Gegen Fake-Nutzer: Trust-Wert für Nutzerkonten?

Gegen Fake-Nutzer: Trust-Wert für Nutzerkonten?


Wie einige vielleicht mitbekommen haben, waren wir letzte Woche auf dem ersten Facebook Barcamp in Deutschland. Eine der spannenden Sessions, die wir uns dort angehört haben widmetet sich der Problematik der Fake-Nutzer. Genauer gesagt der Nutzerkonten, die angelegt werden, um bei einem Gewinnspiel besser abzuschneiden oder um die Gewinnchancen zu erhöhen.

Eine Methode Fake-Nutzern auf die Schliche zu kommen, wurde dabei von den Socialisten aus Wien vorgestellt. Dort gibt es die so genannte „Oma-Falle“, die auf Grund der Anzahl der Freunde entscheidet, ob ein Profil Fake sein könnte, oder nicht. Kleiner Nachteil: Bei dieser Methode werden nicht nur Fake-Profile mit wenigen Freunden, sondern auch echte Omas mit wenigen Freunden rausgefiltert. Zudem ist die Selektion über die Anzahl der Freunde sicher nicht das einzige Kriterium, dass einen Fake-Nutzer ausmacht. Gerade die Interaktionsraten, Verteilung der Freunde auf Kontinente oder das Bilden von Freundeskreisen sind hier weitere Punkte. Diese Punkte lassen sich allerdings als normaler Facebook Entwickler mit OpenGraph Zugriff kaum ermitteln.

Doch an genau dieser Stelle könnte Facebook helfen. Die Entwickler in Menlo Park haben wahrscheinlich eine sehr gute und genau Vorstellung davon, welche Faktoren einen Fake-Nutzer ausmachen. Wie sonst sind sie wohl auf den Wert mit 5-6% Fake-Accounts gekommen? Innerhalb des „Facebook Immune System“, welches 650.000 User-Interaktionen pro Sekunde überprüft, gibt es genaue Kriterien was einen Fake-Account ausmacht und wie dieser sich von einem echten Account unterscheidet. Im Immune System definiert Facebook Fake Nutzer wie folgt:

Facebook is for real people and the Facebook ID is not intended tobe a pseudonym or handle. Each person has at most one account.The authenticity of user IDs is one of the core premises of Face-book. Significant numbers of fake accounts undermine this authen-ticity and corrode user trust in the network.

 

Fake accounts can becreated non-maliciously by people that just want an extra account. Much more commonly, fake accounts are created by attackers thatwant to compromise and influence regions of the graph.Fake accounts are created by both scripts and raw labor as inventory to attack the graph. Fake accounts are created mainly forthree reasons. Attackers create parallel fake accounts to overcomerate limits associated with individual accounts. They also use parallel accounts to friend or like objects en masse and thereby boostthe reputation or ranking of those objects. Finally, they use fakeaccounts as fake identities to phish and spam real users.

 

Fake accounts have limited virality because they are not centralnodes in the graph and lack trusted connections. They also haveno unique data or history. For these reasons, they are much lessvaluable to attackers than compromised accounts. Attackers willprotect their compromised account inventory much more carefullythan their fake account inventory.

 

Note that the value of a fake account is measured over its life-time. Catching a fake account early in its lifetime thereby de-creases its value. By catching fake accounts early before they canbe productive, the Immune System drives down the total resourcesthe attacker can rationally justify investing. Ideally, this is a self-reinforcing loop that kills an attack.

Welche genauen Metricen Facebook zur Identification eines Nutzer anwendet ist nicht öffentlich. Entscheidend sind jedoch sicher, wie die Nutzer mit Freunden interagieren, welche Datenhistory sie besitzen oder natürlich auch ob sie sich mit Handy/Kreditkarte verifiziert haben. Wendet man diese und viele weitere Kriterien nun auf jeden einzelnen Nutzer an, so sollte sich doch ein „Trust“-Wert für jeden Account errechnen lassen. Je höher dieser Wert, sagen wir auf einer Skala von eins bis hundert, desto wahrscheinlicher handelt es sich um einen echten Account.

Wenn Facebook Entwickler diesen Wert nun an Hand der User-ID über eine API abfragen könnten, dürfte das Ausfiltern doch stark erleichtert werden. Ja, es würde sogar genügen, wenn Facebook statt dem genauen Wert eine Tendenz „Fake oder nicht“ kommunizieren würden.

Natürlich, besagte API darf nicht jedem Wald und Wiesen Programmierer zur Verfügung stehen. Sonst ist es bis zur ersten „Bist du Fake“-App nicht weit und professionelle Fake-Account Betreiber würden versuchen ihre Accounts so zu manipulieren, dass diese nicht mehr als Fake erkannt werden. Sinnvoll wäre es also diese API als Teil des PMD Programms anzubieten. Die Agenturen in diesem Programm haben jetzt schon Zugriff auf erweiterte Funktion, wie etwa zum automatischen Erstellen von Anzeigen, und unterliegen einer besonderen Prüfung und Beobachtung durch Facebook.

Was haltet ihr von der Idee einer Trust-API? Habt ihr bei euren Gewinnspielen und Kampagnen auch regelmäßig mit Fake-Nutzern zu kämpfen?

Share on FacebookTweet about this on TwitterShare on Google+Pin on PinterestShare on LinkedInBuffer this pageEmail this to someone
Veröffentlichung 3. Mai 2012

+ Es gibt keine Kommentare

Deinen hinzufügen