צבא בוטים שהגיב לטובת בוגי יעלון נתפס ברשת

איך מוכיחים שפייק הוא פייק? במאמר אני מסביר ומדגים עם רשת בוטים
ציוץ תגובה של בוט לבן כספית

כאמור כבר הוכחנו שיש רשתות בוטים ברשתות החברתיות הישראליות. בוטים הם חשבונות מזויפים שהמטרה שלהם היא להשפיע או להטות את השיח הציבורי בלי שיש אדם אמיתי מאחוריהם. לפני כחודשיים וחצי מצאתי, לגמרי במקרה, את העדות המוצקה הראשונה לרשת בוטים כזו. עדות שהורחבה מאוחר יותר בעדויות טכניות נוספות על ידי ידידי נעם רותם. המטרה של רשת הבוטים הראשונה שמצאתי היתה מאוד לא ברורה, אבל סוף סוף מגיעות עדויות לראשונה על רשת בוטים שכנראה ומופעלת על ידי פוליטיקאי אמיתי או מישהו מטעמו ומפיצה ציוצים שתומכים בעיקר בבוגי יעלון. שרשת בוטים שתמכה בו נחשפה ממש עכשיו. בפוסט הזה אני מספר על המקרה וכן על הטכניקות השונות שהשתמשתי בהן על מנת לאמת את המידע. כן, יש גם דוגמאות.

הצייצן עומר אריכא עלה על כך לראשונה ויחד עם צייצנים נוספים כמו מיכל בהגן ואביה ריש, הם זיהו מספר של בוטים. בפוסט הזה אני מספר על איך הם זיהו את הבוטים ומביא פרטים נוספים שקיבלתי באמצעות ניתוח של המטא מידע של הציוצים של הבוטים האלו.

איך מזהים בוטים? זיהוי של בוט הוא לעתים קשה. המפעיל של הבוט יעשה ככל שביכולתו ובכשרונו כדי להסוות את העובדה שמדובר במשתמש לא אמיתי ודי ברור למה. למרבה המזל, יש דרכים לגלות את האמת מלבד אינטואיציה בריאה.

זיהוי תמונות

נקודת התורפה העיקרית של הבוטים האלו היא תמונת המשתמש. חשבון ללא תמונת אדם אמיתי בחשבון, בכל רשת חברתית שהיא, חשוד כבר מראש כמזויף. זו הסיבה שגם חשבונות מזויפים מתהדרים בתמונה. הבעיה היא שבעוד אדם אמיתי יכול להשיג תמונה של עצמו בקלות, לחשבון מזויף זה יותר קשה. נכון, יש לא מעט מאגרי תמונות בעולם – אבל מפעילי הבוטים לא יכולים להשתמש בתמונות של אנשים שנראים לא מקומיים. זו הסיבה שהם לוקחים את התמונות מחשבונות/תמונות של אנשים אמיתיים שנראים בעלי חזות ישראלית. אך עם חיפוש גוגל פשוט, אפשר למצוא את הפרופיל המקורי.
כאן למשל יש את הפרופיל של משתמש החשוד כבוט:

התמונה שלו נלקחה מויקיפדיה:

זיהוי התמונות קל מאוד להפעלה באמצעות גוגל תמונות. הנה סרטון קצרצר שבו אני מסביר איך עושים את זה.

זיהוי לפי מייל

נקודת תורפה נוספת של חשבונות מזויפים היא המייל. נדרשת כתובת מייל ייחודית על מנת להרשם לרשת החברתית. בעוד שלאדם מן היישוב יש כתובת אחת וייחודית, מקסימום שתיים. למפעילי רשתות של בוטים אין את היכולת ליצור חשבונות רבים. זו הסיבה שרבים מהמפעילים של רשתות בוטים נאלצים להשתמש בטכניקות שונות על מנת ליצור מספר חשבונות. טכניקה אהובה במיוחד היא להשתמש בדומיין. למשל, [email protected] או [email protected] וכו'. טכניקה נוספת היא שימוש ב-"+" באמצעות ג'ימייל. מה זאת אומרת? ניתן להוסיף את הפלוס ואחריו מספר לכל כתובת ג'ימייל שהיא כדי ליצור כתובת. כך למשל, אם יש לי חשבון ג'ימייל בשם scam. אני יכול ליצור חשבונות ברשתות החברתיות באמצעות הכתובות האלו:

[email protected]
[email protected]
[email protected]

כל מייל שיישלח לאחת מהכתובות האלו יישלח ל [email protected]. נסו עם החשבון שלכם! שלחו לעצמכם מייל ותראו.

זו הסיבה שלחשבונות מזויפים יש מיילים דומים. השאלה היא איך חושפים את המייל. גם זה קל. בטוויטר (גם בפייסבוק) יש אפשרות לשחזור סיסמה. איך עושים את זה? נכנסים לשחזור סיסמה ומקלידים את מספר המשתמש. טוויטר לא תמהר לתת לך את המייל, אלא תשתמש בכוכביות כדי להסתיר חלק ממנו. אבל אם לכמה חשבונות שונים יש אותה תבנית של כתובת מייל – זה אינדיקטור חשוב ביותר.

אם מפעיל החשבון היה מספיק טיפש כדי להכניס את הטלפון שלו, נראה את אותה סיומת טלפון ב

זיהוי לפי מטא מידע

מטא מידע של ציוצים ניתן להשגה בקלות באמצעות API של טוויטר שניתן להפעלה על ידי כל שפת תכנות שהיא. ב-node.js זה ממש פשוט. במטא מידע ניתן למצוא מידע שלאו דווקא קופץ לעין כאשר מדובר על ציצנים. המידע שאני מחפש בדרך כלל הוא בנוגע למי ששלח את הציוץ. אצל משתמשים רגילים אנו נראה דרכים שונות למשלוח הציוץ. כך למשל, אני שולח לעתים דרך טוויטדק, האפליקציה הפופולרית למשלוח ציוצים, לפעמים דרך הטלפון שלי. אפשר לראות את זה בקלות באמצעות המטא מידע של הציוצים שלי. בציוץ הזה למשל, תוכלו לראות שה-src הוא טוויטדק. ובציוץ שקדם לו, המטא מידע הוא טוויטר ל-iPhone. למה? כי אני משתמש אמיתי.

אצל בוטים אנו נראה שימוש במערכות לניהול ובקרה של ציוצים או לחלופין שימוש עקבי בדרך אחת בלבד כל הזמן. בבוטים של בוגי אנו רואים שימוש עקבי של Twitter Web Client כל הזמן. אם אנו רואים משתמשים שמרטווטים אחד את השני ומשתמשים באופן עקבי באותה דרך שליחה – גם זה מעורר חשד כבד.

מטא מידע של ציוץ
מטא מידע של ציוץ

המטרות של הבוטים האלו

ממבט מהיר בציוצים של הבוטים אפשר לראות מה המטרה – השפעה על השיח. איך עושים את זה? למשל שלל תגובות לעיתונאים. עיתונאים תמיד מסתכלים על התגובות לציוצים שלהם. ציוצים משבחים או תוקפים יכולים לתת תמונת מצב שקרית לכיוון זה או אחר שתוזכר אחר כך בטור עיתונאי. אנשים שקוראים את השרשורים האלו עלולים להיות מושפעים גם כן.

ציוץ תגובה של בוט לבן כספית
ציוץ תגובה של בוט לבן כספית

במקרה הזה הסיפור מאוד שקוף. צבא הצייצנים המזויפים כתב תגובות רבות מאוד בעד בוגי יעלון ותקף את אלו שלעגו לו או ביקרו אותו ובאופן מאוד מאוד אגרסיבי. במידה כזו שהצייצנים שהותקפו החליטו לבדוק את הסיפור הזה. לא תמיד המפעילים של רשתות הבוטים הם כל כך חובבנים או שקופים. איפה שיש פוליטיקאי אחד (או אי מי מטעמו) שמפעיל רשת בוטים, יש עוד וסביר להניח שחלקם מתוחכמים הרבה יותר.

זיהוי המפעיל

למרות שקשה ולא ברור לזהות את המפעיל, יש סיכוי שמצאנו אותו. נחמיה גרשוני מוסיף בטוויטר כמה קווי דמיון מטרידים בין פרופיל מזויף אחד בשם המעז מנצח והשני הוא פרופיל של לא אחר מאילן אוסטפלד, יועץ התקשורת של משה יעלון. לשני החשבונות יש מספר טלפון המסתיים ב-98 ובדיקת מטא המידע של הציוצים שלהם מראה ששניהם משתמשים באפליקצית טוויטר לאייפון כדי לפרסם את הציוצים שלהם. בנוסף, צייצן בשם דניאל אביטל שם לב שהיועץ עוקב אחרי חלק מהבוטים. האם זה אומר באופן חד משמעי שאילו אוסטפלד הוא האדם מאחורי רשת הבוטים הוא מודע אליה? לא. האם זה מעלה חשד כבד? בוודאי. אבל ללא מידע נוסף לא נוכל לדעת כמובן.

הפתרון חייב להיות רגולטיבי במקרה הזה: איסור חד משמעי על פוליטיקאים וגופים אחרים להפעיל פרופילים מזויפים.

ועוד מילה אחרונה על פוליטיקה – אני לא כותב על פוליטיקה באתר הזה. ניסיון לגרור אותי לדיון על פוליטיקה יהיה עקר לחלוטין.

פוסטים נוספים שכדאי לקרוא

תמונת תצוגה של מנעול על מחשב
פתרונות ומאמרים על פיתוח אינטרנט

הגנה מפני XSS עם Trusted Types

תכונה ב-CSP שמאפשרת מניעה כמעט הרמטית להתקפות XSS שכל מפתח ווב צריך להכיר וכדאי שיכיר.

גלילה לראש העמוד