在现代社交网络时代,经常鼓励用户评论文章和博文,但并不是所有的评论都是一样的。一种被称为“垃圾评论”的评论可能会导致用户和网站的利用。安全公司Imperva的最新报告揭示了如何构建和执行垃圾评论。与传统评论相反,垃圾评论的目的是嵌入链接或未经请求的广告。
评论垃圾邮件的主要目的之一不是直接利用用户,而是帮助提高垃圾邮件发送者的搜索引擎优化(SEO)。通过从网站获得更多的反向链接,理论是给定的网站将能够改善其搜索引擎优化定位。
Imperva发现,80%的垃圾评论流量仅由28%的攻击者产生。
Imperva的安全政策主管Barry Shteiman告诉eWEEK:“看到少数攻击者实际上产生了大多数垃圾邮件评论,这表明我们可以分析垃圾邮件发送者的行为,然后采取行动。”
通过了解谁是垃圾评论的发送者,您可以通过IP地址位置和信誉来阻止有问题的评论。报告还发现,垃圾评论操作的自动化程度很高。
Shteiman表示,一旦垃圾邮件发送者成功将评论垃圾邮件放在网站上,评论垃圾邮件的流量通常会激增。他解释说:“一些高度自动化的垃圾评论工具可能会成功攻击一个网站,并将其添加到垃圾网站列表中,以便其他人可以使用。”
垃圾评论发送者使用各种工具来自动化他们的活动。其中之一是G-Lock博客查找器,用于帮助查找和识别要评论的博客。还有一些自动工具,比如Comment Blaster,用于编写实际使用的注释。
许多网站使用评论验证工具,包括验证码验证来区分计算机和人类。根据Imperva的报告,垃圾邮件发送者也有工具来应对验证码的挑战。
垃圾邮件工具,如ScrapeBox和Gscraper,提供了一套全面的功能来查找、放置和监控评论。
Shteiman说,评论垃圾邮件是一个严重的商业问题,并且正在迅速发展。“一个很好的例子可以在一个非常大的社区网站(比如YouTube)上看到,”Stilman说。“垃圾评论对他们来说是一个大问题,他们决定要求用户登录谷歌账户后才能发表评论。”
YouTube发现,认证用户的麻烦(这可能会减少评论)对于处理垃圾评论非常重要。
虽然评论垃圾邮件对用户来说不一定是一种直接的方式,但确实会带来很多风险。
“如果一个网站容易受到垃圾邮件的攻击,而垃圾邮件本质上是一些文本和链接,那么攻击者需要多长时间才能开始链接到恶意软件并使用垃圾评论向量来使用主网站进行水坑攻击?”施泰曼说。“事实上,过去也有这类袭击的例子。