„Boty” – automatyczne konta w mediach społecznościowych, które udają prawdziwych ludzi – są bardzo popularne, szczególnie na platformach takich jak Twitter. Liczy się je w milionach, a poszczególne indywidualne sieci mogą liczyć nawet pół miliona połączonych kont!

Boty mogą poważnie zakłócać debatę w sieci, zwłaszcza gdy ze sobą współpracują. Można je wykorzystać do stworzenia trendu frazy lub hashtagu, jak zilustrowano poniżej:

Mogą być użyte do wzmocnienia lub zaatakowania danego zagadnienia lub artykułu, czy też do nękania innych użytkowników. Jednocześnie wiele botów i botnetów można stosunkowo łatwo dostrzec bez dostępu do specjalistycznego oprogramowania lub komercyjnych narzędzi analitycznych.

Po pierwsze…

Bot na Twitterze to po prostu konto prowadzone przez oprogramowanie, analogicznie do samolotu latającego na autopilocie. Ponieważ autopilota można włączać i wyłączać, konta mogą zachowywać się jak roboty i użytkownicy w różnym czasie. Poniższe wskazówki należy zatem postrzegać raczej jako wskaźniki zachowania botów w danym momencie, niż czarno-białą definicję tego, czy konto „jest” botem.

Nie wszystkie boty są złośliwe lub polityczne. Zautomatyzowane konta mogą publikować na przykład poezję, fotografię lub wiadomości, nie powodując żadnego zniekształcającego efektu.

Dlatego skupiamy się na botach, które udają ludzi i wzmacniają wiadomości polityczne. We wszystkich przypadkach należy zauważyć, że nie można polegać na żadnym pojedynczym czynniku w celu zidentyfikowania zachowania przypominającego bota. Ważna jest kombinacja czynników. Z naszego doświadczenia wynika, że najbardziej znaczącą trójkę można nazwać „trzema A”: aktywność, anonimowość i amplifikacja.

Aktywność

Zrzut ekranu z @ Sunneversets100, wykonany 28 sierpnia i pokazujący dokładną datę utworzenia. Konto zarchiwizowane 13 stycznia 2017 r. I ponownie 28 sierpnia 2017 r., Pokazując zmianę wpisów w tym okresie.

Poziom odniesienia dla podejrzanych działań jest różny. Zespół Oxford Internet Institute ocenia średnio ponad 50 postów dziennie jako podejrzane; jest to powszechnie uznany i stosowany punkt odniesienia. Może być on jednak wadliwy, w końcu robią to ludzie.

DFRLab uznaje 72 tweety dziennie (raz na dziesięć minut przez dwanaście godzin bez przerwy) za podejrzane, a ponad 144 tweety dziennie za bardzo podejrzane. Przykłady?

Na przykład konto @sunneversets100, nabijacz treści prokremlowskich, zostało utworzone 14 listopada 2016 r. 28 sierpnia 2017 r. miało 288 dni. W tym okresie opublikowało 203 197 tweetów. Przekłada się to na średnio 705 postów dziennie, czyli prawie jeden na minutę przez dwanaście godzin bez przerwy, codziennie przez dziewięć miesięcy. To nie jest ludzki wzór zachowania.

Anonimowość

Drugim kluczowym wskaźnikiem jest stopień anonimowości konta. Ogólnie rzecz biorąc, im mniej danych osobowych podaje profil, tym większe prawdopodobieństwo, że będzie botem. Na przykład @Sunneversets100 ma obraz katedry we Florencji jako swoje zdjęcie awatara, niepełny wykres populacji jako tło profilu. Jedyną unikalną cechą jest link do komitetu politycznego z siedzibą w USA; nie jest to wystarczające, aby zapewnić identyfikację...

Innym przykładem jest konto @BlackManTrump, które opublikowało 89 944 tweetów między 28 sierpnia 2016 r. a 19 grudnia 2016 r., średnio 789 postów dziennie.

Zrzut ekranu archiwum profilu @BlackManTrump. Zauważ w lewym dolnym rogu datę utworzenia, a w prawym górnym rogu datę utworzenia archiwum.

To konto nie podaje żadnych danych osobowych. Awatar i tło są niespecyficzne, lokalizacja jest podana jako „USA”, a biografia zawiera ogólniki. Nic więc nie wskazuje na to, która osoba stoi za kontem i czy w ogóle stoi za tym ktoś żywy.

Amplifikacja

Trzecim kluczowym wskaźnikiem jest amplifikacja. Jedną z głównych ról botów jest wzmocnienie dotarcia wiadomości od innych użytkowników poprzez ich retweetowanie, polubienie lub cytowanie. Oś czasu typowego bota będzie zatem składać się z szeregu retweetów i cytatów słowo w słowo w nagłówkach wiadomości, z niewielką liczbą oryginalnych postów lub w ogóle bez nich.

Najbardziej skutecznym sposobem ustalenia tego wzorca jest monitorowanie automatyczne dużej liczby postów. Prostsza identyfikacja jest jednak możliwa poprzez kliknięcie paska „Tweety i odpowiedzi” na koncie i przejrzenie ostatnich 200 postów. Liczba 200 jest w dużej mierze arbitralna i ma na celu zapewnienie rozsądnej i łatwej do kontrolowania czy porównywania dużej próby; badacze, którzy mają więcej czasu i są bardziej doświadczeni, mogą badać więcej.

Na przykład 28 sierpnia 195 z ostatnich 200 tweetów @Sunneversets100 było retweetami, a wiele z nich pochodzi z kremlowskich sklepów RT i Sputnik:

Zrzut ekranu osi czasu @Sunneversets100, wykonany 28 sierpnia, pokazujący serię retweetów Sputnika. Jeśli liczba tweetów dziennie zostanie ponownie skalibrowana do 30 kwietnia, wzrośnie do 1210 postów dziennie.

Wykazując jeszcze większy stopień wyrafinowania, większość postów @BlackManTrump do 14 listopada wydawała się retweetować z usuniętą frazą „RT@”:

Wpisy z @BlackManTrump w listopadzie 2016 r. Każdy tweet zaczyna się od nazwy użytkownika i dwukropka, co sugeruje, że są to tweety, z których usunięto „RT@”.

Zatem zarówno @BlackManTrump, jak i @Sunneversets wykazują wyraźne zachowanie podobne do botów, łącząc bardzo wysoką aktywność, anonimowość i amplifikację.

Należy zauważyć, że @BlackManTrump milczał od 14 listopada do 13 grudnia 2016 r .; kiedy wznowił publikowanie, był znacznie wolniejszy w swoich działaniach i miał wyższy odsetek najwyraźniej napisanych tweetów. Dlatego całkowicie słuszne byłoby stwierdzenie, że zachowywał się jak bot do połowy listopada, ale nie to, że w tej chwili jest botem.

Inną techniką amplifikacji jest zaprogramowanie bota do dzielenia się wiadomościami bezpośrednio z wybranych stron bez dalszych komentarzy. Bezpośrednie udostępnianie jest oczywiście standardową częścią ruchu na Twitterze (na przykład czytelnicy chętnie udostępniają post) i samo w sobie nie jest podejrzane; jednak konto, które publikuje większość takich rzeczy, jest prawdopodobnie zautomatyzowane.

Niska aktywność, dobre rezultaty

Powyżej opisane boty osiągają swój efekt poprzez masową amplifikację zawartości za pomocą jednego konta. Innym sposobem na osiągnięcie tego samego efektu jest utworzenie dużej liczby kont, które retweetują ten sam post. Jest to tzw. botnet.

Takie botnety można szybko zidentyfikować, gdy zostaną użyte do wzmocnienia pojedynczego postu, jeśli konto, które je utworzyło, zwykle nie jest aktywne. Na przykład 24 sierpnia konto o nazwie @KirstenKellog_ (teraz zawieszone, ale zarchiwizowane tutaj) opublikowało tweeta atakującego amerykański portal prasowy ProPublica (propublica.com).

Strona profilowa @KirstenKellog_, pokazująca liczbę tweetów i obserwujących oraz jeden widoczny post. Zarchiwizowano 24 sierpnia 2017 r.

Jak pokazuje powyższy obraz, było to konto o bardzo niskiej aktywności. Opublikowało coś tylko 12 razy; 11 z tych wpisów zostało już usuniętych. Miało 76 obserwujących i w ogóle nie śledziło żadnych kont. Niemniej jednak jego post został przesłany dalej i polubiony ponad 23 000 razy:

To konto jest również nieaktywne, opublikowało sześć tweetów, najwcześniej 25 sierpnia, i śledziło pięć innych kont:

Przekraczanie granic wiarygodności polega na tym, że dwa takie nieaktywne konta powinny być w stanie wygenerować tak wiele retweetów, nawet biorąc pod uwagę użycie hashtagów, takich jak #FakeNews i #HateGroup. Ta rozbieżność między ich aktywnością a oddziaływaniem sugeruje, że konta, które je wzmocniły, należą do botnetu.

Wspólny content

Prawdopodobieństwo, że konta należą do jednej sieci, można potwierdzić, patrząc na ich posty. Jeśli wszystkie opublikują tę samą treść lub typ treści w tym samym czasie, prawdopodobnie są do tego zaprogramowane. Na przykład w podejrzanym botnecie, który wzmocnił @KirstenKellog_, wiele kont miało identyczne posty:

Od lewej do prawej: identyczne posty, w identycznej kolejności, autorstwa @CouldBeDelusion, @ProletStrivings i @FillingDCSwamp, 26 lipca. Warto zwrócić uwagę na sposób, w jaki posty dosłownie kopiują nagłówki artykułów, które udostępniają.

Brak avatara

Najbardziej prymitywne boty są szczególnie łatwe do zidentyfikowania, ponieważ ich twórcy nie zadali sobie trudu stworzenia im awatara. W tych miejscach widnieją jedynie sylwetki znane powszechnie jako domyślne.

Niektórzy użytkownicy mają sylwetki na swoich kontach z całkowicie zwyczajnych powodów (po prostu nie chcą?); dlatego sama obecność konta pozbawionego awatara nie jest wskaźnikiem tego, że są to boty czy elementy większej botnetowej sieci.

Jeśli jednak lista kont, które podają dalej tweety lub polubiają post wygląda tak jak poniżej, lub jeśli strona „Obserwujący” konta zaczyna wyglądać jak miejsce spotkań Towarzystwa Domyślnych Sylwetek, może to wzbudzać podejrzenia.

Kradzione avatary, twarze z banków zdjęć

Inni twórcy botów są bardziej skrupulatni i starają się maskować swoją anonimowość, dodając zdjęcia z innych źródeł. Dobrym testem wiarygodności konta jest zatem odwrócenie wyszukiwania jego obrazu awatara. W przeglądarce Google Chrome kliknij obraz prawym przyciskiem myszy i wybierz „Wyszukaj w Google obraz”.

W obu przypadkach wyszukiwanie wyświetli strony z pasującymi obrazami, wskazując, czy konto prawdopodobnie ukradło awatar, lub po prostu wykorzystało gotowe zdjęcie z banku fotografii (darmowego lub nie).

Dziwne nazwy profili

Kolejnym wskaźnikiem prawdopodobieństwa, że są to botnety, jest nazwa konta, która jest ciągiem przypadkowych znaków.

Wiele botów ma nazwy, które są po prostu alfanumerycznymi kodami generowanymi przez algorytm, takimi jak te poniżej. Inne mają nazwy, które wydają się nie pasować do nazwy ekranowej.

Jeszcze inne mają typowo męskie nazwy, ale żeńskie wizerunki. Albo… coś tak dziwnego jak to:

Jeden punkt widzenia / komercyjne botnety

Niektóre boty mają charakter polityczny i ich posty mają tylko jeden punkt widzenia. Inne są jednak komercyjne i mogą być używane do różnych celów, bez względu na treść. Większość publikowanych przez nie postów jest apolityczna, ale one również mogą zostać wykorzystane do zwiększenia popularności tweetów politycznych. Takie botnety często charakteryzują się ogromną różnorodnością użycia i są aktywowane wg potrzeb. Na przykład retweety zamieszczone przez Erika Younga, „kobietę kochającą Jezusa”, pokazują treści w języku arabskim i angielskim, hiszpańskim i francuskim. Prawdziwy poliglota.

Niektóre botnety wydają się istnieć przede wszystkim w tym celu, tylko sporadycznie zapuszczając się w polityczne rejony. Dobrym przykładem jest ciekawa sieć botów, które przesłały dalej polityczny post z konta, @every1bets, zwykle poświęconego… hazardowi.

Konta, które w dużej mierze pokazują takie retweety, zwłaszcza jeśli robią to w wielu językach, są najprawdopodobniej częścią komercyjnych botnetów wynajmowanych użytkownikom, którzy chcą rozszerzyć lub zareklamować swoje posty.

Retweety i lajki

Ostateczny wskaźnik działania botnetu można uzyskać, porównując retweety i polubienia określonego postu. Niektóre boty są zaprogramowane zarówno na przesyłanie dalej, jak i na ten sam tweet; w takich przypadkach liczba retweetów i polubień będzie prawie identyczna, a seria kont, które wykonały te retweety i polubienia, również mogą się zgadzać.

Wnioski

Boty są nieodłączną częścią życia na Twitterze. Te złe sieci (bo dobre też istnieją) mają zwykle wspólne cechy. Najczęstsze wskaźniki to aktywność, anonimowość i amplifikacja, „trzy A” identyfikacji bota.

Ale istnieją również inne kryteria: użycie skradzionych zdjęć czy niedopasowanych nazw może ujawnić fałszywe konto, jak również mnóstwo postów komercyjnych lub postów w wielu językach jednocześnie.

Najważniejsza jest jednak świadomość. Użytkownicy, którzy potrafią samodzielnie identyfikować boty, są mniej podatni na ich manipulacje. Mogą nawet być w stanie zgłosić botnety i doprowadzić do ich zablokowania.