Dan Woods
Dan Woods is een voormalig CIA-onderzoeker naar cyber-activiteiten, met name bot-verkeer, en momenteel Global Head of Intelligence bij F5. Naar aanleiding van de voorgenomen overname van Twitter door Elon Musk, werpt hij zijn licht op het aantal bot-aangestuurde nep-accounts waar zoveel discussie over is. Volgens Woods kan meer dan 80 procent van de accounts nep zijn, en Twitter is niet het enige platform dat er last van heeft.
Woods staat aan het hoofd van een team data scientists die online interacties analyseren om bots te identificeren, de applicaties waarop ze gericht zijn en het beoogde doel van de bots. Dagelijks gaan er zo’n 2 miljard transacties door F5’s systemen tegen bots, met honderden bedrijven in vrijwel elke industrie als doel. De grootte van het bot-verkeer bij Twitter is daarom zeer waarschijnlijk een stuk groter dan momenteel openbaar wordt gemaakt, en mogelijk ook groter dan ze zelf weten. Dit geldt overigens voor alle organisaties, omdat lang niet alle bedrijven de beste technologie inzetten om deze activiteiten te stoppen. Woods licht vijf geleerde lessen toe.
Bots hebben altijd een doel
Iedere organisatie die de mogelijkheid biedt om in te loggen op online accounts zal zien dat er automatisering wordt gebruikt tegen de inlogapplicatie om te proberen een vorm van fraude te plegen. Een organisatie die online speciale prijzen aanbiedt, zal zien dat automatisering wordt gebruikt om de prijzen, tarieven en prijzen te ‘scrapen’ voor doorverkoop. Er zijn tientallen van dit soort voorbeelden. Woods: “In het geval van Twitter is een belangrijke drijfveer het verkrijgen van volgers. Er bestaat een perceptie dat hoe meer volgers iemand heeft, hoe interessanter zijn tweets moeten zijn, en accounts met meer volgers hebben inderdaad de neiging invloedrijker te zijn.”
De doelstelling om de invloed te vergroten is waar dit model verontrustend kan worden. Woods: “Die invloed kan namelijk impactvol worden met geautomatiseerde controle over miljoenen Twitter-accounts die in wisselwerking staan met de echte accounts van publieke figuren en privé-burgers. Dit trekt ook zeer gemotiveerde spelers aan die door landen worden aangestuurd met vrijwel onbeperkte middelen.”
Als er een stimulans en de middelen zijn, zullen er meer bots komen
Er is niet alleen een enorme stimulans op Twitter, maar er is ook een middel. Er zijn talloze diensten op het internet (waaronder dark/deep web-marktplaatsen) die Twitter-accounts, volgers, "likes" en retweets aanbieden tegen betaling. Voor onderzoeksdoeleinden heeft Woods deze diensten uitgeprobeerd op een Twitter account die hij zelf had aangemaakt. Voor minder dan 1,000 dollar heeft het account inmiddels bijna 100,000 volgers. Hij tweette ooit complete onzin en betaalde volgers om het te retweeten. Dat deden ze. Deze accounts hebben namen als TY19038461038, en ze volgen ook een heleboel andere accounts.
Woods: “Ik begon me af te vragen hoe makkelijk het zou zijn om een Twitter account te maken met behulp van automatisering. Ik ben geen programmeur, maar ik heb onderzoek gedaan naar automatiseringsframeworks op YouTube en Stack Overflow. Het blijkt dat erg gemakkelijk is. Ik tilde mijn testen naar een hoger niveau en in een weekend schreef ik een script dat automatisch Twitter-accounts aanmaakt. Het nogal ongenuanceerde script werd door geen enkele tegenmaatregel geblokkeerd. Ik heb niet eens geprobeerd om mijn IP-adres of user agent te veranderen of iets te doen om mijn activiteiten te verbergen. Als het al zo gemakkelijk is voor een persoon met beperkte vaardigheden, stel je dan eens voor hoe gemakkelijk het is voor een organisatie van hoogopgeleide, gemotiveerde individuen.”
Ondernemingen onderschatten vaak de omvang van hun bot-probleem
Een paar jaar geleden implementeerde een Amerikaanse socialenetwerksite F5's botverdediging en ontdekte dat 99 procent van hun inlogverkeer geautomatiseerd was. Woods: “We zien dat 80-99 procent van het verkeer bij veel applicaties geautomatiseerd is. Deze bevindingen zijn geen uitzondering; ze zijn gebruikelijk in veel organisaties waaronder retailers, financiële instellingen, telco's, en quick-service restaurants. Het bedrijf in kwestie wist dat er een bot-probleem was, maar niet van deze omvang. De implicatie ervan drong snel tot hen door: slechts een klein deel van hun klantenaccounts waren echte menselijke klanten; de rest bots.”
Voor sociale netwerkbedrijven speelt het aantal Dagelijkse Actieve Gebruikers (DAU), een deelverzameling van alle accounts, een grote rol in de waardering. Als deze DAU veel lager ligt dan daadwerkelijk het geval daalt de waarde van een bedrijf.
Ondernemingen die van bots profiteren, willen dat niet altijd weten
Aandeelhouders van zo’n bedrijf waren misschien liever niet achter de waarheid gekomen. Deze druk geldt niet alleen voor sociale netwerksites waarvan de waardering wordt bepaald door het aantal DAU. Het geldt ook voor bedrijven die producten verkopen waar veel vraag naar is en waarvan de voorraad beperkt is, zoals concertkaartjes, sneakers of de volgende iPhone. Woods: “Wanneer deze producten binnen enkele minuten uitverkocht zijn aan bots, om vervolgens doorverkocht te worden op de secundaire markt voor sterk opgeblazen prijzen, is dat vervelend voor klanten, maar de onderneming verkoopt de hele voorraad nog steeds snel uit. In deze gevallen kan een bedrijf net doen alsof het er alles aan doet om bots te stoppen, terwijl het achter de schermen heel weinig doet, omdat er simpelweg geprofiteerd wordt.”
Het bot-probleem is het probleem van iedereen
Woods: “De combinatie van het volume en de snelheid van automatisering, de verfijning van bots dat een bepaald doel kan bereiken, en het relatieve gebrek aan tegenmaatregelen dat ik in de onderzoeken tegenkom, leidt tot de conclusie dat naar alle waarschijnlijkheid meer dan 80 procent van de Twitter-accounts een bot is. Dit percentage is lastig te bewijzen van buitenaf, maar het is een ‘educated guess’. Ik ben er zeker van dat Twitter probeert om ongewenste automatisering op zijn platform te voorkomen, zoals elk bedrijf. Maar ze hebben waarschijnlijk te maken met zeer geavanceerde automatisering van zeer gemotiveerde spelers. In die omstandigheden is het oplossen van bots geen doe-het-zelf project. Het vereist zeer geavanceerde tools.”
“Er staat hier echter iets veel belangrijkers op het spel. Het probleem van bots is groter dan om het even welke reclame-inkomsten of aandelenkoers of bedrijfswaardering. Als we dit probleem laten voortbestaan, bedreigen we het hele fundament van onze digitale wereld. Als bots zich overal vandaan kunnen verspreiden, leidt dat tot massale fraude die miljarden kost. Het ruïneert het leven van mensen en verschaft landen en malafide organisaties instrumenten om verkeerde informatie te verspreiden, conflicten te creëren en zelfs politieke processen te beïnvloeden. Het betekent meer fraude, meer verkeerde informatie, meer conflicten die ons vermogen aantasten om wereldwijd met elkaar te communiceren en om te gaan. Als wij als samenleving alle gemakken, kennis, entertainment en andere voordelen van het internet en onze mobiele, verbonden wereld willen hebben, moeten we iets doen aan het geautomatiseerde verkeer online. De enige manier om bots te bestrijden is met zeer geavanceerde automatisering vanuit onszelf.”