Behind the fake Identificare profili fake sui social network - Mattia Vinci - Security Summit
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
Behind the fake
Identificare profili fake sui social network
Mattia Vinci
Copyright @Mediaservice.net S.r.l. 2018
Disclaimer
Analisi in continuo sviluppo
Alcune osservazioni e ipotesi riportate non possono essere
dimostrate
Tratta dei fake utilizzati per propaganda, non per ragioni
(stalking, bullismo, molestie…)
2
Copyright @Mediaservice.net S.r.l. 2018
Agenda
• Informazione, web, social network
• Propaganda e disinformazione sui social network
• Il mondo dei fake
• Smascherare i profili fake
• Individuazione
• Clustering
• Identificazione
• Sviluppi futuri
3
Copyright @Mediaservice.net S.r.l. 2018
Influenza dei social network
4
Copyright @Mediaservice.net S.r.l. 2018
Agenda
• Informazione, web, social network
• Propaganda e disinformazione sui social network
• Il mondo dei fake
• Smascherare i profili fake
• Individuazione
• Clustering
• Identificazione
• Sviluppi futuri
5
Copyright @Mediaservice.net S.r.l. 2018
Propaganda e disinformazione
Difficile stimare esattamente la quantità di fake sui social network
• Relativamente pochi dati e studi a riguardo
• L’influenza russa nella campagna elettorale USA è uno dei rari
eventi su cui vi siano dei dati disponibili
• Tali dati sono peró approssimativi (le metriche utilizzate per
riconoscere profili fake sono discutibili), tuttora in corso di
aggiornamento e dibattuti (ovviamente negati dalla Russia)
• Stime prevalentemente statistiche
• Dati difficilmente dimostrabili
6
Copyright @Mediaservice.net S.r.l. 2018
Propaganda e disinformazione: alcuni dati
Facebook ha ammesso a Nov. 17 di avere 270m fake su 2,1b
Secondo uno studio di università USA, su Twitter i
fake sarebbero da 20m a 48m (15%). Twitter blocca
ogni giorno 523,000 accessi automatici sospetti
Nel solo mese di dicembre, 6,4M di account a
settimana sono stati individuati come potenziali fake
(+60% da Ottobre 2017)
220,000 applicazioni sono state rimosse in poco piú
di 6 mesi, dopo aver pubblicato 2,2M di tweet
Secondo uno studio italiano su Instagram l’8% degli account
risulta finto e il 29% inattivo
7
Copyright @Mediaservice.net S.r.l. 2018
I profili fake
Con profilo fake si intenderà d’ora in poi un profilo che:
Non corrisponde ad oppure Non è gestito dalla persona la
un’identità reale cui identità rappresenta, che é
inconsapevole della sua
esistenza
Agisce per un interesse ben preciso (diretto o meno)
10
Copyright @Mediaservice.net S.r.l. 2018
11
Esempio di profilo Facebook fake utilizzato dalla campagna di propaganda russa (Fonte: NYT)
Copyright @Mediaservice.net S.r.l. 2018
Propaganda e disinformazione: strumenti
Fake news
Fake comments
Influencer
Strumenti diversi per
diversi tipi di operazioni
Fake engagement Fake reviews / ratings
13
Copyright @Mediaservice.net S.r.l. 2018Propaganda e disinformazione: attori coinvolti
• Esposti alla propaganda
• Account clonati o sottratti
• Sostenitori inconsapevoli
Utenti
vittime
Gestore Creatori e
del profilo rivenditori
fake profili fake
Società di
brand
reputation
14
Copyright @Mediaservice.net S.r.l. 2018Propaganda e disinformazione: committenti
Possibili committenti di operazioni di propaganda possono essere di
natura molto diversa fra di loro. Elenchiamo i principali:
Stati sovrani
Politica
Imprese
Lobby
Personaggi pubblici
Influencer
15
Copyright @Mediaservice.net S.r.l. 2018Agenda
• Informazione, web, social network
• Propaganda e disinformazione sui social network
• Il mondo dei fake
• Smascherare i profili fake
• Individuazione
• Clustering
• Identificazione
• Sviluppi futuri
16
Copyright @Mediaservice.net S.r.l. 2018Tipologie di profili fake
I profili fake possono essere di tipologie molto diverse tra loro:
Creati ex novo (all’occorrenza o in passato)
Cloni di profili esistenti
Sottratti ai legittimi proprietari
“Allevati” da tempo e ceduti
Profili reali, che agiscono per incentivo economico o di altro tipo
(es.: «baratto» dei like)
17
Copyright @Mediaservice.net S.r.l. 2018Diversi usi dei profili fake
In base allo scopo da raggiungere, i profili possono essere usati in
maniera differente:
Singolarmente da individui che si spacciano per altri
In massa per pubblicare uno stesso contenuto creato
manualmente
Pubblicando contenuti generati automaticamente o
prelevati da un pool di contenuti predisposto
Condividendo o apprezzando contenuti altrui (anche della
stessa botnet)
18
Copyright @Mediaservice.net S.r.l. 2018Economia dei profili fake
Esiste un vasto ecosistema per la compravendita di profili fake di
diverso tipo, che emerge con una semplice ricerca.
Produttori
• Profili
• Reti di bot
Rivenditori • Interazioni con reti di bot
• Strumenti software per
Utilizzatori (ri)venditori e utilizzatori finali
19
Copyright @Mediaservice.net S.r.l. 201820 Copyright @Mediaservice.net S.r.l. 2018
Il servizio Social Envy offre una
“crescita organica” dei follower di
Instagram, Twitter e Pinterest ed è
affiliata al servizio «Tweet
Review» per l’identificazione di
follower fake.
(chiuso negli ultimi giorni)
21
Copyright @Mediaservice.net S.r.l. 201822 Copyright @Mediaservice.net S.r.l. 2018
23 Copyright @Mediaservice.net S.r.l. 2018
24
Vendita di account «invecchiati»
Copyright @Mediaservice.net S.r.l. 201825
Software per la gestione simultanea di account multipli
Copyright @Mediaservice.net S.r.l. 201826
Servizi per reseller, panel per servizi per reseller…
Copyright @Mediaservice.net S.r.l. 2018Compravendita di profili fake
Siamo stati tentati dal provare questi servizi…
27
Copyright @Mediaservice.net S.r.l. 201828 Copyright @Mediaservice.net S.r.l. 2018
29 Copyright @Mediaservice.net S.r.l. 2018
Agenda
• Informazione, web, social network
• Propaganda e disinformazione sui social network
• Il mondo dei fake
• Smascherare i profili fake
• Individuazione
• Clustering
• Identificazione
• Sviluppi futuri
30
Copyright @Mediaservice.net S.r.l. 2018Smascheramento profili fake
Tre fasi principali, spesso in parte sovrapponibili:
discernere profili fake da
Individuazione profili genuini
raggruppare più profili in Clustering
base a criteri comuni
ricondurre i profili alla
Identificazione persona o ente che li
gestisce e/o commissiona
31
Copyright @Mediaservice.net S.r.l. 2018Agenda
• Informazione, web, social network
• Propaganda e disinformazione sui social network
• Il mondo dei fake
• Smascherare i profili fake
• Individuazione
• Clustering
• Identificazione
• Sviluppi futuri
32
Copyright @Mediaservice.net S.r.l. 2018Individuazione dei profili fake
Un utente qualsiasi, che voglia conoscere quali tra i propri follower o
amici siano dei profili fake, puoi ricorrere ad applicazioni apposite,
oppure a liste pubbliche di profili falsi
Quando tali metodi falliscono, si rende necessaria un’analisi più
approfondita basata sui contenuti pubblicamente disponibili, tra cui:
• Dati anagrafici
• Immagini
• Sezioni di testo libero
• Contatti e codici univoci
• Amicizie, connessioni e relazioni
• Altro …
33
Copyright @Mediaservice.net S.r.l. 2018Individuazione: dati anagrafici
• Nome e cognome: riferimenti esterni,
frequenza, distribuzione geografica
• Date: verosimiglianza delle stesse
• Username: presenza su altri social
• Provenienza: coerenza con altri dati (es
nome)
Controllo dello username su namechk.com Username legati all’immagine
34
Copyright @Mediaservice.net S.r.l. 2018Individuazione: immagini (1/2)
• Originalitá: ricerca inversa,
analisi compressione
• IMINT: contenuto delle
immagini
• Metadata: embedded o
esplicita (es data, watermark,
nome file…)
Immagine di profilo fake reperibile altrove in rete
35
Copyright @Mediaservice.net S.r.l. 2018Individuazione: immagini (2/2)
Profili sedicenti italiani con elementi probabilmente esteri nelle immagini
36
Copyright @Mediaservice.net S.r.l. 2018Individuazione: sezioni a campo libero
• Coerenza delle informazioni pubblicate
• Correttezza dei testi, individuazione
dell’uso di traduttori, generatori
automatici…
• “Analisi linguistica”, allo scopo di
profilazione o comparazione con altri
profili
• Distribuzione temporale dei contenuti e
delle relazioni con altri utenti
• Analisi della variazione dei contenuti
pubblicati dalla creazione del profilo
Un caso di identificazione dei gestori di
un profilo fake tramite analisi linguistica
37
Copyright @Mediaservice.net S.r.l. 2018Individuazione: contatti e codici univoci
E’ possibile estendere le ricerche (pivoting) a partire da contatti o altri
codici univoci legati all’utente
Indirizzi email, numeri di telefono,
IM, siti web
Indirizzi IP Whois
Geolocalizzazione Tracking code pubblicitari
Stralci di codice Reverse lookup
38
Copyright @Mediaservice.net S.r.l. 2018Individuazione: amicizie, connessioni e relazioni
• Numero di contatti e proporzioni
• Distribuzione dei contatti nel tempo
• Natura dei contatti: altri fake?
39
Copyright @Mediaservice.net S.r.l. 2018Individuazione: altri strumenti (1/2)
Strumenti e dispositivi
utilizzati per la gestione
dell’account
Informazioni sulla
geolocalizzazione (check in)
Informazioni cancellate ma
archiviate (archive, cache di
Google, servizi appositi)
Profili su altri social network
(reperibili da username, nome,
foto…)
Sorgente dei tweet visibile tramite API
40
Copyright @Mediaservice.net S.r.l. 2018Individuazione: altri strumenti (2/2)
Vi sono poi alcune tecniche che lavorano sui grandi numeri e
richiedono strumenti di analisi complessi e, spesso, accesso ad
informazioni non pubblicamente disponibili. Tali tecniche sono
generalmente applicabili da:
• Social network stessi
• Gruppi di ricerca
Nei principali social network è possibile
delegare la verifica al provider del
servizio, segnalando un profilo che si
sospetti essere un fake.
41
Copyright @Mediaservice.net S.r.l. 2018Agenda
• Informazione, web, social network
• Propaganda e disinformazione sui social network
• Il mondo dei fake
• Smascherare i profili fake
• Individuazione
• Clustering
• Identificazione
• Sviluppi futuri
42
Copyright @Mediaservice.net S.r.l. 2018Clustering dei profili fake
Spesso non é un singolo profilo ad agire, piuttosto gruppi di profili
creati o gestiti da una stessa entità.
• Spesso agiscono in concerto, alimentando l’apparenza di
autenticità l’uno dell’altro, a volte anche sostenendo punti di vista
opposti
• Quando gestiti da individui o entità diverse, possono ricorrere a
gruppi comuni per l’organizzazione delle attività
• Se creati in grandi quantità, molto probabilmente mostreranno
caratteristiche comuni (es. criteri nella scelta delle immagini del
profilo o dei nomi utente)
43
Copyright @Mediaservice.net S.r.l. 2018Esempi di cluster (1/2)
Esempio di alcuni tweet automatici provenienti generati da bot di uno stesso cluster
44
Copyright @Mediaservice.net S.r.l. 2018Esempi di cluster (2/2)
Alcuni profili fake Twitter estremamente simili tra loro
45
Copyright @Mediaservice.net S.r.l. 2018Clustering dei profili fake
Clustering può essere effettuato manualmente o tramite l’ausilio di
complessi strumenti automatici
• Pattern comuni
• Distribuzione di attributi con valori che deviano dalla norma
• Riferimenti temporali
• Gruppi, liste, pagine di appartenenza comuni
• Attività all’infuori del social network
• Analisi della struttura delle reti e connessioni
46
Copyright @Mediaservice.net S.r.l. 2018Agenda
• Informazione, web, social network
• Propaganda e disinformazione sui social network
• Il mondo dei fake
• Smascherare i profili fake
• Individuazione
• Clustering
• Identificazione
• Sviluppi futuri
47
Copyright @Mediaservice.net S.r.l. 2018Identificazione dei profili fake (1/2)
Fase in cui si tenta di ricondurre l’attività di uno o più
profili fake ad un individuo e/o un ente che ne ha in
carico la gestione e/o dell’individuo o ente
commissionante.
Spesso può essere necessario andare oltre all’analisi di fonti aperte
(OSINT), ricercando un contatto diretto (lecito o meno).
48
Copyright @Mediaservice.net S.r.l. 2018Identificazione dei profili fake (1/2)
Identificazione
Funzionalitá
OSINT Contatto diretto Altro…
social network
49
Copyright @Mediaservice.net S.r.l. 2018Identificazione tramite fonti aperte (OSINT)
Se si ha tempo a disposizione, è possibile monitorare continuamente
l’attività dei profili di interesse, attendendo (o tentando di indurre) un
errore del gestore che aiuti a identificarlo
• Informazioni sulla geolocalizzazione
• Contenuti utili alla profilazione
• Informazioni ricavabili dalle immagini
• Gestione di più profili contemporaneamente
• Contenuti su altri social network ma ricollegabili al profilo
• Pubblicazione di documenti o immagini non sanitizzati (metadati)
50
Copyright @Mediaservice.net S.r.l. 2018Identificazione tramite funzionalità del s.n.
Si può pensare di sfruttare alcune funzionalità peculiari offerte dal
social network, come ad esempio:
• Notifica delle visite al proprio profilo (es. Linkedin)
• Ricerca e aggiunta contatti (per confermare sospetti su un
contatto già noto)
• Suggerimenti proposti (geolocalizzazione, IP…)
• Utilizzo di applicazioni specifiche per il social network, che
abbiano accesso ad una maggiore quantità di dati (es. App
facebook)
51
Copyright @Mediaservice.net S.r.l. 2018Identificazione: contatto diretto
Si può tentare di ottenere un contatto diretto in un
ambiente che si è in grado di controllare
• tramite tecniche di social engineering
• tramite servizi che non proteggano adeguatamente
la privacy dell’utente
Tale tecnica, permette di ottenere:
• Indirizzi IP (posizione geografica, società di appartenenza…)
• Verificare indirizzi gmail o account social se presenti in una lista
di indirizzi possibili
• Altre informazioni come software utilizzato, impostazioni locali
ecc.
• Fingerprinting (utile in watering hole attack o attaccante con
risorse)
52
Copyright @Mediaservice.net S.r.l. 2018Identificazione: altre tecniche
Infine, è possibile ricorrere a molte altre tecniche, non tutte legali
Sferrare un attacco informatico verso l’utente gestore del profilo
Sfruttare la propria eventuale posizione privilegiata
Sfruttare eventi indipendenti (data leak, procedimenti legali,
compromissioni…)
53
Copyright @Mediaservice.net S.r.l. 2018Agenda
• Informazione, web, social network
• Propaganda e disinformazione sui social network
• Il mondo dei fake
• Smascherare i profili fake
• Individuazione
• Clustering
• Identificazione
• Sviluppi futuri
54
Copyright @Mediaservice.net S.r.l. 2018Sviluppi futuri
Intelligenza artificiale
Contesto normativo
Educazione dell’utente
Approccio da parte dei social network
55
Copyright @Mediaservice.net S.r.l. 2018Grazie per l’attenzione.
Domande?
Mattia Vinci
Security Expert
mattia.vinci@mediaservice.net
56
Copyright @Mediaservice.net S.r.l. 2018Puoi anche leggere
