在现代社交网络时代,经常鼓励用户在文章和博客文章上发表评论,但并非所有评论都是相同的。一类称为“评论垃圾邮件”的评论可能导致用户和网站的利用。安全公司Imperva的最新报告揭示了如何构建和执行垃圾评论。与常规评论相反,垃圾评论的目的是嵌入链接或未经请求的广告。
评论垃圾邮件的主要目的之一不是直接利用用户,而是帮助改善垃圾邮件发送者的搜索引擎优化(SEO)。通过从网站获得更多反向链接,理论是给定站点将能够改善其SEO定位。
Imperva发现,所有评论垃圾邮件流量的80%仅由28%的攻击者生成。
Imperva安全策略主管Barry Shteiman告诉eWEEK: “看到少数攻击者实际上产生了大部分垃圾评论,这表明我们可以分析垃圾信息发送者的行为,然后采取行动。”
通过了解垃圾评论发送者是谁,可以通过IP地址位置和信誉阻止有问题的评论。该报告还发现垃圾评论操作中存在高度自动化。
Shteiman说,一旦垃圾邮件发送者成功在网站上植入评论垃圾邮件,通常评论垃圾邮件流量就会激增。他解释说:“某些自动化程度更高的评论垃圾邮件工具可能会成功攻击某个网站,并将该网站添加到其垃圾邮件站点列表中,以便其他人也可以使用它。”
评论垃圾邮件发送者使用多种工具来自动化其活动。其中之一是G-Lock博客查找器,用于帮助查找和标识要评论的博客。还有一些自动工具,例如Comment Blaster,用于编写实际使用的评论。
许多站点都使用评论验证工具,包括用于区分计算机和人类的验证码验证。Imperva报告指出,垃圾评论发送者也具有应对验证码挑战的工具。
诸如ScrapeBox和Gscraper之类的垃圾评论垃圾邮件工具提供了一套全面的功能来查找,放置和监视评论。
Shteiman说,评论垃圾邮件是一个严重的商业问题,并且正在迅速发展。什蒂曼说:“在真正的大型社区网站(例如YouTube)上可以看到一个很好的例子,” “垃圾评论对他们来说是一个很大的问题,他们决定要求用户登录Google帐户后才能发表评论。”
YouTube发现,对用户进行身份验证的麻烦(可能会因此减少评论)对于处理垃圾评论至关重要。
尽管评论垃圾邮件不一定是被利用用户的直接途径,但确实会带来许多风险。
“如果一个网站容易受到垃圾邮件的侵扰,而垃圾邮件本质上是一些文本和链接,那么攻击者开始链接到恶意软件并使用垃圾评论矢量将主要站点用于水坑攻击之前,需要多长时间?” Shteiman说。“实际上,过去已经有这些攻击的实例。