Dan Woods, ex agente CIA addetto alle operazioni informatiche ed esperto del traffico bot, spiega perché è plausibile che oltre l’80% degli account di Twitter siano fake – e il caso Twitter non è isolato!
Sono sicuro che abbiate già sentito parlare della sofferta acquisizione e della controversia legale in corso tra Twitter, un’azienda che non cercava di essere acquisita, ed Elon Musk, che ha ritirato la sua offerta di acquisto del social network.
Al centro di questo conflitto troneggia il tema del traffico di bot, che conosco bene. Negli ultimi sei anni, ho guidato un team di data scientist nell’analisi delle interazioni web per identificare i bot, le applicazioni a cui si rivolgono e i loro obiettivi.
In media, ogni giorno, circa 2 miliardi di transazioni vengono analizzate dall’infrastruttura di Bot Defense di F5. Ed è il nostro compito informare centinaia di aziende, che operano in tutti i settori, di quale sia il loro traffico bot.
Sulla base di questa esperienza posso affermare che il traffico di bot di Twitter è quasi certamente molto più consistente di quanto è stato pubblicamente dichiarato, anzi, forse è maggiore persino di quanto si creda internamente all’azienda. In tutta onestà, credo che la situazione sia probabilmente simile a quella di tutte le organizzazioni che, pur essendo bersaglio di bot dannosi o indesiderati, non utilizzano le migliori tecnologie per eliminarli.
Di seguito desidero quindi condividere ciò che abbiamo imparato sui bot negli ultimi anni, per spiegare come, tutto sommato, sia stato così facile arrivare a questa conclusione.
I bot hanno sempre un obiettivo
Un’organizzazione che consente ai clienti di accedere agli account online sa bene quanto l’automazione venga spesso utilizzata contro l’applicazione di login per tentare qualsiasi tipo di frode. Ad esempio, un’organizzazione che offre prodotti con sconti speciali online vedrà i cybercriminali sfruttare l’automazione per estrarre informazioni su tariffe e prezzi di rivendita. Ci sono decine di esempi come questo.
Nel caso di Twitter, un incentivo fondamentale ai fake è l’acquisizione di follower. Oggi si pensa che più follower si hanno, più interessante è il profilo e i suoi tweet, e, in effetti, gli account con il maggior numero di follower tendono a essere i più influenti.
L’obiettivo di amplificare l’influenza degli account è il punto chiave che fa sì che questo modello possa diventare interessante anche per il cybercrime. Immaginate la risonanza che si potrebbe ottenere attraverso il controllo automatizzato di milioni di account Twitter che interagiscono con gli account, reali, di personaggi pubblici e privati cittadini. È probabile che questo attragga attori nazionali altamente motivati e dotati di risorse virtualmente illimitate.
Se c’è una motivazione e ci sono i mezzi, ci saranno inevitabilmente più bot
Ciò detto, non solo c’è un enorme incentivo ad applicare questo modello a Twitter, ma esistono anche i mezzi per realizzarlo. Su Internet sono disponibili innumerevoli servizi (in particolare nei mercati del dark/deep web) che offrono account Twitter, follower, like e retweet a pagamento.
A scopo di ricerca, ho provato questi servizi su un account Twitter da me creato. Per meno di 1.000 dollari, il mio account oggi conta quasi 100.000 follower. Una volta ho voluto twittare una completa idiozia pagando i follower perché la ritwittassero. Lo hanno fatto da account con nomi come “TY19038461038”, e seguono anche molti altri account.
Ho iniziato dunque a chiedermi quanto sarebbe stato facile creare un account Twitter utilizzando l’automazione. Non sono un programmatore, ma ho cercato qualche framework di automazione su YouTube e Stack Overflow, e ho scoperto che è tutto sommato facile.
Procedendo con i miei test, ho scritto uno script, per nulla sofisticato, in grado di creare automaticamente un account Twitter, che non è stato bloccato da alcuna contromisura. Non ho cercato di cambiare il mio indirizzo IP o il mio user agent, né ho fatto nulla per nascondere le mie attività.
Se è così facile realizzare tutto questo per una persona con competenze limitate, immaginate quanto sia facile per un’organizzazione di individui altamente qualificati e motivati!
Le aziende spesso sottovalutano le dimensioni del problema
Qualche anno fa, un sito di social network statunitense ha adottato la soluzione di Bot Defense di F5 e ha scoperto che il 99% del proprio traffico di login era automatizzato: avete letto bene, il 99%.
In effetti, abbiamo riscontrato che in molte applicazioni l’80-99% del traffico è automatizzato e non si tratta di casi isolati, ma è comune a molte organizzazioni (retailer, istituti finanziari, telco e fast food, per citarne alcuni).
Per l’azienda è stata una notizia inaspettata quanto devastante. Sapevano di avere un problema di bot, ma non avrebbero mai immaginato che fosse di questa entità. Solo una minima parte degli account dei clienti era costituita da veri clienti umani!
Per le aziende di social network, il numero di utenti attivi giornalieri (DAU), che è un sottoinsieme di tutti gli account, è un dato molto importante; scoprire che questo numero rappresentava in realtà una minima frazione dei DAU reali ha fatto crollare il valore dell’azienda in borsa in modo significativo.
Le aziende che traggono vantaggio dai bot non sempre vogliono sapere la verità
Forse sarebbe stato meglio per i suoi azionisti se l’organizzazione non avesse mai appreso la verità e si fosse limitata ad affermare che il problema bot era inferiore al 5%.
Una problematica che non si applica solo ai siti di social network, la cui valutazione è determinata dal numero di utenti attivi giornalieri, ma anche ad aziende che vendono, ad esempio, prodotti e servizi ad alta domanda con scorte limitate, come biglietti per concerti, sneakers, borse firmate o smartphone.
Quando questi prodotti si esauriscono in pochi minuti a causa dei bot, per poi essere rivenduti su un mercato secondario a prezzi decisamente gonfiati, i clienti ne sono parecchio infastiditi. Eppure, l’azienda continua a vendere rapidamente l’intero inventario. In alcuni di questi casi, un’azienda potrebbe dare l’impressione di fare tutto il possibile per fermare i bot ma decidere che in realtà è più conveniente fare finta di nulla.
Non si tratta solo di Twitter
Considerando il volume e la velocità raggiunti dalle tecnologie di automazione, la sofisticazione dei bot per cogliere nuove opportunità di profitto e la relativa mancanza di contromisure che ho riscontrato nella mia ricerca, posso giungere a una sola conclusione: con ogni probabilità, più dell’80% degli account Twitter sono in realtà bot.
Ovviamente si tratta di una mia opinione e sono certo che Twitter stia cercando di prevenire l’automazione indesiderata sulla sua piattaforma, come ogni azienda. Ma è probabile che abbia a che fare con strumenti di automazione altamente sofisticati sfruttati da attori estremamente motivati. In queste circostanze, la bonifica dei bot non avviene in modo immediato con un progetto fai-da-te, ma richiede strumenti altrettanto sofisticati.
Tuttavia, la posta in gioco è decisamente più alta: il problema dei bot ha una dimensione ancora più ampia rispetto a qualsiasi introito pubblicitario, prezzo delle azioni o valutazione dell’azienda, perché rappresenta una minaccia al fondamento stesso del nostro mondo digitale.
Acconsentire alla proliferazione dei bot porta inevitabilmente a una serie massiccia di frodi che costano miliardi. Senza mezzi termini, lasciando che accada tutto questo si rovina la vita delle persone e si forniscono strumenti a nazioni e organizzazioni criminali per diffondere disinformazione, creare conflitti e persino influenzare i processi politici. Un maggior numero di frodi, una disinformazione sempre più diffusa e più conflitti hanno un impatto sulla capacità di comunicare e relazionarci in tutto il mondo.
Se la nostra società non vuole rinunciare alle comodità, alla conoscenza, all’intrattenimento e a tutti gli altri vantaggi di Internet e di un mondo connesso e mobile, dobbiamo impegnarci per combattere il traffico automatizzato online e i bot. L’unico modo per vincere la battaglia è rispondere con un’automazione altamente sofisticata.