجهة برمجة تطبيقات الرسم البياني على Facebook. أعلى مرتبة تطبيق عرضة في القائمة لديها حوالي 50 مليون دولار شهريا
المستخدمين النشطين. نلاحظ أن كل هذه التطبيقات الحساسة لها ملايين المستخدمين النشطين شهريًا ، والتي يمكن أن تحمي رمز الدخول سوء المعاملة من قبل المهاجمين.
3 شبكات colllon
هناك عدد من خدمات التلاعب في سمعة توفر الإعجابات تعليقات لمستخدمي Facebook استنادًا إلى مبدأ التواطؤ: أعضاء مثل مشاركات الأعضاء الآخرين ، وفي المقابل تلقي أمثال من الأعضاء الآخرين. كما ناقشنا من قبل ، فإن هذه الشبكات التواطؤ استغلال تطبيقات Facebook مع إعدادات الأمان ضعيفة. تواطؤ شبكات ذات حجم كبير يمكن للأعضاء من التصعيد
التطبيقات الحساسة ذات النفاذ الطويل الأجل الرموز المميزة بين أفضل 100 تطبيق Facebook. هذه التطبيقات يمكن استغلالها لسمعة التلاعب بها إساءة استخدام رموز الوصول الخاصة بهم.
سمعتها ، مما يجعلها تبدو أكثر شعبية من هم في الواقع. نحن أولا مسح المناظر من شبكات التواطؤ الفيسبوك
عن طريق الاستعلام عن محركات البحث عن الكلمات الرئيسية ذات الصلة ، مثلتم العثور على "Facebook AutoLike" و "Status Liker" و "Page Liker" على عدد قليل من مواقع شبكة التواطؤ المعروفة. هذا النهج استخدام الكلمات الأساسية للبذور للعثور على مواقع ويب أخرى مشابهة عبر البحث استخدمت محركات في الأدبيات السابقة [36 ، 39 ، 46]. نحن نجمع قائمة من هذه المواقع واستخدام اليكسا [2] لتلخيص التواطؤ شعبية الشبكات. يسرد الجدول 2 أفضل 50 موقع ويب لشبكة تواطؤ Facebook. من الجدير بالذكر أن يتم ترتيب أعلى 8 شبكات التواطؤ داخل
أعلى 100K. على سبيل المثال ، يتم تصنيف hublaa.me حول 8K و 18٪ من زوارهم من الهند ، حيث يتم تصنيفها ضمن أعلى 3K المواقع. من المثير للاهتمام أن نلاحظ أن شبكات التواطؤ الأخرى قد حصلت أيضًا معظم حركة المرور الخاصة بهم من دول مثل الهند ومصر وتركيا ، وفيتنام. نحن نحقق في شبكات التواطؤ الشائعة لفهم الميزات التي تقدمها والتعرف على تطبيقات الفيسبوك أنهم استغلال. تطلب شبكات التواطؤ من المستخدمين تثبيت تطبيق Facebook وتقديم رمز الوصول المولدة في مربع النص على موقع الكتروني. يقوم ارتباط التثبيت بإعادة توجيه المستخدمين إلى مربع حوار Facebook ذكر اسم التطبيق. يسرد الجدول 3 التطبيقات المستخدمة من قبل شبكات التواطؤ الشعبية جنبا إلى جنب مع إحصاءاتها استردادها من واجهة برمجة تطبيقات الرسم البياني على Facebook. باستخدام أداتنا ، نتحقق من ذلك تستخدم تطبيقات Facebook هذه تدفق من جانب العميل ولا تتطلب ذلك سر التطبيق لصنع مكالمات API الرسم البياني. لاحظنا ذلك HTC Sense ، والذي تستخدمه العديد من شبكات التواطؤ الشائعة ، في المرتبة 40 ولديها ترتيب مليون مستخدم نشط يوميًا (DAU). تم تصنيف حساب نوكيا في 249 ولديه تقريبا مائة ألف مستخدم نشط يوميًا. وبالمثل ، سوني اريكسون الهاتف الذكي في المرتبة 886 ولديها ترتيب من عشرة آلاف يوميا المستخدمين النشطين. من الجدير بالذكر أن شبكات التواطؤ لا يمكن أن تخلق واستخدام تطبيقاتهم الخاصة لأنهم لن يمروا على Facebook عملية مراجعة يدوية صارمة للتطبيقات التي تتطلب إرسال الأذونات [3]. ومع ذلك ، يمكن لشبكات التواطؤ (والقيام به في بعض الأحيان) التبديل بين التطبيقات المشروعة القائمة التي عرضة للوصول إلى تسرب رمزي وإساءة الاستخدام.
سير العمل من شبكات التواطؤ. معظم شبكات التواطؤ لديها واجهة ويب مماثلة وأنها توفر كل مستخدم مماثل إلى حد ما تجربة. يوضح الشكل 3 سير العمل في تواطؤ فيس بوك الشبكات.
يزور أحد المستخدمين موقع الويب الخاص بشبكة التواطؤ وينقر عليه
الزر لتثبيت التطبيق. الموقع يعيد التوجيه
ال يطلب من المستخدم منح الأذونات المطلوبة وتثبيته تطبيق.
• يعود المستخدم إلى موقع شبكة التواطؤ بعد التثبيت التطبيق والنقر على الزر لاسترداد رمز الوصول. يقوم الموقع مرة أخرى بإعادة توجيه المستخدم إلى عنوان URL لحوار التخويل في Facebook مع عرض المصدر. يقوم مربع حوار التخويل بإعادة توجيه المستخدم إلى صفحة يحتوي على الرمز المميز للوصول كسلسلة استعلام في عنوان URL. استخدام مصدر المشاهدة يوقف مربع حوار التخويل من مزيد من عمليات إعادة التوجيه. المستخدم يدويا نسخ الوصول الرمز المميز من شريط العنوان وإرساله في مربع النص على موقع شبكة التواطؤ.
• تقوم شبكة التواطؤ بحفظ الرمز المميز للوصول وإعادة التوجيه المستخدم إلى لوحة المشرف ، حيث يمكن للمستخدم طلب الإعجابات والتعليقات. بعض شبكات التواطؤ تتطلب من المستخدمين حل اختبارات CAPTCHA و / أو جعل المستخدمين يشاهدون الإعلانات قبل السماح بذلك لهم لطلب الإعجابات والتعليقات.
4 قياس collulsion الشبكات
أثبتت مصائد مخترقي الشبكات (Honeypots) أنها أداة فعالة لدراسة السمعة التلاعب في الشبكات الاجتماعية عبر الإنترنت [29 ، 42 ، 52 ، 62]. ال المبدأ الأساسي من مصائد مخترقي الشبكات هو الطعم وخداع المحتالين لاستطلاع أنشطتهم. من أجل التحقيق في العملية وحجم شبكات تواطؤ فيس بوك ، نقوم بنشر مصائد honeypots إلى "الحليب" لهم.
نحن نخلق حسابات honeypot Facebook جديدة والانضمام المختلفة شبكات التواطؤ باستخدام سير العمل الموضحة في القسم 3. لدينا تقوم حسابات honeypot بنشر تحديثات الحالة بانتظام وطلب التواطؤ الشبكات لتقديم إبداءات الإعجاب / التعليقات على هذه الوظائف. قريبا تقديم طلباتنا لشبكات التواطؤ ، نلاحظ الانفجارات المفاجئة من الإعجابات والتعليقات من قبل عدد كبير من الفيسبوك الحسابات التي هي جزء من شبكة التواطؤ. منذ تكرارها تؤدي الطلبات إلى إبداء الإعجاب / التعليقات من العديد من حسابات Facebook الفريدة ، يمكننا كشف عضويات شبكات التواطؤ من خلال تقديم عدد كبير من طلبات التلاعب بالسمعة. هدفنا هو تقدير حجم شبكات التواطؤ من خلال التتبع حساباتهم على الفيس بوك. نحن نريد أيضا أن نفهم التكتيكات المستخدمة من قبل شبكات التواطؤ للبقاء تحت الرادار وتجنبها كشف.

تصميم تجريبي.
نسجل 22 حساب جديد على Facebook لاستخدامها كصناديق نشيطة نشطة لدراسة التواطؤ الشعبي الشبكات. كل حساب honeypot ينضم إلى شبكة تواطؤ مختلفة في الجدول 2. في محاولة لإشراك شبكات التواطؤ بشكل نشط ، تنشر حسابات honeypot بانتظام تحديثات الحالة في المخططات الزمنية وطلب شبكات التواطؤ لتقديم إبداءات الإعجاب / التعليقات على them.3 من الصعب أتمتة هذه العملية بالكامل تستخدم شبكات التواطؤ العديد من التكتيكات لتجنب الأتمتة. إلى عن على على سبيل المثال ، تفرض بعض شبكات التواطؤ تأخيرات ثابتة أو عشوائية بين طلبين متتاليين. العديد من شبكات التواطؤ إعادة توجيه المستخدمين من خلال خدمات إعادة التوجيه المختلفة قبل السماح بالطلب تسليم. تتطلب العديد من شبكات التواطؤ من المستخدمين حل CAPTCHA من أجل تسجيل الدخول وقبل كل طلب. إلى أتمتة مصائد مخترعاتنا بالكامل ، فإننا نستخدم خدمة حل CAPTCHA [4] لحل أوتومات CAPTCHA و Selenium تلقائيًا [19] لـ تقديم الطلبات لشبكات التواطؤ. نحن نشر باستمرار تحديثات الحالة وطلبات شبكات التواطؤ على مدار المدة ما يقرب من ثلاثة أشهر من نوفمبر 2015 إلى فبراير عام 2016.
جمع البيانات.
نحن نزحف بانتظام إلى المخططات الزمنية لمصيدة لدينا حسابات Facebook لتسجيل الإعجابات والتعليقات الواردة المقدمة
من خلال شبكات التواطؤ. عدد حسابات Facebook الفريدة الذين يحبون أو يعلقون على حساب honeypot هو تقدير للحجم شبكة التواطؤ. لاحظ أن تقدير العضوية لدينا هو بدقة أقل لأننا قد لا نلاحظ كل التواطؤ حسابات الشبكة ، والتي يتم اختيارها عشوائيا من تجمع كبير من الرموز وصول. نقوم أيضًا بالزحف إلى سجلات الأنشطة الخاصة بمصيدة لدينا حسابات لجمع الإعجابات والتعليقات الصادرة
4.1 حجم شبكات التواطؤ
شبكات التكاثر بالحلب. ننشر تحديثات الحالة من موقعنا حسابات honeypot وطلب شبكات التواطؤ لتقديم مثل على المشاركات. الشكل 4 يرسم التوزيع التراكمي لأمثال و حسابات فريدة تحلبها مصائد مخترقي الشبكات لدينا لثلاث شبكات تواطقية. نلاحظ أن عدد الحسابات الفريدة الجديدة باطراد على الرغم من أن العدد الجديد يظل ثابتًا. الهبوط يمثل تناقص الغلة بسبب زيادة التكرار في المستخدمين الذين يحبون مشاركات حسابات honeypot الخاصة بنا. على وجه التحديد،
بسبب أخذ عينات عشوائية من المستخدمين من قاعدة بيانات الوصول ، تزداد احتمالية تكرار المستخدم كلما نشرنا المزيد
تحديثات الحالة لحساب honeypot. من المهم أن نحلب شبكات التواطؤ قدر الإمكان لتقدير دقيق لها حجم العضوية. في حين أننا قادرون على الحد الأقصى من التواطؤ الشبكات ، نواجه بعض المشكلات لبعض شبكات التواطؤ. إلى عن على
على سبيل المثال ، تفرض djliker.com و monkeyliker.com حدًا يوميًا 10 طلبات ، وبالتالي نحن غير قادرين على الحد الأقصى من هذه التواطؤ الشبكات. وعلاوة على ذلك ، arabfblike.com وعدد قليل من شبكات التواطؤ الأخرى تعاني من انقطاع متقطع عندما لا تستجيب لطلباتنا عن الإعجابات. مجموعة الحسابات الفريدة التي تحب المشاركات حسابات honeypot لدينا هي أعضاء شبكة التواطؤ. الطاولة ويبين 4 أن حجم عضوية شبكات التواطؤ تختلف بين 295K لـ hublaa.me إلى 834 لـ fast -liker.com. لاحظنا ذلك لدى hublaa.me أكبر حجم للعضوية في حسابات 295K ، متبوعة بواسطة official-liker.net على 233K و mg-likers.com بسعر 178 كيلوبايت. ال
حجم عضوية جميع شبكات التواطؤ في دراستنا تلخيص إلى 1،150،782. كما نناقش في وقت لاحق ، بعض الحسابات جزء من متعددة شبكات التواطؤ. بعد القضاء على هذه التكرارات ، والعدد الإجمالي للحسابات الفريدة عبر جميع شبكات التواطؤ هو1,008,021
تحليل عناوين URL المختصرة. تستخدم بعض شبكات التواطؤ اختصار عنوان URL خدمات لإعادة توجيه المستخدمين إلى تثبيت تطبيق Facebook الصفحة واسترداد الرموز وصول. خدمات تقصير URL مثل كما يوفر goo.gl بشكل عام معلومات حول عناوين URL القصيرة مثل إجمالي النقرات والمحيلين والمتصفحات والأنظمة الأساسية وتحديد الموقع الجغرافي. نحن نستخدم هذه المعلومات المتاحة للجمهور لفهم المقياس بشكل أكبر عمليات شبكة التواطؤ. يسرد الجدول 5 عناوين URL القصيرة تستخدم من قبل شبكات التواطؤ. تم إنشاء أقدم عنوان URL قصير على 11يونيو 2014 ، مع أكثر من 147 مليون نقرة حتى الآن. إنشاء من المحتمل أن تمثل تواريخ عناوين URL القصيرة القديمة تواريخ إطلاق مختلفة شبكات التواطؤ. لتأكيد هذه الفرضية ، نستخدمها بشكل أكبر مؤشرات Google [10] وآلة Wayback الخاصة بأرشيف الإنترنت [12] لتحليل شبكات التواطؤ الشعبية. يؤكد تحليلنا أن معظم شبكات التواطؤ أطلقت علانية أواخر 2013 إلى منتصف عام 2014. تعيد أهم ثلاث عناوين URL قصيرة توجيه المستخدمين إلى قم بتثبيت تطبيق HTC Sense واسترداد رموز الوصول. هم نطاقات referrer هي mg-likers.com و djliker.com و hublaa.me ،
لكل منها مئات الآلاف من الأعضاء (انظر الجدول4). يتلقى حاليًا أهم 3 عناوين URL قصيرة حول 308K و 139K و
122 ألف نقرات يومية. نلاحظ أن العديد من عناوين المواقع القصيرة تشير إلى نفس عنوان URL الطويل. مجموع عدد النقرات لكل عناوين URL الطويلة الفريدة في الجدول 5 يتجاوز 289 مليون. عدد النقرات لعناوين URL القصيرة هي
تقديرات معقولة لحركة المرور على مواقع شبكة التواطؤ. ومع ذلك، قد لا تعطينا أعداد النقرات هذه تقديرًا دقيقًا
عضوية شبكة التواطؤ لأن المستخدم يمكن أن ينقر على قصير عنوان URL عدة مرات لإرسال طلبات إبداء الإعجاب / التعليقات إلى شبكة التواطؤ. إحصائيات الموقع الجغرافي لعناوين URL القصيرة تشير إلى أن الغالبية العظمى من المستخدمين هم من الهند ومصر وفيتنام بنغلاديش وباكستان وإندونيسيا والجزائر. موجود يثبت إحصائيات تحديد الموقع الجغرافي من Alexa في الجدول 2.
2 أنشطة شبكة التواطؤ
الأنشطة الواردة. يلخص الجدول 4 إحصائيات البيانات تم جمعها لشبكات التواطؤ المختلفة باستخدام حسابات honeypot لدينا. في المجمل ، نقدم أكثر من 11 ألف رسالة إلى شبكات التواطؤ ويحصد أكثر من 2.7 مليون معجب. كما هو مبين في الشكل 4 ، نلاحظ أن تحديثات الحالة تتلقى عادة رقم ثابت من إبداءات الإعجاب لكل طلب ، تتراوح بين 14-390 عبر تواطؤ مختلف الشبكات. على سبيل المثال ، official-liker.net ، f8-autoliker.com ،
وتقدم myliker.com ما يقرب من 400 و 250 و 100 إعجاب لكل طلب ، على التوالي.
الأنشطة المنتهية ولايته. تستخدم شبكات التواطؤ أيضًا مصيدة لدينا حسابات للقيام بأنشطة التلاعب السمعة على غيرها حسابات الفيسبوك والصفحات. في المجموع ، لدينا حسابات honeypot هي تستخدم من قبل شبكات التواطؤ لمثل أكثر من 33 ألف وظيفة من 16K الحسابات وصفحات 2K. نلاحظ أن بعض شبكات التواطؤ استخدم مصائد مخترقي الشبكات لدينا بشكل متكرر أكثر من غيرها. على سبيل المثال ، autolike. يستخدم vn حسابات honeypot لدينا لتوفير بحد أقصى 2.8K يحب على مشاركات 1.3K المستخدمين و 144 صفحة.
تحليل التعليقات. العديد من شبكات التواطؤ تقدم أيضا خدمات "التعليق التلقائي". مطلوب من المستخدمين لتحديد الوظائف المستهدفة للحصول على تعليقات. فقط 7 من أصل 22 شبكة تواطؤ مدرجة في يقدم الجدول 4 هذه الخدمة. شبكات التواطؤ المتبقية سواء لا تقدم تعليقات أو يطلبوا من المستخدمين إدخال تعليقات. نقدم ما لا يقل عن 100 مشاركة في حسابات honeypot لتحصيلها التعليقات من كل من هذه الشبكات التواطؤ السبعة. الجدول 6 يلخص الإحصائيات الرئيسية لتحليلنا المعجم لهذه التعليقات. نلاحظ أن شبكات التواطؤ توفر ما معدله 16 شبكة فقط التعليقات لكل منشور. من الجدير بالذكر أن العدد الإجمالي للفريدة التعليقات تشكل جزءًا صغيرًا من جميع التعليقات المقدمة من قبل شبكات التواطؤ. وعموما ، فقط 187 تعليقات فريدة من نوعها ما مجموعه 12995 التعليقات. نحن أيضا نحسب ثراء معجمي (أي ،

جزء من الكلمات الفريدة) لتحديد عدد الكلمات الفريدة المستخدمة في هذه التعليقات [41]. تشير قيم الثراء المعجمية الصغيرة تعتمد شبكات التواطؤ على قاموس ذو حجم محدود ينتج في تكرار التعليقات. كما نستخدم مؤشر القراءة التلقائية
(ARI) لفهم التعقيد النحوي والدلالية من التعليقات [41]. تشير قيم ARI الأكبر إلى إمكانية قراءة النص بشكل أفضل. تتراوح قيم ARI من 13.2 (djliker.com) إلى 25.2 (mg-likers.com). ومع ذلك ، لا تشير قيم ARI هذه بالضرورة إلى مستوى عالٍ من المفهوم بسبب (أ) الكلمات المطولة بلا داع مثل "bravooooo" و "ahhhhh" ، (ب) الاستخدام غير الضروري لعلامات الترقيم مثل "؟؟ رائع ؟؟؟ ؟؟؟؟؟؟؟ ؟؟؟؟ "، و (c) كبيرة لا معنى لها كلمات مثل "bfewguvchieuwver" نستخدم Python كذلك مجموعة أدوات اللغة الطبيعية [15] لتحديد الكلمات الإنجليزية القاموس في هذه التعليقات. نلاحظ أن 20.6٪ من الكلمات غير موجودة باللغة الإنجليزية قاموس. تتضمن الكلمات غير القاموس غير صحيح تهجئة كلمات مثل "gr8" و "w00wwwwwwww" ، والعبارات الهندية مثل "SARYE THAK KE BETH GYE" ، نستنتج ذلك التواطؤ شبكات توليد عدد قليل جدا من التعليقات الفريدة محدودة مفردات اللغه.

5 مناقشات
5.1 تسييل
يستخدم مشغلو شبكات التواطؤ آليتين رئيسيتين لتحقيق الدخل خدماتهم: (1) الإعلان و (2) خطط قسط التأمين.
إعلان. تجذب شبكات التواطؤ عددًا كبيرًا من المستخدمين لمواقعهم كل يوم. على سبيل المثال ، أذكر من الجدول رقم 5 ذلك
عناوين URL القصيرة التي تستخدمها شبكات التواطؤ تتلقى يوميًا المئات من آلاف النقرات. تعرض شبكات التواطُع إعلانات مختلفة شبكات الإعلانات لاستثمار حركة المستخدم على مواقعهم على الويب. نحن تحديد شبكات الإعلانات والتعقب على مواقع شبكة التواطؤ باستخدام Ghostery [9]. نلاحظ أن بعض شبكات التواطؤ لا تفعل ذلك مباشرة استخدام شبكات الإعلانات ذات السمعة الطيبة ، مثل DoubleClick ، والتي على الأرجح لأن نطاقات شبكات التواضع مدرجة في القائمة السوداء بواسطة هذه الشبكات الإعلانية. للتغلب على هذه المشكلة ، العديد من شبكات التواطؤ استخدام عمليات إعادة توجيه عناوين URL لإعادة توجيه المستخدمين مؤقتًا إلى مستخدمين آخرين نطاقات القائمة البيضاء والإعلانات الصورية من شبكات إعلانات مختلفة على الصفحة المعاد توجيهها. على سبيل المثال ، يقوم mg-likers.com بإعادة توجيه المستخدمين إلى kackroch.com حيث يتم عرض الإعلانات بواسطة AdSense و Atlas. المستخدمين مطلوبة عادةً للبقاء على الصفحات المعاد توجيهها للعديد ثانية قبل أن يتم إعادة توجيههم إلى الصفحة الأصلية. بعض شبكات التواطؤ إعادة توجيه إلى خدمات تقصير URL مدفوعة مثل مثل adf.ly و sh.st. من المثير للاهتمام أن نلاحظ أن معظم شبكات التواطؤ مطالبة المستخدمين بتعطيل إضافات كتل الإعلانات [44] لاستخدامها خدمات. ولهذه الغاية ، تستخدم شبكات التواطؤ نصوصًا مضادة للإعجاب [37 ، 45] للكشف عن مانعات الإعلانات الشائعة ومطالبة المستخدمين بتعطيلها امتدادات حظر الإعلانات أو مدرجة على مواقعها على الويب

خطط ممتازة. تضع شبكات التواطؤ قيودًا صناعية على عدد إبداءات الإعجاب / التعليقات المسموح بها في الخطط المجانية. فمثلا، كل شبكة تواطؤ تقيد عدد الإعجابات لكل مشاركة إلى الحد المحدد مسبقا. معظم شبكات التواطؤ تقيد الأنشطة من خلال جعل المستخدمين ينتظرون وقتًا ثابتًا / عشوائيًا بين وقت متتالي مثل الطلبات. تبيع شبكات التواطؤ خططًا متميزة تسمح بذلك المستخدمين للحصول على المزيد من إبداءات الإعجاب / التعليقات والتغلب على القيود الأخرى

تزعم خطط الإصدار الممتاز أنها تقدم المزيد من الإعجابات (على سبيل المثال ، حتى عام 2000 يحب لخطة أغلى من قبل mg-likers.com). هم ايضا تقدم تلقائيا يحب دون الحاجة للمستخدمين يدويا تسجيل الدخول إلى مواقع شبكة التواطؤ لكل طلب.
5.2 الملكية
نحن نريد التعرف على الجناة وراء شبكات التواطؤ ل تصميم التدابير المضادة التقنية والقانونية. تحقيقا لهذه الغاية ، نحن إجراء عمليات بحث WHOIS لنطاقات شبكة التواطؤ الشائعة في الجدول 2. نلاحظ أن مواقع شبكة التواطؤ تستخدم مختلفًا تقنيات لإخفاء هويتهم. أولا ، نجد أن 36 ٪ (18 من أصل 50) من النطاقات قامت بسجلات WHOIS مجهولة المصدر باستخدام الخصوصية خدمات الحماية مثل WhoisGuard [20]. للبقية شبكات التواطؤ ، ومعظم المسجلين في المجال في آسيا دول مثل الهند وباكستان واندونيسيا. في الواقع ، أكثر من يقع 40٪ من مسجلي النطاق في الهند. ثانيا ، نحن نلاحظ أن معظم نطاقات شبكة التواطؤ تصمم على عنوان IP من CloudFlare الذي يساعدهم على إخفاء الاستضافة الأصلية موقعك. يتم حل نطاقات شبكة التواطؤ الأخرى إلى عناوين IP استضافة الويب ومقدمي البنية الأساسية السحابية. نحن أيضا البحث أسماء المسجل على محركات البحث الشعبية لتحديد مطابقة حسابات وسائل الاعلام الاجتماعية. كملاحظة للحذر ، نشير إلى ذلك أن معلومات المسجل المستخرجة من سجلات WHOIS و يمكن أن يتم تنظيم حسابات وسائل التواصل الاجتماعي من قبل المالكين الفعليين. لنا تحليل يكشف أن حسابات الفيسبوك من أصحاب شبكة التواطؤ لديك عدد كبير من المتابعين. على سبيل المثال ، الفيسبوك حساب مالك mg-likers.com كان لديه أكثر من 9 مليون متابع في وقت هذه الكتابة. نلاحظ أن وظائف الجدول الزمني ل حسابات الفيس بوك هذه غالباً ما تحتوي على مئات الآلاف من الإعجابات. ومن الجدير بالذكر أيضا أن حسابات honeypot لدينا هي في كثير من الأحيان تستخدم لإعجاب صور الملف الشخصي وغيرها من منشورات الجدول الزمني لهذه حسابات الفيسبوك.

6 متلازمة
الاعتبارات الاخلاقية. قبل إجراء أي تجارب ، نحن تلقى مراجعة رسمية من مجلس المراجعة المؤسسية المحلي لدينا
(IRB) لأننا نجمع بعض معلومات الحساب المتاحة للعامة مثل المشاركات وإبداءات الإعجاب. نحن نفرض عدة آليات ل حماية خصوصية المستخدم. على سبيل المثال ، نحن لا نخزن أي شخص معلومات محددة. نحن ندرك أن لدينا حسابات honeypot تستخدم من قبل شبكات التواطؤ لإجراء بعض التلاعب بالسمعة أنشطة. نحن ندعي أن هذه الأنشطة تمثل صغيرة جزء من أنشطة التلاعب السمعة الشاملة للتواطؤ الشبكات. وبالتالي ، فإننا لا نتوقع أن يكون نشاط المستخدم العادي تأثرت بشكل كبير من تجاربنا مصيدة. صالح لدينا نهج honeypot في الكشف عن حسابات شبكة التواطؤ بعيدا
يفوق الضرر المحتمل لمستخدمي Facebook المنتظمين. لمزيد من تقليل الضرر ، كما نوقش بعد ذلك ، نفصح عن نتائجنا إلى Facebook لإزالة كل التحف من التلاعب بالسمعة خلال القياسات وكذلك التحقيق في التدابير المضادة للتخفيف أنشطة شبكة التواطؤ. قبل تنفيذ أي تدابير مضادة بالتعاون مع فيسبوك ، نجري تجارب مصيدة لـ تقريبا عشرة أيام لإنشاء خط الأساس لأنشطة شبكة التواطؤ. نحن كرر تجارب حلب honeypot للتواطؤ الشعبي الشبكات ابتداء من أغسطس 2016 (وتستمر حتى منتصف أكتوبر
2016). يوضح الشكل 5 متوسط عدد عمليات الإعجاب التي تم تلقيها بواسطة honeypots لشعبين تواطؤ شعبية .4 ونحن نناقش المقبل ، في حين أننا نعتبر مجموعة واسعة من التدابير المضادة ، فإننا نقرر لتنفيذ التدابير المضادة التي توفر مقايضة مناسبة بين الكشف عن إساءة استخدام رمز الوصول ومنصة التطبيق قابلية الاستخدام لمطوري الجهات الخارجية. تستغل شبكات التواطؤ حاليًا بعض التطبيقات (المدرجة في القائمة في الجدول 3) للقيام بأنشطة التلاعب بالسمعة. وبالتالي، يمكننا على الفور تعطيل جميع شبكات التواطؤ عن طريق التعليق هذه التطبيقات. منذ شبكات التواطؤ يمكن التبديل بين التطبيقات الحساسة الأخرى المدرجة في الجدول 1 ، نحتاج إلى ذلك تعلقها كذلك. تعليق هذه التطبيقات هو نسبيا مضاد بسيط لتنفيذ ؛ ومع ذلك ، فإنه سيكون سلبيا تؤثر على الملايين من المستخدمين الشرعيين. يمكننا أيضًا إجراء تغييرات في سير عمل تطبيق Facebook لإيقاف الوصول إلى إساءة استخدام الرمز المميز بواسطة شبكات التواطؤ. على سبيل المثال ، يمكننا تفويض سر التطبيق (وبالتالي فرض عمليات جانب الخادم) لتروق / تعليق الأنشطة
التي تتطلب أذونات publish_actions [1 ، 18]. كنتيجة لــ من هذا القيد ، لن تكون شبكات التواطؤ قادرة على القيام بسمعة أنشطة التلاعب حتى لو كانوا يستردون رموز الوصول من تواطؤ المستخدمين. ومع ذلك ، العديد من تطبيقات Facebook فقط تعتمد على عمليات العميل من أجل التشغيل المتداخل عبر النظام الأساسي وتقليل تكاليف المطور الطرف الثالث للتطبيق من جانب الخادم الإدارة [13 ، 30]. لذلك ، التفويض السري التطبيق من شأنه أن يؤثر سلبًا على حالات الاستخدام الشرعية لـ Facebook التطبيقات.

6.1 الوصول إلى حدود معدل الرمز المميز
كإجراء مضاد أول ، نفرض قيودًا على رموز الدخول للحد من إساءة استخدام شبكات التواطؤ. Facebook توظف معدل
حدود لتقييد الأنشطة المفرطة التي يقوم بها رمز وصول. بما أن أنشطة شبكة التواطؤ تنزلق تحت الحد الحالي للسعر ،
نحن نحد من الحد الأقصى للسعر بأكثر من مبلغ من الحجم في اليوم 12 كما هو ملحوظ من قبل الدوائر الخضراء في الشكل 5.We نلاحظ الأولية حادة انخفاض في الأنشطة الرسمية ل liker.net. على وجه التحديد ، فإن المتوسط عدد من الإعجابات المقدمة من الرسمي-liker.net ينقص من أكثر من 400 إلى أقل من 200 يوم 16. ومع ذلك ، official-liker.net يبدأ الارتداد بعد أسبوع واحد تقريبًا. علاوة على ذلك ، هذا مضاد لا يؤثر على hublaa.me. نحن نخلص من ذلك من شبكات التواطؤ هذه لديها مجموعة كبيرة من رموز الوصول التي يحد من الحاجة إلى استخدامها مرارا وتكرارا. لذلك ، هذه التواطؤ يمكن أن تبقى الشبكات تحت الحد المسموح به لمعدل الوصول المميز الحفاظ على مستويات النشاط العالية. نحن لا نخفض المعدل الحد أبعد لتجنب الوقوع إيجابيات كاذبة المحتملة.

6.2 Honeypot based Access Token Invalidation
سنقوم بعد ذلك بإبطال رموز الوصول إلى الحسابات المتواطئة الموجودة تم تحديدها كجزء من تجارب honeypot. في أول 22 يومًا ، لدينا حليب الوصول الرموز من مستخدمي 283K و 41K ل hublaa.me و official-liker.net ، على التوالي. نتوقع أن إبطال هذه الرموز الوصول سيحد من أنشطة شبكة التواطؤ. الى هذا في النهاية ، نقوم بإبطال عينة عشوائية 50٪ من رموز الوصول المحلاة في يوم 23 كما هو ملحوظ من قبل الصليب الأسود في الشكل 5.5 نلاحظ

4 لا تظهر نتائج شبكات التواطؤ الأخرى بسبب قيود المساحة.
5 قررنا في البداية إبطال نصف رموز الوصول المحببة لتجنبها تنبيه شبكات التواطؤ حول مصائد مخترقي الشبكات لدينا والتدابير المضادة.
لا تتأثر بالحد من الوصول إلى حد معدل الرمز المميز. على الرغم من أن إلغاء صلاحية الرمز المميز يؤدي إلى تقليل التواطؤ بشكل ملحوظ أنشطة الشبكة ، فإنه لا يمكن وقفها تماما. كما لا يساعد إلغاء صلاحية الرمز المميز للوصول إلى المجموعات. معدل IP لدينا حدود مكافحة معظم شبكات التواطؤ التي تستخدم عددًا قليلاً من عناوين IP. يمكننا استهداف الأنظمة المستقلة (ASES) من شبكات التواطؤ التي تستخدم مجموعة كبيرة من عناوين IP.

انخفاض حاد في أنشطة شبكة التواطؤ. على وجه التحديد ، و متوسط عدد مرات الإعجاب المقدمة من قِبل hublaa.me ينخفض من 320 إلى 250 وللحساب الرسمي -liker.net ينخفض من 350 إلى 275. لسوء الحظ ، هذا الانخفاض لم يكن دائما ومتوسط عدد يحب زيادة تدريجيا مرة أخرى خلال الأيام القليلة المقبلة. نحن نخلصأن شبكات التواطؤ تجدد تدريجياً وصولهم إلى مجموعة رمزية مع رموز وصول جديدة من المستخدمين الجدد والعائدين. للتخفيف من ذلك ، سنقوم بعد ذلك بإبطال كل رموز الوصول تمت ملاحظتها حتى اليوم 28 (تميزت بالصليب الأحمر) وتبدأ أيضًا في الإبطال50٪ من رموز الوصول المميزة حديثًا على أساس يومي (ملحوظ عن طريق الصليب البرتقالي). نحن نلاحظ انخفاض حاد لكل من hublaa.me و official-liker.net في اليوم 28 عندما نلغي جميع رموز الدخول. ومع ذلك ، يبدأ متوسط يحب بواسطة hublaa.me الارتداد إلى الخلف و تلك التي byliker.net الرسمية تستقر في 100 على مدى الأيام القليلة المقبلة نشك في أن معدل الرموز وصول جديدة من جديد والعائدات يتفوق المستخدمون على معدل إلغاء صلاحية الرمز المميز للوصول اليومي. هذا هو
بسبب العدد الصغير من حسابات المتواطئين الجديدة يحلب يوميا من قبل مصائد مخترقي الشبكات لدينا. لزيادة معدل إلغاء صلاحية رمز الدخول المميز ، بدءًا من اليوم 36 ، نبدأ بإبطال جميع رموز الدخول التي تم رصدها حديثًا يوميًا على النحو المبين في الصليب الأزرق في الشكل 5. نلاحظ ثابت انخفاض متوسط الإعجابات بواسطة hublaa.me من اليوم 36 إلى اليوم 44. تم اغلاق موقع hublaa.me مؤقتًا في اليوم 45. الموقع عمليات مستأنفة في اليوم 51 ومتوسط عدد إبداءات الإعجاب انخفضت إلى 120. أدّى المسؤول -liker.net إلى إبداء الإعجاب بين 110-192 على الرغم من إبطال الرمز المميز للوصول اليومي. في حين الوصول العادي رمى إلغاء الإبطال أنشطة شبكة التواطؤ ، نستنتج
أنه لا يمكن وقفها تماما لأن حلب honeypot يمكن فقط تحديد مجموعة فرعية من جميع المستخدمين الجدد. ولذلك، فإننا
قرر عدم متابعة إبطال الرمز المميز للدخول بشكل منتظم