Создаются аккаунты потенциальных спамеров

Мой опыт в области кибербезопасности до выхода на пенсию, возможно, сделал меня излишне подозрительным, но несколько недавних регистраций пользователей заставляют меня задуматься.

Для контекста: я веду свой форум уже более 20 лет, поэтому хорошо представляю демографический состав моих пользователей. Кроме того, это в основном форум технической поддержки программного обеспечения, где многие задают вопросы, но гораздо меньше отвечают, поскольку «экспертами» обычно являются пользователи с многолетним опытом работы с этими продуктами.

Несколько недель назад я заметил ответ на вопрос, который показался мне немного странным. Ответ был вроде бы по теме, но слишком общим. В нём также упоминалась опция меню, которой не существует в рассматриваемом программном обеспечении, однако в целом сообщение не вызвало тревоги. Я не знал пользователя, оставившего ответ, поэтому проверил его аккаунт — и тогда всё стало выглядеть ещё страннее.

Пользователь зарегистрировался, прочитал всего 4 сообщения, а затем отправил ответ — всё это заняло несколько минут. Новый пользователь мог бы быть экспертом, который ранее не входил в систему, но это маловероятно. Имя пользователя, имя и адрес электронной почты указывали на то, что это женщина. Хобби, которое поддерживает форум, не является исключительно мужским, однако доля женских пользователей составляет лишь однозначные проценты. Затем я посмотрел IP-адрес — он был из Гуджарата, Индия. У меня уже были пользователи из Индии, но очень немного. Адрес электронной почты был в формате Имя3цифрыФамилия@outlook.com, например, daisy324brown@outlook.com.

Я наблюдал за этим аккаунтом, но он так и остался с единственным посещением и единственным ответом.

Сегодня появился ещё один такой же. Тот же сценарий: регистрация, прочитано 2 сообщения, отправлен ответ вроде бы по теме, но неконкретный. Женское имя, тот же формат адреса электронной почты @outlook.com и IP-адрес из Гуджарата.

Заинтересовавшись, я проверил архив и нашёл ещё один похожий аккаунт. Единственное отличие: IP-адрес регистрации был из Великобритании, а IP-адрес последнего входа неизвестен.

Неужели это новый вид спам-аккаунтов, которые создаются и откладываются «на полку» для использования в будущем? Или что ещё это может быть? Видит ли кто-то ещё подобные регистрации аккаунтов или посты?

Я понимаю, что это может быть не специфично для Discourse, но меня интересует, есть ли в Discourse способ помечать аккаунты, которые действуют подобным образом? Возможно, помечать аккаунты, регистрирующиеся с адресами outlook.com, или те, которые отправляют ответы вскоре после регистрации. Я не хочу блокировать такие вещи, но хочу быть в курсе, чтобы следить за ними и быть готовым, если что-то вдруг пойдёт не так.

Мы действительно применяем автоматическое молчание к новым пользователям, которые создают темы или отвечают слишком скоро после создания аккаунта.

Каково ваше текущее значение для настройки сайта silence_new_user_sensitivity?

Установлено на «Высоко», поэтому я не могу увеличить его.

Это тип спама, с которым мы сталкиваемся время от времени. Часто публикуется что-то отдалённо связанное с темой (возможно, это даже копия и вставка из похожей темы… хотя теперь с помощью ИИ это может быть проще). Затем аккаунт может вернуться позже (иногда через очень долгое время!) и отредактировать свой пост, добавив спам-ссылку.

Я не думаю, что у нас есть способ отфильтровать такие случаи… возможно, мы могли бы выявлять случаи, когда неактивный в течение длительного времени аккаунт возвращается и добавляет ссылку в пост? (Если кто-то публикует сообщение, исчезает на месяц и более, а затем возвращается, чтобы отредактировать пост и добавить ссылку?)

Один из вариантов, который вы можете использовать на данный момент, — это установить уровень доверия для такого аккаунта на 0 или 1 (со страницы администрирования пользователей). Это не позволит аккаунту вернуться и добавить ссылки в посты (или внести какие-либо изменения) через 24 часа. Недостатком этого подхода является то, что это может ограничить пользователя, если окажется, что он не является спамером.

Для таких случаев у нас есть защита в виде ограничений на редактирование (более строгих для низких уровней доверия, но большинство сайтов оставляют стандартные 30 дней для TL2+). Однако, думаю, что человеческие спамеры со временем могут обойти многие инструменты, особенно по мере роста популярности Discourse.

Недавно у нас был один такой случай: автоматические инструменты не заметили пользователя, который вернулся и вставил гиперссылку в свой безобидный на вид пост, превратив её в точку. Они могут быть очень хитрыми.

Самый последний аккаунт действительно вернулся, чтобы добавить спам-ссылку… к сожалению, в течение 24 часов.