Как оградить аккаунт ВК от спамеров

Скорее всего, слово «спам» Вам знакомо, и Вы его уже слышали не один раз. Но давайте разберемся, что означает это слово. Это вид рекламы, которая приходит Вам не по Вашему запросу, навязчиво. Поэтому его никто не любит. Мы и так постоянно видим в Интернете огромное количество рекламы, а когда ее еще и отправляют нам хитрыми путями, это раздражает еще больше.

Сообщения такого рода приходят в самые неожиданные моменты. Сегодня Вы узнаете, что такое спам ВК и как его можно убрать.

Например, Вы сидите ВКонтакте, и в личном сообщении Вам приходит реклама с эротическим уклоном. Это и есть спам. В соцсети очень много нежелательных сообщений, а особенно, скрытого. Спам отправляется автоматически, а разработкой программ для рассылки и созданием фейков занимаются специалисты в этой области.

Как избавиться от спама

Чтобы оградить себя от происков спамеров, необходимо вести себя аккуратно на просторах интернета в будущем. Если вы уже стали жертвой рекламных рассылок, прямо сейчас вы можете выполнить следующие действия:

Результаты спам рассылки вконтакте | Как сделать спам рассылку вконтакте через программу QuickSender

• Просканируйте компьютер на наличие вирусов. Вы можете использовать бесплатные лечащие утилиты, например Dr. Web.

• Установите ограничения в настройках приватности ВК для посторонних пользователей. Вы можете запретить присылать вам личные сообщения, приглашать в группы и даже сделать полностью закрытый профиль.

• Подключите подтверждение входа на vk.com с помощью смс-сообщения.

• Поменяйте пароль на более сложный и храните его в надежном месте. Инструкцию по установке максимально защищенного кода можно найти в статье, «Какой можно придумать пароль для ВК».

Рекомендуем: Как отправить сообщение самому себе ВК

Как спамить правильно, чтобы не улететь в бан и добиться нужного результата?

Чтобы рассылка в вкне воспринималась сетью как спам, нужно соблюсти некоторые правила:

• Потребуется создание нескольких десятков аккаунтов, но они должны быть настоящими. В каждый придется внести разные данные и номера телефонов, но это станет гарантией, что администраторы не будут прибегать к блокировке. Можно купить взломанные страницы, а также пользоваться прокси. Иначе десяток аккаунтов с одного ip-адреса будут выглядеть подозрительно.
• Чтобы продлить жизнь страничек, нужно выполнять все те действия, что каждодневно делают обычные пользователи ― просматривать ленту, лайкать посты, комментировать. А просто механическая отправка сообщений, особенно при помощи спам бота в вк-алгоритмах может стать причиной блокировки.
• Для целевой рассылки лучше работать с подписчиками определенных групп по интересам.
• Настырность станет поводом для бана. Одного сообщения без ответа достаточно, чтоб оставить человека в покое. В группах нужно размещать 2-3 активных ссылки под несколькими последними постами.
• Шаблоны должны стать табу. Одинаковые сообщения сразу вызовут подозрения.

Хотя ВКонтакте не ограничивает своих пользователей в количестве отправленных сообщений в день, но все-таки администраторы отслеживают и берут на заметку страницы, рассылающие более сотни посланий.

Схематозы # Спам вк для богов 2020!

Универсальный мега-классификатор

Вы можете спросить — а почему бы не сделать сразу большую классную систему с MachineLearning, нейросетями и деревьями решений, которая будет получать на вход всю информацию о пользователях и выдавать просто 0 или 1 — человек спамер или нет.

Пытаясь создать одну универсальную модель, очень легко прийти к ситуации, когда перед нами окажется черный ящик, который сложно контролировать. В нем хорошее от плохого не отделено, система сама от себя никак не изолирована, и от ошибок защищена только ручной проверкой и косвенными метрикам. К тому же на большом объёме данных собрать всю информацию и статистику, чтобы подать мега-системе на вход, достаточно сложно.

Более того, все известные системы машинного обучения представляют собой не одну модель — это десяток моделей. Любой голосовой помощник или система распознавания лиц — это несколько моделей, соединенных в одну очень сложную систему.

В итоге нам стало понятно, что гораздо более правильным (с нашей точки зрения) является путь, когда создаются отдельные классификаторы и системы кластеризации, которые решают свою отдельную задачу. Идеально, чтобы, как в нашем случае, на каждый отдельный тип спама создавалась отдельная модель и отдельно же контролировалась различными способами: другими моделям, косвенными метриками, а также вручную. Только так можно будет надеяться избежать большинства ложных срабатываний.

• Сергей Виноградов представит стандартизацию жизненного цикла ML-модели и покажет, как их эксплуатировать в продакшне без приключений
• Дмитрий Коробченко из NVIDIA расскажет об алгоритмических трюках, которые используются под капотом реальных боевых нейронных сетей.
• Артем Кондюков разберет интересный use case машинного обучения в фармацевтике.

Как выглядит спам

Спамеры всячески пытаются замаскировать свои послания и сделать их максимально похожими на сообщения от обычных пользователей. Несмотря на все усилия, рекламные сообщения очень легко вычислить. Вот какие основные виды спама бывают в ВК:

• Массовая рассылка в личные сообщения. Обычно приходит от незнакомых людей, но можно получить такое «письмо счастья» и от друга. Вас могут попросить проголосовать за кого-то, отправить смс, перейти на сайт или прислать денег на счет.
• Послания на вашей стене. Если вы не закрыли свою ленту от посторонних, то любой человек может опубликовать запись на ней. Спамеры этим охотно пользуются, ведь на стене сообщение увидите не только вы, но и ваши друзья. Тексты и просьбы обычно не отличаются от тех, что приходят в личные сообщения.
• Комментарии. Это некая разновидность спама на стене. Большинство пользователей запрещают оставлять записи в своей ленте даже друзьям. Но вот комментарии мало кто закрывает. Злоумышленники с радостью используют и эту лазейку.
• Отметки на фото. Если вы не запретили посторонним отмечать вас на фотографиях, то будьте готовы к тому, что вас могут отметить на картинке с рекламой средства от выпадения волос или приспособления для накачки пресса.
• Приглашения вступить в сообщества. Некоторые спамеры не ограничиваются простой рассылкой сообщений. Они создают целые группы, в которых размещают рекламу, накручивают подписчиков, а потом рассылают спам в виде приглашения вступить в это сообщество.
• Активность на вашей странице. Этот вид спама похож на предыдущий. Различия только в подходе. В этом варианте «рекламный агент» создают специальную страничку, которую наполняет различными «маркетинговыми» материалами и призывами к действию. После этого он посещает страницы пользователей, ставит им лайки и комментарии. Жертва, увидев сердечко от незнакомого человека, переходит в его профиль и попадает в рекламную «свалку».
• Заявки в друзья от посторонних. Эта разновидность очень напоминает подход с активностью на страницах. Только здесь спамеры действуют в лоб и сразу добавляются в друзья. На фотографиях фейковых страниц обычно находятся девушки или парни модельной внешности, привлекающие внимание.

Рекомендуем: Как выйти из беседы Вконтакте

Поиск идей и ключевых слов

Можно тупо сидеть и гадать ключевые слова из головы, а можно пойти по другому пути. Качаем парсер открытых альбомов с названиями https://www.yadi.sk/d/5HO0QdFay4mrF. Снова настройки на хостинге Hostland.ru (он бесплатный). Определили любой домен под парсер. В файл groups.txt закидываем айдишки сообществ и загружаем все файлы через FileZilla на хостинг в ваш домен /htdocs/www/

Переходим https://вашдомен/index.php. 12к сообществ парсит за 5-7 минут, в конце вылезет окошко:

Парсинг завершен, в папке домена появится файл:

Открываем result и подбираем ключи для поиска альбомов. Перелистывая список альбомов, наткнетесь на огромное количество ниш, куда можно заливать спам-фото и получать трафик.

У Вас должны быть примерно такие мысли:

• Икон а стиля: собираем схожие открытые альбомы и заливаем туда фото стильных телок/парней.
• Ваш идеал женской красоты: аналогично
• Знакомства: тут все понятно.
• Ваши тату: заливаем фото красивых телок/парней с татуировкой.
• Instagram, делимся фотками из Доминиканы: фотки красивых телок/парней с путешествий.
• Вся моя жизнь – спорт: заливаем фото красивых телок/парней с тренажорок, фитнес- клубов.

Таким образом, выбираете множество идей и ключевых слов для поиска. Также не ограничивайтесь только девушкой. Можно крутого брутала заливать в соответствующие альбомы и получать женский трафик, написав в статусе, что-то типа «Хочешь со мной путешествовать и зарабатывать? Я тебя научу, читай на стене».

Часто вижу неюзаные альбомы про спорт, качалку, где тоже много трафика, если залить красивых спортсменов и качков. Куча узконаправленных альбомов, приседающих, демонстрирующих части тела, делающих селфи, в купальниках, восточных красавиц, футбольных болельщиц (каждую по 50-100 штук можно собрать). Есть «Измени внешность», «Следуй за мной», «До и после» и много других тем.

Закупка домена

Домен берем тут https://domains.nethouse.ru за 49 руб. и цепляем к хостингу Hostland.ru NS: ns.hostland.ru ns3.hostland.ru. Если есть домены, используем свои, лишь бы не были в ЧС вк. На 1 домене можно сделать 5-10 редиректов и также вешать на 5-10 акков, пока не закинут в ЧС.

В случае массовых жалоб, домены glopart и e-pay.tv вероятно уйдут в бан. Обход: берем новый домен, ставим на него ТДС, покупаем еще один домен – на него вешаем прокладку и ссылку на ТДС, а основной размножаем блогспотом, пример – www.мояцыпа.рф.

Причины спама

Как спамеры нашли вас и как вы попали в их рассылку? Кроме банального, но, тем не менее, актуального ответа «случайно», есть несколько причин, по которым жертвой стали именно вы:

• Применение специальных программ для работы с социальной сетью.
• Вирус на компьютере, который передает ваши данные третьим лицам.
• Использование данных от аккаунта ВКонтакте на фишинговых сайтах.
• Активное использование программ и сервисов накрутки лайков, подписчиков, комментариев и прочих показателей статистики.
• Взлом вследствие недостаточно сложного пароля учетной записи.

Спам и страницы спамеров активно блокируются системой защиты ВК. Поэтому злоумышленники создают новые профили или взламывают пользователей и рассылают сообщения их друзьям. Поэтому, если от товарища вы стали получать странные сообщения с просьбами переслать денег на карту в долг или перейти на странный сайт, позвоните ему и уточните, на самом ли деле он писал эти послания.

Важно! Фейковую страницу спамера можно легко вычислить по дате публикации фотографий и других записей. Если все фото и посты опубликованы совсем недавно, то лучше сразу отправить такого человека в ЧС.

Источник: zink66.ru

Что такое спам в ВКонтакте

Проснувшись рано утром, Вы заходите в свой профиль и видите кучу личных сообщений с обзывательствами Ваших же друзей, что вы спамер, такой сякой, тупой, деревянный, стеклянный, оловянный… Вы не понимаете в чем дело, хотя уже понимаете, что с Вашего аккаунта рассылался спам друзьям или еще куда угодно. Или наоборот получаете странные сообщения от друзей, лайки от незнакомых людей, заявки в друзья и многое другое. Это Спам! Что же такое спам вк?

Что такое спам в ВКонтакте

Спам – это уже что-то знакомое и всем известное явление. Спамом часто называют ненужные письма на почтовый ящик, принудительная реклама в социальных сервисах, сообщения в аськи, мирки и всяких других мессенджерах. Рассылки от неизвестных лиц, как правило спам предлагает вам заработать миллион за 1 день, выиграть в казино, стать наследником виллы на Канарах и тд

Как выглядит спам Вконтакте

Определить спам Вконтакте проще простого, его можно разделить на следующие подпункты:

1. Спам через личные сообщения. Подразумевает, что Вам приходит спам с просьбой проголосовать за Вас где-либо с отправкой смс-сообщения, ссылка на какой-либо сайт. Очень часто с Вами обращаются по имени. К Вашему сведению это имя совпадает с Вашим текущем именем в социальной сети. Всегда обращайте на это внимание.
2. Спам на стене Вконтакте. Обычно пишут тоже самое, что и в первом случае. Часто это бывает граффити с рисунком какого-то сайта. Либо сообщение «Посмотри на мою страницу», а посмотрев на страницу, увидите спам-сообщение.
3. Фотографии в альбомах. Если не на самой фотографии, то в подписи обязательно припишут Вам, что делать: зайти на сайт или отправить смску.
4. Лайки под аватаркой или в под фотографиями, если перейти на стену спамера то на стене закреплена ссылку на сайт или группу вк которую продвигает спамер
5. Заявки в друзья от неизвестных людей тоже вид спама , тоже самое что с лайками у человека который отправляет вам заявку в друзья на стене или в статусе висит ссылку или спам сообщение
6. Бывают и другие разновидности спама вк, но это основное

Причины Спама в ВКонтакте

Что может послужить причинами спама? Банально спамеры никого не щедят и любой может стать их жертвой
Также причинами становятся:

• Участие во множестве всевозможных конкурсах вк
• Использование сервисов накрутки(лайки, друзья,подписчики ид)
• Ввод данных свое учетной записи в вк на подозрительных сайтах
• Использование программ, упрощающих работу с сайтом Вконтакте
• Вирус на вашем Пк или смартфоне
• Передача вашей учетной записи 3му лицу
• Банальный взлом

Так же как и видов спама причин может быть миллион, но уж если вы столкнулись с таким явлением как спам в вк давайте с вами рассмотрим способы как от него защититься

Как избавиться от спама Вконтакте

Способов борьбы со спамом не так уж и много, но если их придерживаться то вы с легкостью сможете оградить себя от этого явления. Что же сделать для борьбы со спамом:

• Установить ad block для вашего браузера
• Закрыть вашу страницу от незнакомых лиц и разрешить лайкать комментировать записи фото и видио только друзьям. Так же рекомендуем получать сообщения только от людей находящихся в списке ваших друзей
• Поменять пароль, и обновлять его раз в 3-4 месяца.
• Поставить двойную аутентификацию и настроить уведомления о том где, кто и с какого устройства осуществляется вход на вашу страницу
• Проверить свой компьютер на вирусы и шпионские программы, установить антивирус если у вас такового нет.
• Не запускать сомнительные программы скаченные с неизвестных или подозрительных источников

Если у вас есть свои методы борьбы со спамом вк, пишите в комментарии.

Источник: zhena-muzh.ru

Как защитить своих пользователей

100 миллиардов долларов США – огромная сумма, не правда ли? Именно во столько оценивают мировой рынок интернет-рекламы в 2012 году. Не надо далеко ходить, чтобы понять, кто получит большую часть этих денег. Конечно же, это такие компании, как Google, Facebook, Yahoo! и т.д. Но примерно 20% от этой суммы получат спамеры.

Эти огромные деньги привлекают очень хорошо организованный бизнес и талантливых людей.

До появления Facebook, Одноклассников, ВКонтакте и других социальных сетей почта была самым популярным способом распространения спама. Но сейчас социальные сети предлагают огромный спектр инструментов для распространения назойливой рекламы в обход официальных каналов. Я не буду вдаваться в подробности о каждом из них, это не является темой данного поста, я просто перечислю те, с которыми мы сталкиваемся в Одноклассниках.

Первый и, пожалуй, самый главный – это спам через личные сообщения. Нет ничего проще, чем отправить сообщение в социальной сети, не правда ли?

Второй – через комментарии к различным объектам (фотографии, видео и т.д.).

Третий – приглашения в спамерские группы, либо создание соответствующих новостей и тем в обычных группах.

Четвертый – спам на фотографиях, т.е. когда рекламное сообщение пишут на фотографии и затем загружают её на сайт.

Пятая разновидность у нас условно называется «Эроклассницы». Устанавливают аккаунту фотографию привлекательной особы в полуобнаженном виде, ставят соответствующий статус либо добавляют фотографии с мусорной рекламой, и начинают ходить в гости.

Учитывая массовость социальных сетей, неудивительно, что главной ценностью для спамеров являются уже не адреса электронной почты, а активированные аккаунты с правом посылать сообщения, размещать фотографии и устанавливать статусы. Как же спамеру получить столько аккаунтов? Ведь автоматические регистрации во всех основных социальных сетях не работают, так как для активации аккаунта требуется номер телефона. Ответ на этот вопрос прост – использовать аккаунты обычных людей. Но как получить к ним доступ?

К сожалению, многие из проблем, связанные с незаконным использованием аккаунтов, не могут быть решены на стороне разработчиков сервиса, так как причиной их возникновения является низкий уровень подготовки пользователей. Многие просто-напросто не знают, что небезопасно ставить простые пароли, что не стоит качать и устанавливать программное обеспечение неизвестных производителей, что не надо жать галочку «запомнить пароль», заходя на сайт с публично доступных компьютеров.

Единственное, что может сделать разработчик – это принудительно заставлять использовать сложные пароли и давать рекомендации по безопасности, повышая уровень подготовки пользователей. Но все эти проблемы – только верхушка айсберга, и никогда не приведут к массовым кражамаккаунтов. Существуют проблемы, куда более опасные для пользователей — например, низкий уровень квалификации программиста, который разрабатывал сервис, либо недостаточно хорошо поставленный процесс тестирования. Как раз о таких проблемах и пойдет речь в данном посте.

Некоторое время назад мы всерьез озаботились проблемами веб безопасности, стандартизировав внутренние процессы разработки и тестирования функционала с учетом требований по защите клиентских данных, нам удалось сильно сократить число уязвимостей на портале. Дальше в посте мне хочется поделиться с вами некоторыми проблемами с которыми мы столкнулись, и рассказать о том как мы их решали.

Cross-site scripting

Одна из часто встречающихся уязвимостей, позволяющая внедрить свой собственный код в тело документа.

• можно украсть cookies или другие пользовательские данные;
• можно изменять внешний вид и поведение сайта;
• можно выполнять действия от имени пользователя (открывать окна, посылать сообщения и т.д.).

К сожалению, эта беда не обошла наш ресурс: был найден целый ряд уязвимостей этого типа, но все они уже закрыты. Такие ошибки возникают при небрежном отношении к выводу данных, предоставленных пользователем.

Пример 1:
Данные, введенные пользователем: name = “Вася /> Пупкин”;
Как осуществляется вывод данных: $

Когда мы выводим пользовательский контент непосредственно в тело DOM-документа, мы легко можем попасть в ситуацию, при которой браузер воспримет HTML-код в выводимой строке как код, а не как строку.

На рисунке видно, что подпись к фотографии изображается в виде HTML-объекта селект (я заменил тег скрипт на селект для наглядности). Жертвами этого бага могли стать все, кто открыл фотографию, специально подписанную взломщиком.

Способ борьбы:
Внимательно относиться к пользовательским данным, везде при выводе в тело документа эскейпить опасные символы. Подменять >» ‘ на > »

Пример 2:
Данные, введенные пользователем: name=”Вася Пупкин ‘>/ ”;
Как осуществляется вывод данных:

Эффект будет такой же, как и в первом примере, способы защиты – те же.

Пример 3:
Данные, введенные пользователем: name=”Madonna’); doSomeKillingAndStealing(‘ ”;
Как осуществляется вывод данных: Search

Проблема была в музыкальных статусах: при клике на название артиста можно было подставить свой собственный код.

Способ борьбы:
Как и в двух примерах до этого, надо эскейпить опасные символы, но для JavaScript они немного другие. Необходимо при выводе подменять / ‘ » на \ / ‘ «

Главное правило – никогда не доверять пользовательским данным.

Cookies являются key/value хранилищем в браузере, которое применяется для хранения пользовательских данных между сессиями и идентификатора сессии. По умолчанию доступ к cookies имеет JavaScript, что при наличии приведенных выше уязвимостей делает их достаточно опасным местом для хранения данных. Но прежде чем рассказать, как защитить cookies, я хочу обратить внимание на то, как они устанавливаются.

Итак, cookies могут устанавливаться как для конкретного домена, для всех поддоменов, так и вообще для всех доменов. Практически всегда нужно устанавливать cookies для конкретного домена. Но иногда бывают случаи, когда необходимо иметь возможность использования данных из cookies при переходе между доменами.

Так, например, на Одноклассниках при переходе между основным сайтом и мобильной версией нет необходимости вводить пароль еще раз. Это сделано при помощи установки сессионной cookie на домен «.odnoklassniki.ru». Но за это удобство можно дорого заплатить. Если вдруг появится уязвимый поддомен у odnoklassniki.ru, то можно будет получить доступ к cookie основного портала через этот домен.

Лучшим способом защитить cookies будет выставление им атрибута HttpOnly. Этот атрибут запрещает доступ к cookies через JavaScript. Такая защита будет работать в 99% случаев, кроме тех, когда взломщик может послать XMLHttpRequest и получить ответ, выставляющий cookies. Тогда, используя метод getAllResponseHeaders, можно получить к ним доступ.

Но продолжим разговор про пользовательские данные. Данные могут быть не только текстовые, но и в виде файлов. Если ваш сервис позволяет закачивать к себе файлы, то будьте крайне осторожны: необходимо чётко определить те форматы файлов, которые вы позволяете загружать на свои серверы, и при возврате этих файлов выставлять им корректные заголовки. Дальше я расскажу, почему.

• Object
• Iframe
• Embed
• Img
• CSS background

Первые 3 способа при подключении будут исполнять содержащийся в файле JavaScript. Сам факт нахождения такого файла на сервере влечет за собой определенную опасность. Ведь злоумышленник личным сообщением может отправить прямую ссылку на файл, открыв который, пользователь исполнит скрипт, находящийся внутри файла.

SVG – не единственный потенциально опасный формат. Любой Flash- или HTML-документ, загружаемый пользователем, должны складываться на отдельный домен, с которого нет доступа к cookies вашего портала.

Content and character set sniffing

• всегда возвращать файлы с таким Content-Type, который он на самом деле имеет
• не использовать text/plain и application/octet-stream, т.к. для этих форматов браузеры всегда смотрят что внутри
• выставить заголовок X-Content-Options: nosniff. Этот заголовок запрещает браузерам заглядывать в контент.

Clickjacking

С этой проблемой мы столкнулись около полугода назад, однако неизвестно, насколько она на самом деле стара. Мы узнали о ней из публикации на одном популярном блоге. Смысл атаки на Одноклассников заключался в том, что наш сайт встраивали в iframe на страничке с очень похожим на оригинал доменом. Фрейм растягивали во весь экран.

Тогда пользователь, зайдя на вредоносный сайт и будучи авторизированным на нашем сайте, видел свой профиль и пребывал в полной уверенности, что находится на Одноклассниках. В этот момент ему показывали либо окно с просьбой ввести личные данные (логин и пароль), либо платежку для перевода денег. На многих очень популярных сайтах в интернете эта уязвимость есть и по сей день. На Одноклассниках мы её закрыли сразу же, как только о ней узнали.

• заголовок, запрещающий открытие сайта во фрейме (X-FRAME-OPTIONS=DENY)
• JavaScript-код

Пример JavaScript, который используется на Одноклассниках:

try < top.location.toString(); if(top != self) < throw new Error(»); >> catch(e)

В нашем случае мы не можем использовать заголовок из-за некоторых архитектурных особенностей портала, поэтому защищаемся при помощи JavaScript.

Cross-site request forgery

Это одна из самых простых уязвимостей. Она позволяет выполнять действия от имени пользователя, например, посылать сообщения, ставить оценки к фотографиям и т.д. Конечно, на Одноклассниках подобных проблем нет, но на некоторых других известных ресурсах они наблюдаются. В целях безопасности этих ресурсов я не буду озвучивать их названия.

Поясню суть этой проблемы на примере: допустим, у вас есть очень популярный форум, и вы хотите знать, кто именно ходит к вам на сайт. Вы можете зарегистрировать аккаунт на Одноклассниках и встроить ссылку на свой профиль в невидимом iframe. Тогда при заходе на ваш форум все авторизированные на Одноклассниках пользователи автоматически зайдут к вам в гости, т.е. выполнят действие похода в гости, сами того не осознавая.

На этом я, пожалуй, закончу свой немаленький пост. Если кого-то заинтересовала эта тема, вот вам парочка неплохих источников информации:

Книга — «The Tangled Web» by Michal Zalewski
www.owasp.org

Команда Одноклассников

• Блог компании VK
• Блог компании Одноклассники

Источник: habr.com