Исследователи из Калифорнийского университета в Беркли на протяжении 10 месяцев занимались изучением «черного рынка» аккаунтов в социальной сети Twitter. Результаты исследования были представлены на 22-м симпозиуме по компьютерной безопасности USENIX в Вашингтоне.
Группа под руководством Верна Паксона (Vern Paxson) из Международного института компьютерных исследований (International Computer Science Institute, ICSI) отслеживала действия 27 торговцев аккаунтов, ответственных за несколько миллионов фальшивых профилей, которые впоследствии используются для распространения спама, фишинга и вредоносного ПО. 95% из них исчезли из онлайн-доступа после того, как исследователи сообщили о них администрации Twitter. По подсчетам ученых, они были ответственны за 10-20% всех нелегитимных аккаунтов, созданных за весь период наблюдений. Мошенники, контролировавшие данные «торговые точки», за это время заработали от 127 тысяч до 159 тысяч долларов.
Доход злоумышленников, работающих на этом рынке спама и сопутствующих программ, за период исследований колебался в широких пределах от 12 миллионов до 92 миллионов долларов. «Специализация на «черном рынке» сети Twitter является нормой, — рассказывают исследователи. — Продавцам аккаунтов, например, не приходится заниматься решениями CAPTCHA, уклонением от «черных списков» или проблемой приобретения уникальных электронных адресов».
Монетизация спама и, как итог, его стоимость зависит от серого рынка и легитимных партнерских программ, а также от синдикатов рекламных серверов или рекламных сервисов коротких ссылок (например, adf.ly). По данным исследователей, средняя стоимость аккаунта в сети Twitter составляет всего 0,04 доллара. Стоимость аккаунта в Facebook колеблется в пределах от 0,45 доллара до 1,5 долларов, если аккаунт верифицируется по номеру телефона, и от 0,1 доллара за аккаунт без верификации. Стоимость аккаунтов в Google составляет около 0,03-0,05 долларов за штуку. В самых доступных сетях цены на аккаунты падают до минимума: на Hotmail — 0,004-0,03 доллара за аккаунт и на Yahoo 0,006-0,015 доллара. Отдельно покупатели аккаунтов доплачивают за верификацию: от 0,1 до 0,15 долларов для оптовых заказов (от 100 тысяч верификаций) и 0,25 долларов за верификацию небольших по объему заказов.
Подводя итоги своей работы, исследователи рекомендуют поднять себестоимость мошеннических операций внутри сети. Одним из возможных способов сделать это является введение подтверждения по электронной почте, что, по расчетам ученых, повысит стоимость аккаунтов в Twitter на 56%. Необходимость введения CAPTCHA заставляет 92% торговцев отказаться от регистрации фальшивых аккаунтов.
Исследование было ограничено сетью Twitter, потому что ни одна из других социальных сетей, куда обратились ученые (Facebook, Google и Yahoo), не дали согласия на проведение аналогичных исследований. Исследователи также отмечают, что, помимо фальшивых аккаунтов для распространения спама, им поступали предложения по приобретению спам-хостинга, программ для взлома CAPTCHA, программ вида PPI (Pay-Per-Install) и готовых комплектов эксплойтов.
Источник: cybersecurity.ru
