Contas de spammer potencial sendo criadas

Minha experiência em cibersegurança pré-aposentadoria pode ter me tornado excessivamente desconfiado, mas alguns registros de usuários recentes me deixam pensativo.

Para contextualizar, administro meu fórum há mais de 20 anos, então tenho uma ideia razoável do meu público. É principalmente um fórum de suporte de software, então muitas pessoas fazem perguntas, mas muito menos fornecem respostas, pois os “especialistas” tendem a ser usuários com muitos anos de experiência no uso dos produtos.

Algumas semanas atrás, vi uma pergunta respondida que parecia um pouco estranha. A resposta era meio que relacionada ao tópico, mas um pouco vaga. Também se referia a uma opção de menu que não existe no software em questão, mas a mensagem, de resto, não soou nenhum alarme. Eu não conhecia o usuário que havia respondido, então dei uma olhada na conta dele e foi aí que as coisas pareceram um pouco mais estranhas.

O usuário havia se registrado, lido apenas 4 mensagens e enviado a resposta, tudo em poucos minutos. Um novo usuário poderia ser um especialista que nunca havia feito login antes, mas isso é bastante improvável. O nome de usuário, nome e endereço de e-mail também sugeriam uma usuária. O hobby que o fórum apoia não é exclusivamente masculino, mas as usuárias representam baixas porcentagens de um dígito. Então, olhei o endereço IP, que era de Gujarat, na Índia. Novamente, já tive alguns usuários indianos antes, mas muito poucos. O endereço de e-mail era do tipo Nome 3 dígitos Sobrenome@outlook.com, por exemplo, daisy324brown@outlook.com.

Observei a conta, mas ela ainda teve apenas uma visita e uma resposta.

Então, hoje, tive outro caso. Mesma abordagem… registrado, leu 2 mensagens, postou uma resposta meio que relacionada ao tópico, mas vaga a uma mensagem. Nome feminino, mesmo formato de endereço de e-mail @outlook.com e endereço IP de Gujarat.

Com o interesse aguçado, verifiquei e encontrei outra conta com aparência semelhante. A única diferença era que o IP de registro era do Reino Unido e o IP do último login era desconhecido.

Isso é uma nova forma de conta de spam que está sendo configurada e deixada de lado por um tempo para ser usada posteriormente? Ou o que mais poderia ser? Alguém mais está vendo registros/postagens de contas semelhantes a essas?

Sei que isso pode não ser específico do Discourse, mas estou me perguntando se há alguma maneira no Discourse de sinalizar contas que agem dessa maneira? Talvez sinalizar contas que se registram com endereços outlook.com, ou que enviam respostas muito em breve após o registro. Não quero bloquear tais coisas, apenas estar ciente para que eu possa observar e me preparar caso as coisas saiam do controle repentinamente.

Recebemos algum silenciamento automático para novos usuários que criam tópicos ou respostas muito cedo após a criação da conta.

Qual é o seu valor atual para a configuração do site silence_new_user_sensitivity?

Está definido como Alto, então não consigo aumentar.

Este é um tipo de spam que vimos de tempos em tempos. Muitas vezes, algo vagamente relacionado é postado (pode ser uma cópia e cola de um tópico semelhante… embora agora a IA possa ser mais fácil). Então, a conta pode voltar mais tarde (às vezes depois de muito tempo!) e editar sua postagem com um link de spam.

Não acredito que tenhamos uma maneira de filtrar esse tipo de caso… talvez possamos identificar quando uma conta com atividade inconsistente volta e adiciona um link a uma postagem? (Se alguém posta, desaparece por um mês+, e depois volta para editar um link?)

Uma opção que você pode utilizar enquanto isso é travar o nível de confiança deles em 0 ou 1 (na página de administração do usuário). Isso impediria que a conta voltasse e adicionasse links a postagens (ou fizesse qualquer edição) após 24 horas. A desvantagem é que isso pode limitar alguém se descobrir que não se trata de um spammer.

Para estes, temos alguma proteção com os limites da janela de edição (mais rigorosos para níveis de confiança mais baixos, mas a maioria dos sites mantém os 30 dias padrão para TL2+), mas acho que spammers humanos podem se tornar espertos com muitas das ferramentas ao longo do tempo e ainda mais à medida que o Discourse se torna mais popular.

Tivemos um aqui outro dia que as ferramentas automáticas não pegaram, que voltou e editou um hyperlink para um ponto final em sua postagem de aparência inócua. Eles podem ser realmente sorrateiros.

A conta mais recente voltou para adicionar um link de spam… infelizmente dentro de 24 horas.