Sahte haber botlarını ortaya çıkarma

Mayıs 27, 2019

Doğru zamanda doğru bilgiye sahip olmak sizi zengin edebilir veya hayatınızı kurtarabilir, ancak günümüz dünyasının acımasız gerçekliğinde dünya çapındaki bilgi alanı sahte haberlerle zehirleniyor. Artık günümüzde, sahte bilgi üretip bunları çevrimiçi ortamda yayarak para kazanan insanlar var. Ancak bununla bile kalınmıyor: Sektörde, etkiyi maksimuma çıkarmak amacıyla gerçek insanlara ilave olarak binlerce sosyal medya botu çalıştırılıyor. Bu yılki Security Analyst Summit konferansında, Recorded Future şirketinden araştırmacılar bu botları ortaya çıkarma yöntemleri üzerine konuşma yaptılar.

Sahte haber botları neden geçerliliğini koruyor?

Kimse botları sevmez, ancak özellikle sosyal medya şirketleri bunlardan nefret eder, çünkü botlar sosyal medyayı gerçek insanların gözünde daha az çekici hale getiriyor. Örneğin, Twitter periyodik olarak muazzam sayıda bot tespit ediyor ve bunları kaldırıyor (ardından ise insanlar takipçi kaybettiğinden yakınır). Bu da sosyal ağların bu botları tespit etmek için kendi yöntemleri olduğunu gösteriyor. Ancak bu girişimleri, botları tamamıyla ortadan kaldırmak için yeterli değil.

Sosyal ağlar kullandıkları algoritmaları açıklamıyor, ancak girişimlerinin anormal davranışları tespit etmeye dayandığını söylemek yanlış olmaz. En bariz örneklerden biri şu: Eğer bir hesap dakikada yüz tane gönderi yüklemeye çalışırsa, bu hesap kesinlikle bir bottur. Veya diyelim ki, bir hesap yalnızca diğer hesaplardan retweet yapıp kendi asla bir şey paylaşmıyor; bu hesap da çok yüksek ihtimalle bir bottur.

Ancak botları oluşturan kişiler, sosyal medya hizmetlerinin kullandığı teknikleri atlatabilmek için sürekli olarak botlarını değiştirir. Öte yandan, sosyal medya hizmetleri çok fazla hatalı pozitif sonuç elde etmeyi göze alamaz; yanlışlıkla çok sayıda gerçek kişinin hesabını engellemek büyük tepki çekecektir, o yüzden dikkatli davranmak zorundadırlar. Bu da bütün botların tespit edilemediği anlamına gelir.

Botların nasıl davrandığı konusunu daha derinlemesine incelemek amacıyla Recorded Future, belirli bir bot grubunu vurgulamak için bir nitelik belirledi — bu örnekte, yalnızca Twitter’da bahsi geçen terör olayları hakkında konuşma niteliği seçildi. Eğer bir hesap bunu yapıyorsa, büyük ihtimalle bir bottur (veya bir botu retweetlemiştir). Şimdi bu hesapların diğer ortak özelliklerine bir göz atalım.

Sahte haber botları nasıl davranır?

Öncelikle, bu hesapların bahsettiği terör olayları gerçekten yaşanmış olup bu olaylar konusundaki makaleler saygın denebilecek web sitelerinde (açık bir şekilde sahte haber yaymamış web siteleri) yer alıyordu. Küçük ama önemli bir ayrıntı: Bu olaylar yıllar önce gerçekleşmişti ancak söz konusu hesaplar bunu belirtmedi. Saygın medya kuruluşlarına bağlantı verilmesi Twitter’ın bot tespit etme algoritmalarını sekteye uğratır, işte bu yüzden botları kullanan saldırganlar bu stratejiyi seçerler.

İkincisi, bu bot ağı örneği özelinde, hesap sahipleri ABD’de yaşıyormuş gibi davranırken, tweet’lerde çoğunlukla Avrupa ülkelerinden bahsediyorlardı. Bu bilgi sayesinde Recorded Future, söz konusu benzerliği taşıyan 200’den fazla hesabı tespit etti ve aralarındaki diğer benzerlik ve bağlantıları daha derinlemesine inceleyebildi.

Örnek olarak araştırmacılar bir etkinlik modeli çizdi ve çoğu botun yalnızca birbirleriyle çakışan belirli dönemler süresince etkin olduğunu fark etti. Mayıs ayında bazı hesaplar engellenmiş görünse de aynı davranışlara sahip yeni hesaplar oluşturulmuştu ve bunlar hâlâ faaliyetini sürdürüyor.

Diğer bir benzerlik ise, bütün hesapların yarı-sahte diyebileceğimiz haberlerini paylaşmak için birkaç URL kısaltıcısını kullanmış olmalarıdır. URL kısaltıcıları, botları yöneten kişilere bazı analizler sunuyordu; örneğin bağlantıların her birinin kaç kere tıklandığı gibi. Bunlar, normalde kullanılan t.co veya goo.gl gibi aşina olduğumuz kısaltıcılar olmayıp tam da analiz toplama amacıyla oluşturulan özel kısaltıcılardı. Şaşırtıcı bir şekilde, bütün bu özel kısaltıcılar turuncu ve beyaz renkten oluşan benzer bir minimalist tasarıma sahipti. Bu kısaltıcılar kullanılarak, söz konusu hesaplar birbirine bağlanıyor da olabilir.

Bu kısaltıcıların web sitelerine yönelik WHOIS verileri, bütün hepsinin Microsoft Azure bulut platformunda barındırıldığını ve anonim olarak kaydedildiğini göstermiştir. Tesadüf mü? Muhtemelen hayır. Elbette kampanyaları farklı olsa da bu hesaplar arasında başka benzerlikler de mevcut. Ancak genel olarak, bir bot hesabını incelemek, bu hesaptaki tuhaflıkları tespit etmek ve ardından aynı tuhaflıklara sahip başka hesapları bulmaya çalışmak bot ağlarını ortaya çıkarma konusunda etkili bir yöntemdir.

Sahte haber botu kontrol listesi

Botların tipik özelliklerini gösteren küçük bir liste hazırladık. Bir ağda veya kampanyada kullanılan hesaplar genellikle bu özelliklerden birkaçına sahiptir. Yani, aynı sosyal medya sitesinde bulunan hesaplar eğer şu özellikleri sahipse muhtemelen bottur:

  • Kullanıcı adlarında veya görüntülenen adlarda benzerlikler varsa;
  • Tam olarak aynı tarihte oluşturulmuşsa;
  • Aynı sitelere bağlantı paylaşıyorsa;
  • Aynı ifadeleri kullanıyorsa;
  • Aynı dil bilgisi hatalarını yapıyorsa;
  • Birbirlerini veya diğer benzer hesapları takip ediyorsa;
  • URL kısaltıcı gibi aynı araçları kullanıyorsa;
  • Yalnızca birbirleriyle uyuşan belirli zaman dilimlerinde etkin ise;
  • Biyografi kısmında benzerlikler varsa;
  • Profil resmi olarak genel görüntüleri veya (Google’da kolaylıkla aranabilir olan) diğer kişilerin yüzlerini kullanıyorsa.

Elbette, birtakım hesaplar arasında tek bir benzerlik mevcutsa bunların kesin olarak bot olduğunu söyleyemeyiz. Kesinlikle hayır. Ancak, aralarında birden fazla (veya yalancı pozitiften kaçınmak amacıyla dört veya beş diyelim) benzerlik mevcutsa, yüksek ihtimalle bir sosyal medya bot ağı ile karşı karşıyasınızdır.

Tamirci, terzi, asker, bot

Recorded Future ekibinin araştırması, davranış analizinin botları tespit etmede hâlâ işe yarayabileceğini göstermiştir. Araştırmacılar birkaç botu buluyor, davranışlarında özel bir şeye rastlıyor ve aynı davranışlara sahip diğer hesapları bulmaya çalışıyor. Bu da diğer botları tespit etmelerine ve arama kriterlerine ekleyebilecekleri başka benzerlikler bulmalarına yardımcı olur. Bu kriterler sayesinde benzer kampanyalarda kullanılan diğer hesapları bulabilirler.

Elbette bu süregelen bir iş (ve muhtemelen asla bitmeyecek) çünkü her geçen gün yeni botlar ortaya çıkıyor ve kendilerine özgü davranış modellerine sahipler. Yalnızca bir davranış kuralları setiyle bütün botları tespit etmek mümkün değildir, ancak davranış analizini kullanmak en azından belirli bot ağlarının tüm bölümlerini tespit etmeye yardımcı olur —ayrıca sosyal medyanın insanlar için daha iyi bir ortama dönüşmesi için sosyal medya sitelerinin bu botları kaldırmasına da yardımcı olur.

Elbette sosyal medya kullanan herkes, bu botların mevcut ve çok sayıda olduğunun ve bunlara güvenilmemesi gerektiğinin farkında olmalıdır.