Comptes d'éventuels spammeurs en cours de création

Mon expérience en cybersécurité avant la retraite m’a peut-être rendu trop méfiant, mais quelques récentes inscriptions d’utilisateurs me font me poser des questions.

Pour information, j’administre mon forum depuis plus de 20 ans, j’ai donc une idée raisonnable de la démographie de mes utilisateurs. C’est aussi principalement un forum de support logiciel, donc beaucoup de gens posent des questions, mais beaucoup moins y répondent car les « experts » ont tendance à être des utilisateurs ayant de nombreuses années d’expérience dans l’utilisation des produits.

Il y a quelques semaines, j’ai vu une question à laquelle il était répondu, ce qui semblait un peu étrange. La réponse était un peu dans le sujet mais un peu vague. Elle faisait également référence à une option de menu qui n’existe pas dans le logiciel concerné, mais le message ne m’a pas alerté outre mesure. Je ne connaissais pas l’utilisateur qui avait répondu, alors j’ai regardé son compte et c’est là que les choses sont devenues un peu plus étranges.

L’utilisateur s’était inscrit, avait lu 4 messages puis avait envoyé la réponse, le tout en quelques minutes. Un nouvel utilisateur pourrait être un expert qui ne s’était jamais connecté auparavant, mais c’est assez peu probable. Le nom d’utilisateur, le nom et l’adresse e-mail suggéraient tous deux une utilisatrice. Le hobby que le forum soutient n’est pas exclusivement masculin, mais les utilisatrices représentent un faible pourcentage à un chiffre. Ensuite, j’ai regardé l’adresse IP qui provenait du Gujarat en Inde. Encore une fois, j’ai eu quelques utilisateurs indiens auparavant, mais très peu. L’adresse e-mail était de la forme Prénom 3 chiffres Nom@outlook.com, par exemple daisy324brown@outlook.com.

J’ai surveillé le compte, mais il n’y a eu qu’une seule visite et une seule réponse.

Puis aujourd’hui, j’en ai eu une autre. Même méthode… inscription, lecture de 2 messages, publication d’une réponse un peu dans le sujet mais vague à un message. Nom féminin, même format d’adresse e-mail @outlook.com et adresse IP du Gujarat.

Intrigué, j’ai vérifié et trouvé un autre compte similaire. La seule différence était que l’IP d’enregistrement était au Royaume-Uni et l’IP de la dernière connexion était inconnue.

Est-ce une nouvelle forme de compte de spam qui est configuré et laissé de côté pendant un certain temps pour être utilisé plus tard ? Ou que pourrait-il être d’autre ? D’autres personnes constatent-elles des enregistrements/publications de comptes similaires ?

Je sais que cela n’est peut-être pas spécifique à Discourse, mais je me demande s’il existe un moyen dans Discourse de signaler les comptes qui agissent de cette manière ? Peut-être signaler les comptes s’inscrivant avec des adresses outlook.com, ou qui envoient des réponses très peu de temps après l’inscription. Je ne veux pas bloquer de telles choses, juste être conscient afin de pouvoir surveiller et être préparé si les choses tournent mal soudainement.

Nous appliquons un auto-silence pour les nouveaux utilisateurs qui créent des sujets ou des réponses trop rapidement après la création de leur compte.

Quelle est la valeur actuelle de votre paramètre de site silence_new_user_sensitivity ?

Il est réglé sur Élevé, donc je ne peux pas l’augmenter.

C’est un type de spam que nous avons vu de temps en temps. Souvent, quelque chose de vaguement lié est publié (il pourrait s’agir d’une copie et d’un collage d’un sujet similaire… bien que l’IA soit peut-être plus facile maintenant). Ensuite, le compte peut revenir plus tard (parfois après très longtemps !) et modifier son message avec un lien de spam.

Je ne pense pas que nous ayons de moyen de filtrer ce genre de cas… peut-être pourrions-nous identifier quand un compte de manière incohérente actif revient et ajoute un lien à un message ? (Si quelqu’un publie, disparaît pendant un mois ou plus, puis revient pour y ajouter un lien ?)

Une option que vous pouvez utiliser en attendant est de bloquer leur niveau de confiance à 0 ou 1 (depuis la page d’administration des utilisateurs). Cela empêcherait le compte de revenir et d’ajouter des liens à des messages (ou d’effectuer des modifications) après 24 heures. L’inconvénient est que cela peut limiter quelqu’un s’il s’avère qu’il ne s’agit pas d’un spammeur.

Pour ceux-ci, nous avons une certaine protection avec les limites de la fenêtre d’édition (plus strictes pour les niveaux de confiance inférieurs, mais la plupart des sites conservent la valeur par défaut de 30 jours pour TL2+), mais je pense que les spammeurs humains peuvent être au courant de nombreux outils au fil du temps et encore plus à mesure que Discourse devient plus populaire.

Nous en avons eu un l’autre jour que les outils automatiques n’ont pas détecté, qui est revenu et a modifié un hyperlien en un point dans son message d’apparence anodine. Ils peuvent être vraiment sournois.

Le compte le plus récent est revenu pour ajouter un lien de spam… malheureusement en moins de 24 heures.