Some new spam bots appeared, which are intelligent enough to optimise for Discourse’s built-in spam filters. They first make a comment without any links, and later on they’ll edit and add the link. Discourse doesn’t catch them this way. For example the following revision:
I’ve experienced this too, the most insidious are burying links in punctuation with their edits. Instead of generating clicks from the victim site they seem mostly concerned with creating inlinks and are oblivious to the nofollow being applied to said links.
The other more worrying trend is wiki edits, unlike posts and post edits these don’t appear in the user activity, I can only tell that it has happened because they’ve received a wiki editor badge, without ever posting a wiki post.
Is this spam bot TL1 or TL0?
I don’t see a link in that post. I just see text. Can you show raw?
I deleted the user, and I don’t remember the TL.
The links were like the following:
<a href="https://shareit.onl/">shareit</a> <a href="https://mxplayer.pro/">MX player</a>
or
<a href="https://messenger.red/">https://messenger.red/</a> <a href="https://kodi.software/download/">https://kodi.software/download/</a>
or
<a href="https://viamichelin.onl/">viamichelin</a> <a href="https://putlocker.ooo/">putlocker</a>
(The end of three different posts from the same user)
TL is critical for diagnosis here, cause you can just disallow edits to TL0 which is fine, if the spam bot is smart enough to get to TL1 … well we have a diff problem.
It was able to comment 3 posts + add 6 links without triggering the spam system, I think it must have been TL1, but I might check it in a backup.
Honestly, these bots are really smart. They post a “thanks for your post” reply first. There is absolutely nothing suspicious about it, even their email address is similar to their user name. Only googling the email gives results on spam list, nothing else really.
They wait for you to approve the post. Only then they later activate their spam posting bits.
These are not bots, they are humans. There has been a vast increase in human spammers in the last 8 years.
That’s been my impression too. It’s borne out in a variant of the technique described in the OP that we’ve seen. In this case the spammer “replies” to a comment and uses the Discourse quote feature to copy some of the other person’s text into their message. Then they insert their link into the copied block, thus making it look like the other user did it. Not sure if this is supposed to spoof the system into thinking the link is from someone of a higher T level or what. Kinda stupid, really, but definitely seems like something that had to be done manually, not by a bot. In particular, they don’t just drop the URL into the quoted text either; they highlight some text and use the link tool, adding a further layer of disguise. We’ve seen a few of these over the last couple of months.
Je viens de remarquer que des spammeurs publient des messages apparemment légitimes, puis reviennent plusieurs semaines plus tard pour insérer des liens vers des sites comme [free netflix] et [tech news].
Existe-t-il un moyen d’empêcher l’insertion de liens dans toutes les modifications effectuées par des utilisateurs ayant un niveau inférieur à TL3 ? Bloquer l’ajout d’URL dans les modifications pour tout utilisateur en dessous de TL4 serait déjà une bonne solution.
Ou bien quelqu’un a-t-il trouvé une autre méthode pour stopper ce phénomène ?
Est-il possible de faire en sorte que toutes les modifications effectuées par des non-administrateurs/non-moderateurs déclenchent une notification de mise à jour du message ? Je pense qu’il serait utile de voir chaque modification. Les spammeurs humains deviennent de plus en plus sophistiqués.
Édition : Je consulte actuellement un message d’un spammeur, et il semble parfaitement légitime et en rapport avec le sujet. Il n’y a aucun indice indiquant qu’il s’agit d’un spammeur, sauf les liens injectés.
La première étape consiste à resserrer l’intervalle d’édition autorisé dans « délai d’édition des messages », en passant de la valeur par défaut à quelque chose comme un jour. À moins que vos utilisateurs n’aient régulièrement besoin de modifier des messages datant de plusieurs semaines, vous pouvez fermer cette option dans les paramètres de votre site en environ 15 secondes.
Je vais modifier le paramètre ce soir, mais j’espère qu’il existe une autre solution, car cela risquerait probablement de mécontenter certains utilisateurs. Les gens ont tendance à être plus prudents lorsqu’ils s’expriment librement s’ils savent qu’ils ne pourront pas revenir en arrière et modifier leurs messages plus tard. (Je poste moins souvent dans les forums qui verrouillent l’édition et je me sens généralement moins à l’aise.)
Idéalement, je préfère des fenêtres d’édition illimitées, et chaque modification relance le sujet.
C’est délicat, car le message n°12 pourrait être modifié dans un sujet de 40 messages. Si nous mettions à jour le sujet pour cela, ce serait extrêmement surprenant de le constater. Il faudrait parcourir chaque message.
Je pense qu’une alternative serait d’avoir des outils de modération listant toutes les modifications effectuées au-delà d’un certain seuil. Mais cela introduirait beaucoup de surcharge supplémentaire.
Une autre alternative pourrait être d’accorder aux utilisateurs TL2 et supérieurs des délais d’édition plus longs.
Pourquoi ? Revenir « des semaines plus tard » pour modifier quelque chose est hautement anormal. Et vous pouvez rendre les choses wiki si vous voulez signaler qu’elles sont particulièrement modifiables. Il existe un bon compromis de « quelques jours » que vous pouvez tester d’abord.
Je vais en fait réduire un peu la valeur par défaut de ce paramètre maintenant, passant de 60 jours à 30 jours, car le cas d’usage consistant à revenir beaucoup plus tard pour modifier me semble de plus en plus absurde.
Cela pourrait être utile.
Pour le moment, j’ai modifié les niveaux de confiance requis pour ajouter des liens et éditer des messages, et rendu un peu plus difficile l’obtention du niveau de confiance 1.
Le dernier message de spam que j’ai vu n’était pas celui d’un spammeur habituellement évident — c’était quelqu’un qui s’intégrait parfaitement au site, posant une question réfléchie comme un utilisateur régulier.
Je vais essayer de retrouver les anciens spams en interrogeant toutes les éditions effectuées par des utilisateurs de niveau de confiance 0.
Si un seul message était marqué comme non lu, ne se contenterait-il pas d’ajouter le point bleu à côté du message et de faire défiler automatiquement vers celui-ci lorsqu’un utilisateur visite ce sujet ?
Parfois, les gens ont l’impression d’avoir dit quelque chose qu’ils ne voulaient pas dire et ils souhaitent le retirer. Nous vivons dans un monde où tout ce qu’une personne dit peut la suivre pour le reste de sa vie et entraîner des problèmes. Les gens ne sont pas les mêmes personnes tout au long de leur vie, et ils pourraient ne pas vouloir que leur ancien moi (ou simplement un moment de colère) reste en ligne pour toujours. J’ai tendance à ne pas parler aussi librement en ligne dans des endroits où l’édition est limitée.
Je viens de me souvenir qu’il existe un webhook pour les publications déclenché « lors d’une nouvelle réponse, d’une modification, d’une suppression ou d’une récupération ». Je ne l’ai pas encore vérifié, mais si je peux extraire l’action (« modifié ») de l’en-tête, je pourrai écrire un script pour les envoyer vers un tableau de bord externe pour révision manuelle. Cela résoudrait le problème sur mon site.
Si cela dépasse la limite de 30 jours (ou 1 jour, selon votre configuration), ils peuvent le signaler pour suppression.
Vous pourriez trouver le sujet connexe Human-driven copy-paste spam instructif si vous ne le suivez pas encore.
Cette forme de spam ne fonctionne que parce qu’elle est invisible pour les modérateurs et la communauté active. C’est la seule raison pour laquelle cela se produit. Peut-être que toutes les modifications pourraient remonter le fil dans la vue des dernières activités — si le sujet a déjà été lu, cela créerait un lien direct vers le message modifié. Cela résoudrait complètement les deux problèmes (le spam et le contenu initial de copier-coller sans valeur) d’un seul coup.
Encore plus simple (bien que moins efficace), je sais que mes collègues modérateurs et moi-même serions ravis de surveiller une vue spéciale affichant simplement les messages modifiés, triés par leur heure de modification (et éventuellement restreints par niveau de confiance).
Je pense que tu as raison @sam, nous avons besoin de deux paramètres de site ici : un pour les niveaux de confiance (TL) 0 et 1, et un autre pour les niveaux supérieurs. Peux-tu le planifier la semaine prochaine ? Cela devrait être simple.
Je recommande les paramètres suivants pour la fenêtre d’édition autorisée :
- TL0 et TL1 : 1 jour
- Tout le monde à partir de TL2 et plus : 30 jours (paramètre par défaut actuel)