ACM通信

研究突出了

测量和减少勾结网络的OAuth访问令牌滥用

作者:Shehroze Farooqi, Fareed Zaffar, Nektarios Leontiadis, Zubair Shafiq
ACM通信，2020年5月，第63卷第5期，第103-111页
10.1145 / 3387720
评论

我们在Facebook上发现了一个利用串通原则的大规模声誉操纵服务的繁荣生态系统。勾结网络从串通的成员那里收集OAuth访问令牌，并滥用它们向其成员提供虚假的点赞或评论。我们进行了一项全面的测量研究，以了解这些勾结网络如何利用受欢迎的第三方Facebook应用程序与薄弱的安全设置检索OAuth访问令牌。我们使用蜜罐渗透了流行的串通网络，并通过“榨取”这些串通网络识别了超过100万个串通Facebook账户。我们向Facebook披露了我们的发现，并与他们合作实施了一系列对策，以减轻OAuth访问令牌滥用，而不牺牲第三方开发者的应用程序平台可用性。

回到顶部

1.简介

信誉是在线社交网络的基本原则。人们相信一个有信誉的社交媒体账户发布的信息，或被大量账户认可(例如，点赞)的信息。不幸的是，名誉欺诈在在线社交网络中很普遍。许多黑帽声誉操纵服务针对流行的在线社交网络。^13，19为了进行声誉操纵，骗子从地下市场大量购买假账户，²¹使用被恶意软件感染的账户，¹⁸或者招募用户加入勾结网络。²²

在线社交网络试图通过暂停可疑账户来打击其平台上的声誉操纵活动。以往关于检测在线社交网络中声誉操纵活动的研究大致可以分为两类:(一)识别时间同步的操作活动模式^12，16；(b)根据个人账户的社交图特征确定其涉嫌操纵行为。^11，25最近的研究表明，骗子可以通过在他们的活动模式中加入“正常”行为来绕过这些检测方法。^13，23防范欺诈性的声誉操纵是欺诈者和社交网络运营商之间正在进行的军备竞赛。^3.，8

在这篇论文中，我们发现了Facebook上一个繁荣的声誉操纵服务生态系统勾结。在这些串通网络中，成员点赞其他成员的帖子，作为回报，他们自己的帖子也会得到点赞。这种规模巨大的串通网络使成员能够从其他成员那里收到大量的点赞，使他们看起来比实际更受欢迎。不出所料，串通账户很难被发现，因为它们混合了真实和虚假的活动。我们在本文中的目标是了解他们的协调和执行方法，以制定有效和持久的对策。

OAuth访问令牌泄漏。为了了解合谋网络造成的问题的程度，我们分析了流行的Facebook合谋网络。我们发现，串通网络通过利用安全设置薄弱的流行第三方Facebook应用程序进行声誉操纵活动。第三方Facebook应用通过OAuth 2.0获得对用户账户的受限访问，¹⁴这是一个授权框架。当用户使用OAuth 2.0对应用程序进行身份验证时，将出现访问令牌是生成的。串通网络为应用程序收集这些OAuth访问令牌，这些应用程序利用隐式的模式在OAuth 2.0中，通过串通成员的帮助。然后使用这些访问令牌代表这些应用程序和合谋帐户进行活动。通过使用大量的访问令牌，串通网络按需为其成员提供点赞和评论。我们发现流行的串通网络利用了一些流行的Facebook应用程序。然而，我们对前100个Facebook应用程序的分析显示，超过一半的应用程序容易受到串通网络的访问令牌泄露和滥用。尽管先前的研究报告了OAuth及其实现中的几个安全弱点，^6，15，20.我们是第一个报告大规模OAuth访问令牌泄漏和滥用的。由于OAuth 2.0也被许多其他大型服务提供商使用，它们的实现也可能容易受到类似访问令牌泄漏和滥用的影响。

利用蜜罐榨取勾结网络。我们部署了蜜罐，对流行的Facebook串通网络进行了大规模测量研究。具体来说，我们创建了“蜜罐”脸书账户，加入勾结网络，通过在我们“蜜罐”账户的帖子上请求点赞和评论来“榨取”这些账户。然后我们监测和分析我们的蜜罐，以了解串通网络操纵声誉的策略。我们通过串通网络发现了超过100万个独特的串通账户。作为榨取过程的一部分，我们向合谋网络提交了超过11K篇帖子，总共收到了270多万个赞。我们通过追踪点赞我们“蜜罐”账号帖子的独特账号的数量，确定了合谋网络的成员规模。我们估计这些合谋网络的会员人数高达295K。紧随其后的是official-liker.net的233K。串通网络用来检索访问令牌的短url到目前为止已经有超过2.89亿次点击。我们对短网址的分析显示，流行的串通网络每天被成千上万的成员使用。串通网络通过在其访问量很大的网站上展示广告和提供优质的声誉操纵计划来赚钱。

对策。我们向Facebook披露了我们的发现，并与他们合作，以减少这些基于串通的声誉操纵服务。尽管我们确定了广泛的可能的对策，但我们决定实现这些对策，为第三方开发人员在检测访问令牌滥用和应用程序平台可用性之间提供适当的权衡。例如，我们不阻止被串通网络利用的第三方应用程序，因为这将对它们数以百万计的合法用户产生负面影响。我们不禁止OAuth隐式模式，它是为基于浏览器的应用程序优化的，因为它会给第三方开发人员带来与服务器端应用程序管理相关的高昂成本。作为对策的一部分，我们首先引入了速率限制，以减少访问令牌滥用，但勾结网络很快调整了它们的活动，以避免这些速率限制。然后，我们开始使访问令牌失效，这些令牌是我们蜜罐实验的一部分，以减少勾结网络对访问令牌的滥用。我们进一步限制了串通网络使用的IP地址和自治系统(ase)，并将其列入黑名单，以完全停止其操作。

回到顶部

2.OAuth访问令牌滥用

在本节中，我们首先介绍Facebook第三方应用程序生态系统的背景，然后讨论攻击者如何利用这些应用程序滥用其OAuth访问令牌。

2.1.背景

所有主要的在线社交网络都提供社交集成api。这些api用于第三方应用程序开发，如游戏、娱乐、教育、实用程序等。这些应用程序从社交网络获得读/写权限来实现它们的功能。流行的社交网络应用程序拥有数以千万计的活跃用户，并经常代表用户进行读/写操作。

Facebook还为第三方应用程序提供了开发平台。Facebook实现了OAuth 2.0授权框架¹⁴这允许第三方应用程序在不共享身份验证凭证(即用户名和密码)的情况下获得对用户帐户的受限访问。当用户使用OAuth 2.0对应用程序进行身份验证时，将出现访问令牌是生成的。这个访问令牌是一个不透明的字符串，它唯一地标识一个用户并表示一个特定的许可范围授予应用程序以代表用户执行读/写操作。权限范围是应用程序为代表用户执行操作而请求的一组权限。

应用程序可以请求两种类型的权限。第一种基本权限不需要Facebook的批准。它们包括访问个人资料信息、电子邮件地址和朋友列表。第二类敏感权限(例如，publish_actions)需要Facebook的批准。⁴这些权限允许第三方应用程序代表用户执行某些操作，例如，发布状态更新，生成点赞和评论。

访问令牌在修复后失效过期时间。根据到期时间的不同，它们可以分为短期和长期。Facebook发行有效期为1-2小时的短期访问令牌和有效期约为2个月的长期访问令牌。

OAuth 2.0¹⁴提供两个工作流来生成访问令牌:客户端流(也称为隐式模式)和服务器端流(也称为授权代码模式）.^一个这两个工作流都是类似的，请求参数的更改很少，服务器端流中有一些额外的步骤。图1演示了用于为客户端和服务器端授权生成访问令牌的Facebook应用程序的OAuth 2.0工作流。

图1。Facebook应用的工作流程。

• 该流程是通过点击登录按钮将用户引导到Facebook的授权服务器来启动的。对授权服务器的请求包括应用程序ID、重定向URI、响应类型和权限范围。应用程序ID是分配给每个Facebook应用程序的唯一标识符。重定向URI在应用程序设置中配置。将响应类型设置为“令牌”以返回客户端流中的访问令牌，并将响应类型设置为“代码”以返回服务器端流中的授权代码。
• Facebook的授权服务器验证请求，并提示用户授权应用程序并在浏览器中授予权限。用户授权应用程序，并将请求的权限授予应用程序。
• Facebook将用户重定向到重定向URI以及URL片段中的访问令牌或授权代码。对于客户端流，在响应中返回一个访问令牌，该令牌由终止客户端流的应用程序检索和存储。对于服务器端流，将在响应中返回授权代码，并需要执行以下附加步骤。
• 通过应用程序的服务器请求Facebook的授权服务器，将授权代码交换为访问令牌。⁵该请求包括应用程序ID、重定向URI、授权码和应用程序秘密。使用应用程序秘密对交换访问令牌的授权代码的请求进行身份验证。

然后，应用程序使用访问令牌代表用户执行Facebook Graph API请求。对于每个请求，应用程序通常需要传递应用程序ID、应用程序秘密和相应的访问令牌。正如我们接下来讨论的，应用程序机密可能不是发出这些请求的强制要求。

2.2.识别敏感的应用程序

应用程序根据其访问令牌使用场景选择合适的OAuth流。服务器端流在设计上比客户端流更安全，因为它们不在浏览器上公开访问令牌。Facebook提供了从应用程序设置中禁用客户端流的选项。Facebook建议第三方应用程序在不使用客户端流时禁用客户端流。⁴客户端流通常由只从客户端调用Facebook Graph API的应用程序所允许。例如，客户端流由基于浏览器的应用程序使用，这些应用程序不能在客户端代码中包含应用程序机密。事实上，一些客户端应用程序可能根本没有应用服务器，只使用JavaScript从浏览器执行Graph API请求。如果应用程序机密是必需的，应用程序将不得不在客户端流中公开其应用程序机密。值得注意的是，应用程序秘密被视为密码，因此它不应该嵌入到客户端代码中。

先前的工作表明，攻击者可以通过利用OAuth协议及其实现中的安全弱点来检索访问令牌。^6，15，20.使用客户端流且不需要应用程序保密的Facebook应用程序容易受到访问令牌泄漏和滥用的影响。例如，攻击者可以通过窃听来检索客户端流中的访问令牌，^20.跨站点脚本,^17，20.或者社会工程技术。¹⁰根据其授权的资源，泄漏的访问令牌会产生严重的安全和隐私影响。攻击者可以滥用泄露的访问令牌来检索用户的个人信息。攻击者还可以滥用泄漏的访问令牌进行恶意活动，如传播垃圾邮件/恶意软件。

我们实现了一个Facebook应用程序扫描工具，以识别易受访问令牌泄漏和滥用影响的应用程序。我们的工具使用Selenium和用于Python的Facebook SDK来启动应用程序的登录URL，并将应用程序安装到具有完整权限的测试Facebook帐户上。我们首先通过监视Facebook登录流期间的重定向来推断应用程序使用的OAuth重定向URI。使用OAuth重定向URI，我们将应用程序安装在测试Facebook帐户上，使用应用程序最初获得的权限。如果成功安装了应用程序，我们将在客户端从应用程序的登录URL检索访问令牌。使用访问令牌，我们调用一个API来检索测试Facebook帐户的公共配置信息，并喜欢一个测试Facebook帖子。如果我们能够成功地执行这些操作，我们就可以得出结论，应用程序可以利用泄漏的访问令牌进行信誉操纵。

我们使用扫描工具分析了排名前100的第三方Facebook应用。我们的工具确定了55个易受影响的应用程序，其中46个应用程序颁发了短期访问令牌，9个应用程序颁发了长期访问令牌。短期访问令牌造成的威胁有限，因为它们需要在每1-2小时后刷新一次。另一方面，长期访问令牌为攻击者提供了2个月长的时间窗口。发布了长期访问令牌的排名最高的易受影响应用有大约5000万的月活跃用户。事实上，许多这些易受影响的应用程序有数百万的月活跃用户，这可以掩盖攻击者对访问令牌的滥用。

回到顶部

3.勾结网络

许多声誉操纵服务根据共谋原则向Facebook用户提供点赞和评论:用户点赞其他用户的帖子，作为回报，其他用户也会点赞。如前所述，这些串通网络利用安全设置较弱的Facebook应用程序。规模巨大的串通网络可以使成员提升自己的声誉，使他们看起来比实际更受欢迎。

我们首先通过搜索引擎查询相关的关键词，如“Facebook AutoLiker”、“Status Liker”和“Page Liker”，来调查Facebook合谋网络的现状，这些关键词都是在一些著名的合谋网络网站上找到的。我们列出了50个这样的网站，并使用了Alexa Rank，^b这是一个衡量网站受欢迎程度的指标，以入围受欢迎的串通网络。值得注意的是，前8个串通网络的排名都在前10万以内。例如,hublaa。me的排名在8K左右，18%的访问者来自印度，在印度排名前3K。有趣的是，其他合谋网络的大部分流量也来自印度、埃及、土耳其和越南等国家。

我们调查了流行的串通网络，以了解他们提供的功能，并确定他们利用的Facebook应用程序。串通网络要求用户安装Facebook应用程序，并在其网站的文本框中提交生成的访问令牌。安装链接将用户重定向到一个提到应用程序名称的Facebook对话框。表1列出了流行的串通网络使用的应用程序，以及从Facebook Graph API检索到的统计数据。使用我们的工具，我们验证了这些Facebook应用程序使用客户端流，并且不需要应用程序机密来进行Graph API调用。我们观察到,HTC Sense(游戏邦注:该平台被一些流行的串通网络所使用)排名第40位，日活跃用户(DAU)达到100万。诺基亚账户排名第249位，日活跃用户约10万。同样的,索尼Xperia智能手机排名第886位，日活跃用户约1万。值得注意的是，串通网络不能创建和使用自己的应用程序，因为它们无法通过Facebook对需要写权限的应用程序的严格手动审查过程。¹然而，串通网络可以(有时也确实如此)在易受访问令牌泄漏和滥用影响的现有合法应用程序之间切换。

表1。流行的串通网络使用的Facebook应用程序。

大多数串通网络都有类似的web界面，它们都提供相当相似的用户体验。图2说明了Facebook合谋网络的工作流程。

图2。Facebook串通网络的工作流程。

• 用户访问合谋网络的网站，点击按钮安装应用程序。该网站将用户重定向到应用程序授权对话框URL。要求用户授予所请求的权限并安装应用程序。
• 用户在安装应用程序后返回合谋网络网站，并单击按钮检索访问令牌。该网站再次将用户重定向到Facebook授权对话框的URL查看源代码附加。授权对话框将用户重定向到一个页面，该页面以URL中的查询字符串的形式包含访问令牌。的使用查看源代码停止授权对话框进行进一步重定向。用户从地址栏手动复制接入令牌，并在合谋网网站的文本框中提交。
• 勾结网络保存访问令牌，并将用户重定向到一个管理面板，在那里用户可以请求点赞和评论。一些串通网络要求用户解决验证码和/或让用户观看广告，然后才允许他们请求点赞和评论。

回到顶部

4.测量勾结网络

蜜罐已被证明是研究在线社交网络声誉操纵的有效工具。^13，24蜜罐的基本原理是引诱和欺骗欺诈者监视他们的活动。为了调查Facebook勾结网络的运作和规模，我们部署了蜜罐来“榨取”它们。

我们创建了新的Facebook蜜罐账户，并使用第3节中描述的工作流加入了不同的串通网络。我们的蜜罐账户定期发布状态更新，并要求勾结网络在这些帖子上提供点赞/评论。在我们向串通网络提交请求后不久，我们注意到串通网络中的大量Facebook账户突然大量点赞和评论。由于重复的请求导致来自许多独特的Facebook账户的点赞/评论，我们可以通过发出大量声誉操纵请求来发现串通网络的成员。我们的目标是通过追踪其Facebook成员账户来估计串通网络的规模。我们还想了解勾结网络使用的策略，以躲在雷达之下，避免被发现。

4.1.实验设计

我们注册了22个新的Facebook账户，打算用作研究流行的串通网络的活跃蜜罐。每个蜜罐账户都加入了不同的串通网络。为了积极参与串通网络，我们的蜜罐账户定期在他们的时间线上发布状态更新，并要求串通网络提供点赞/评论。完全自动化这一过程具有挑战性，因为串通网络采用了几种策略来避免自动化。例如，一些串通网络在两个连续请求之间施加固定或随机的延迟。许多串通网络通过各种重定向服务重定向用户，然后才允许提交请求。一些串通网络要求用户在登录和发出每个请求之前都要解决一个验证码。为了完全自动化我们的蜜罐，我们使用了CAPTCHA解决服务²自动解决验证码和硒提交请求到合谋网络。从2015年11月到2016年2月，在大约3个月的时间里，我们不断发布状态更新，并要求勾结网络提供点赞/评论。

4.2.数据收集

我们经常爬上我们的“蜜罐”Facebook账户的时间线，记录勾结网络提供的点赞和评论。在一个“蜜罐”账号上点赞或评论的Facebook账号的数量是对这个串通网络规模的估计。注意，我们的成员估计严格来说是一个下界，因为我们可能没有观察到所有的串通网络帐户，它们是从一个大的访问令牌池中随机挑选的。我们还抓取了蜜罐账户的活动日志，以收集外向的点赞和评论。

4.3.勾结网络的规模

挤奶勾结网络。我们从我们的蜜罐账户发布状态更新，并请求勾结网络在帖子上提供点赞。图3绘制由我们的蜜罐为代表大多数串通网络的行为的串通网络所榨取的点赞和唯一帐户的累积分布。我们观察到，尽管新的like数量保持不变，但新的唯一账户数量稳步下降。这种下降代表着收益的递减，因为喜欢我们“蜜罐”账户帖子的用户不断重复。具体来说，由于从访问令牌数据库中随机抽样用户，当我们发布更多蜜罐帐户的状态更新时，用户重复的可能性会增加。重要的是，我们要尽可能多地榨取勾结网络，以准确估计其成员规模。尽管我们能够最大化许多合谋网络，但我们面临一些合谋网络的问题。例如，djliker.com和monkeyliker.com每天限制10个请求，因此我们无法充分发挥这些串通网络。此外，arabfblike.com和其他一些串通网络也因未能回应我们的点赞请求而遭受间歇性中断。那些点赞我们蜜罐账户帖子的独特账户是串通网络成员。表2表明hublaa的合谋网络成员规模在295K之间变化。我给834打快速liker.com。我们注意到hublaa。me的会员数量最多，有295000个，其次是office-liker.net和m-likers.com，分别有233K和178K。在我们的研究中，所有勾结网络的成员规模合计为1,150,782人。正如我们稍后讨论的，一些账户是多个勾结网络的一部分。在消除这些重复后，所有勾结网络的唯一账户总数为1,008,021个。

图3。累积分布的点赞和独特的帐户。

表2。所有合谋网络收集数据的统计。

4.4.勾结网络活动

传入的活动。表2总结统计数据收集的不同勾结网络使用我们的蜜罐帐户。我们总共向合谋网络提交了超过11K篇帖子，获得了270多万个赞。所示图3，我们观察到，状态更新通常每个请求收到固定数量的点赞，在不同的串通网络中，点赞数在14到390之间。例如，offical -liker.net、f8-autoliker.com和myliker.com分别为每个请求提供大约400、250和100个点赞。

即将离任的活动。勾结网络还利用我们的蜜罐账户对其他Facebook账户和页面进行声誉操纵活动。总的来说，我们的蜜罐账户被合谋网络使用，点赞了16K个账户的超过33K个帖子。我们观察到，一些勾结网络使用我们的蜜罐的频率高于其他网络。例如,autolike。vn使用我们的蜜罐账号为1.3万个账号的帖子提供了最多2.8万个点赞。

回到顶部

5.对策

伦理方面的考虑。在进行任何实验之前，我们收到了当地机构审查委员会(IRB)的正式审查，因为我们收集了一些公开的账户信息，如帖子和点赞。我们实施了一些机制来保护用户隐私。例如，我们没有存储任何个人身份信息。我们意识到，我们的蜜罐账户被勾结网络用来进行一些声誉操纵活动。我们认为，这些活动只代表了串通网络的整体声誉操纵活动的一小部分。因此，我们不认为我们的蜜罐实验会显著影响正常的用户活动。我们的“蜜罐”方法在检测串通网络账户方面的好处，远远超过了它对普通Facebook用户的潜在危害。为了进一步减少伤害，正如接下来将要讨论的，我们向Facebook披露了我们的发现，以在我们的测量中删除所有声誉操纵的工件，并研究减少勾结网络活动的对策。

在与Facebook合作实施任何对策之前，我们进行了大约10天的蜜罐实验，以建立勾结网络活动的基线。从2016年8月开始(一直持续到2016年10月中旬)，我们对流行的串通网络重复了蜜罐挤奶实验。图4显示了两个受欢迎的串通网络的蜜罐收到的平均点赞数。由于篇幅限制，我们没有显示其他合谋网络的结果。在接下来的讨论中，虽然我们考虑了广泛的对策，但我们决定实现为第三方开发人员在检测访问令牌滥用和应用程序平台可用性之间提供适当权衡的对策。

图4。我们的对策对两个流行的串通网络的影响。我们观察到串通网络活动不受访问令牌率限制降低的影响。虽然访问令牌失效显著减少了串通网络活动，但并不能完全阻止串通网络活动。基于集群的访问令牌失效也没有帮助。我们的IP速率限制有效地抵制了大多数使用少数IP地址的合谋网络。我们的目标是使用大量IP地址池的合谋网络的自治系统(ase)。

我们观察到勾结网络利用了一些应用程序(列在表1)进行声誉操纵活动。因此，我们可以通过暂停这些应用程序来立即中断所有的串通网络。由于串通网络可以在其他几个易受影响的应用程序之间切换，我们也需要暂停它们。暂停这些应用程序是一种相对简单的对策;然而，这将对他们数以百万计的合法用户产生负面影响。我们还可以改变Facebook的应用流程，以阻止串通网络滥用访问令牌。例如，对于需要点赞/注释的活动，我们可以强制应用程序保密(从而强制服务器端操作)publish_actions权限。^4，7由于这一限制，串通网络将不能进行声誉操纵活动，即使他们从串通用户检索访问令牌。然而，许多Facebook应用程序完全依赖于客户端操作来实现跨平台互操作性，并减少第三方开发者在服务器端应用程序管理方面的成本。^4，14因此，强制应用程序保密将对这些Facebook应用程序的合法用例产生不利影响。

5.1.访问令牌速率限制

作为第一个对策，我们对访问令牌施加限制，以减少勾结网络的滥用。Facebook采用收费限制来限制访问ken的用户进行过度活动。由于串通网络活动在当前速率限制下下滑，我们在第12天将速率限制降低了超过一个数量级(如图中绿色圆圈所示)图4．我们观察到官方liker.net最初的活动急剧减少。具体来说，官方liker.net提供的平均点赞数在第16天从400多个下降到不到200个。然而，官方liker.net在大约1周后开始反弹。此外，这一对策并没有影响hublaa.me。我们推测，这两个串通网络都有一个巨大的访问令牌池，这限制了重复使用它们的需要。因此，这些串通网络能够保持在降低的访问令牌速率限制下，同时保持其高活动水平。我们没有进一步降低比率限制，以避免潜在的假阳性。

5.2.基于蜜罐的访问令牌失效

接下来，我们将串通账户的访问令牌失效，这些账户被识别为我们蜜罐实验的一部分。在最初的22天里，我们为hublaa榨取了283K和41K用户的访问令牌。我和offical -liker.net。我们期望这些访问令牌的失效将抑制串通网络活动。为此，我们在第23天将随机抽样的50%的挤奶访问令牌无效，该令牌由一个黑色的叉标记图4．我们观察到勾结网络活动急剧减少。具体来说，hublaa提供的平均点赞数。“我”从320人减少到250人，“official-liker.net”从350人减少到275人。不幸的是，这种下降并不是永久性的，在接下来的几天里，平均点赞数再次逐渐增加。我们推测，勾结网络逐渐用来自新用户和返回用户的新访问令牌补充其访问令牌池。

为了缓解这一问题，我们接下来将直到第28天观察到的所有访问令牌失效(用红色叉标记)，并开始每天对50%新观察到的访问令牌失效(用橙色叉标记)。我们观察到两种hublaa的急剧下降。我和official-liker.net在第28天把所有的访问令牌都作废了。然而，hublaa的平均点赞。我开始反弹，在接下来的几天里，官方liker.net网站上的数字稳定在100。我们怀疑来自新用户和返回用户的新访问令牌的速率超过了每日访问令牌失效的速率。这是因为我们的“蜜罐”每天都有为数不多的不同的新串通账户。

为了提高我们的访问令牌失效率，从第36天开始，我们开始每天失效所有新观察到的访问令牌，用蓝色叉标记图4．我们观察到hublaa的平均点赞量稳步下降。从第36天到第44天。hublaa。Me的网站在第45天被暂时关闭。该网站在第51天恢复运营，平均点赞数下降到120个。尽管我们每天的访问令牌都失效了，官方的liker.net仍然保持了110到192个点赞。尽管常规的访问令牌失效抑制了串通网络活动，但我们得出的结论是，它不能完全阻止串通网络活动，因为蜜罐挤奶法只能识别所有新加入用户的一个子集。因此，我们决定不再进一步进行常规访问令牌失效。

5.3.时间聚类

共谋网络在不到1分钟的时间内为提交的帖子提供点赞。这种“喜欢”活动的爆发可以被时间聚类算法检测到^12，16它被设计用来检测在一段持续时间内几乎同一时间内行为相似的账户。从第55天开始，用青色方块标出图4，我们使用SynchoTrap¹²群集同步访问令牌滥用勾结网络帐户。令人惊讶的是，我们没有观察到任何对勾结网络活动的重大影响。我们的深入分析表明，串通网络通过(1)使用一组不同的账户来点赞目标帖子，(2)随着时间的推移，分散每个访问令牌执行的点赞活动，从而避免了检测。图5说明不同的账号点赞了我们蜜罐账号的帖子。我们注意到有76和30%的账号最多点赞了hublaa的一个帖子。我和offical -liker.net。图6说明勾结网络并没有在短时间内大量使用我们的蜜罐账户。我们注意到，我们的蜜罐账户每小时平均点赞数在5到10之间。因此，在一段持续的时间内，串通网络账户并没有在大约同一时间表现出类似的行为。

图5。勾结网络账号点赞的蜜罐帖子的数量。我们观察到，有一小部分勾结的网络账号喜欢贴多个蜜罐。

图6。我们的蜜罐账户每小时点赞数量的时间序列。我们观察到，随着时间的推移，串通网络将我们的蜜罐账户执行的点赞活动分散开来。

图7。hublaa的Facebook Graph API请求的源IP地址和ase。我和官方liker.net喜欢我们蜜罐账户的帖子。

5.4.基于IP和as的限制

我们下一步的目标是勾结网络的起源，以进一步减轻他们的活动。为此，我们追踪了Facebook Graph API请求点赞的源IP地址。图7 (a)显示了这些IP地址的散点图，其中x轴表示IP地址在我们的反措施中被观察到的天数，y轴表示每个IP地址产生的点赞总数。值得注意的是，官方liker.net的绝大多数点赞都是由几个IP地址获得的。因此，从第46天开始，我们对类似请求设置了每日和每周IP速率限制。注意，这个速率限制不会影响普通用户的活动(例如，通过商品网页浏览器定期访问Facebook)，因为这个IP速率限制只适用于Facebook Graph API使用访问令牌的like请求。图4显示官方liker.net在我们施加IP速率限制后立即停止了工作。虽然没有显示在图4由于空间的限制，其他流行的串通网络在表2也在第63天停止了工作。唯一的例外是hublaa。该公司使用了超过6000个IP地址的大池，并绕过了IP速率限制。进一步分析图7 (b)揭示了所有的hublaa。me的IP地址属于防弹主机提供商的两个不同的自治系统(ase)。⁹在第70天，我们开始阻止来自这些易受影响的应用程序的点赞请求，这有助于停止来自hublaa.me的所有点赞。请注意，我们针对一小组易受AS影响的应用程序进行了阻塞，以减少对其他应用程序的附带损害的风险。

5.5.限制

首先，我们的反制措施不应造成附带损害，同时对勾结网络的逃避企图要有力。到目前为止，我们还没有收到来自热门第三方开发者的任何附带损害投诉。因此，我们得出结论，我们的对策不会导致显著的假阳性。其次，我们的应对措施需要强大，以应对勾结网络可能的逃避企图。事实证明，我们的对策已经持续了几个月。在未来，勾结网络可以尝试通过几种方式逃避我们的反制措施。例如，串通网络可以使用许多不同的IP地址和as(例如，使用僵尸网络和代理)来绕过我们基于IP和as的对抗措施。如果这种情况发生，我们可以再次使用蜜罐快速识别勾结网络使用的IP地址和ase。第三，勾结网络可能会试图找出我们用来渗透的蜜罐账户。例如，勾结网络可以尝试检测我们的蜜罐账户，目前非常频繁的点赞/评论请求。 To circumvent such detection, we can create multiple honeypot accounts to decrease the frequency of per-account like/comment requests.

回到顶部

6.结论

我们对Facebook上基于串谋的声誉操纵服务进行了全面的度量研究。我们的研究结果提出了许多问题，这些问题将推动未来的研究。首先，我们希望调查实现OAuth 2.0的其他流行在线服务上潜在的访问令牌泄漏和滥用。例如，YouTube、Instagram和SoundCloud实现了OAuth 2.0来支持第三方应用程序。其次，除了信誉操纵之外，攻击者还可以使用泄漏的访问令牌发起其他严重的攻击。例如，攻击者可以窃取勾结网络成员的个人信息，并利用他们的社交关系传播恶意软件。我们还计划调查其他可能的袭击。第三，尽管我们的简单对策现在已经有效了6个多月，共谋网络可能会在未来开始使用更复杂的方法来逃避它们。我们计划研究更复杂的基于机器学习的方法，以健壮地检测访问令牌滥用。我们也有兴趣开发方法来发现和消除串通网络成员的声誉操纵活动。 Finally, a deeper investigation into the economic aspects of collusion networks may reveal operational insights that can be leveraged to limit their financial incentives.

回到顶部

致谢

这项工作得到了美国国家科学基金会的部分支持，资助号为CNS-1715152，并得到了Facebook的不受限制的捐赠。

回到顶部

回到顶部

回到顶部

数字图书馆是由计算机协会出版的。版权所有©2020 ACM, Inc.

---

没有发现记录