Se están creando cuentas potenciales de spammer

Mi experiencia en ciberseguridad antes de la jubilación puede haberme hecho demasiado desconfiado, pero algunos registros de usuarios recientes me hacen preguntarme.

Como contexto, he estado dirigiendo mi foro durante más de 20 años, por lo que tengo una idea razonable de la demografía de mis usuarios. También es principalmente un foro de soporte de software, por lo que muchas personas hacen preguntas, pero muchas menos brindan respuestas porque los “expertos” tienden a ser usuarios que tienen muchos años de experiencia usando los productos.

Hace unas semanas, vi una pregunta a la que se respondió de una manera que parecía un poco extraña. La respuesta era un poco pertinente pero un poco inespecífica. También se refería a una opción de menú que no existe en el software en cuestión, pero el mensaje, por lo demás, no hizo sonar ninguna alarma. No conocía al usuario que había respondido, así que eché un vistazo a su cuenta y fue entonces cuando las cosas parecieron un poco más extrañas.

El usuario se había registrado, leído solo 4 mensajes y luego enviado la respuesta, todo en cuestión de minutos. Un nuevo usuario podría ser un experto que nunca antes había iniciado sesión, pero eso es bastante improbable. El nombre de usuario, el nombre y la dirección de correo electrónico también sugerían una usuaria. El pasatiempo que apoya el foro no es exclusivamente masculino, pero las usuarias representan un porcentaje bajo de un solo dígito. Luego miré la dirección IP, que era de Gujarat, India. Nuevamente, he tenido algunos usuarios indios antes, pero muy pocos. La dirección de correo electrónico tenía el formato Nombre 3 dígitos Apellido@outlook.com, por ejemplo, daisy324brown@outlook.com.

Observé la cuenta, pero todavía solo tenía una visita y una respuesta.

Luego, hoy, recibí otra. Mismo modus operandi… se registró, leyó 2 mensajes, publicó una respuesta un poco pertinente pero inespecífica a un mensaje. Nombre femenino, mismo formato de dirección de correo electrónico @outlook.com y dirección IP de Gujarat.

Intrigado, volví a revisar y encontré otra cuenta de aspecto similar. La única diferencia era que la IP de registro estaba en el Reino Unido y la IP del último inicio de sesión era desconocida.

¿Es esta una nueva forma de cuenta de spam que se está configurando y dejando en el estante por un tiempo para ser utilizada más adelante? ¿O qué más podría ser? ¿Alguien más está viendo registros/publicaciones de cuentas similares como esta?

Sé que esto puede no ser específico de Discourse, pero me pregunto si hay alguna forma en Discourse de marcar cuentas que actúan de esta manera. Quizás marcar cuentas que se registran con direcciones de outlook.com, o que envían respuestas muy poco después de registrarse. No quiero bloquear tales cosas, solo ser consciente para poder observar y estar preparado si las cosas salen mal de repente.

Recibimos cierto auto-silenciamiento para los usuarios nuevos que crean temas o respuestas demasiado pronto después de la creación de la cuenta.

¿Cuál es su valor actual para la configuración del sitio silence_new_user_sensitivity?

Está configurado en Alto, así que no puedo aumentarlo.

Este es un tipo de spam que hemos visto de vez en cuando. A menudo se publica algo vagamente relacionado (podría ser una copia y pega de un tema similar… aunque ahora la IA podría ser más fácil). Luego, la cuenta puede volver más tarde (¡a veces después de mucho tiempo!) y editar su publicación con un enlace de spam.

No creo que tengamos una forma de filtrar este tipo de casos… ¿quizás podríamos identificar cuándo una cuenta con actividad inconsistente regresa y agrega un enlace a una publicación? (Si alguien publica, desaparece por un mes o más, y luego regresa para editar un enlace).

Una opción que puedes utilizar mientras tanto es bloquear su nivel de confianza en 0 o 1 (desde la página de administración de usuarios). Esto evitaría que la cuenta regrese y agregue enlaces a publicaciones (o haga alguna edición) después de 24 horas. La desventaja es que puede limitar a alguien si resulta que no es un spammer.

Para estos, tenemos cierta protección con los límites de la ventana de edición (más estrictos para niveles de confianza más bajos, pero la mayoría de los sitios mantienen los 30 días predeterminados para TL2+), pero creo que los spammers humanos pueden ser conscientes de muchas de las herramientas con el tiempo y más aún a medida que Discourse se vuelve más popular.

Tuvimos uno aquí el otro día que las herramientas automáticas no detectaron, que regresó y editó un hipervínculo en un punto en su publicación de apariencia inocua. Pueden ser realmente sigilosos.

La cuenta más reciente volvió para añadir un enlace de spam… desafortunadamente en menos de 24 horas.