人肉Spammer清场时间 – Tweet Blocker

强大的Twitter API为针对不同设备、不同使用习惯的产品给Twitter的用户们提供了诸多便捷,然而,也造成了一些尴尬,尤其是批量follow他人的人肉Spammer们。

今天,推友 @terryxxy 同学介绍了一款很牛逼的应用,可以自动评估出你的follower中可能有多少个spammer,并根据可疑性分级为A(最可靠)、B、C、D、F(最可疑)

我目前有6600多个follower,凭感觉,其中spammer估计有不少,这次终于可以将他们一次扫地出门了:)

补充,判断标准似乎有这么三个:

  1. 判断用户注册时间是否足够长;
  2. 判断用户follow和被follow的比例是否合理;
  3. 判断用户是否活跃。

到底有多少留言是Spam,Akismet告诉你!

Akismet是Matt Mullenweg早期创办的一个项目,现在已经是Automattic公司的一个专注于剿杀垃圾评论的产品。我非常欣赏这种集众人之优势来对抗恶势力的做法。相比SK2,Akismet更灵活更强大,使用更简易而且有“学习性”(与时俱进)。例如:某Spam发送者到10个WordPress博客群发垃圾广告,而这10个博客中如果有5个安装了Akismet,而这5个blogger中有3个将这条垃圾广告标记为了“spam”,那么剩下的受到Akismet保护的系统都会将你拒之门外(IP、网址、昵称,whatever~)

目前,由于垃圾评论的发送成本越来越廉价,尤其是某些“公司”然能用5毛钱就请到一个发spam的人,垃圾评论已经占据了所有互联网评论中的绝大部分,看Akismet带来的图:

这里可以看到最新的实时统计;这里有更多我曾经写过的关于垃圾Spam的文章。

人肉防御:请不要被我所误导!

人肉防御,是针对“人肉广告”、“人肉炒作”、“人肉欺诈”、“人肉Spam”、“人肉搜索”等等而言的。我认为可以看作是“不依赖于媒体和搜索引擎权威性的防御”。

什么是“不依赖于媒体和搜索引擎权威性的防御”呢?

举个例子:你能设置一个广告过滤器把我这个博客(或者新浪新闻)的广告全部去掉,但如果博客文章(或者新闻稿)本身就是一篇忽悠广告呢?

这时候,我们需要一种“人肉防御”的观念。以下是我在“人肉防御”方面的心得。也许这只是“社会工程学”中的小把戏。但除了一本好友推荐的《The Art of Deception》之外,我没看过什么正规的书。欢迎批评补充。

  1. 人肉防御人肉搜索:调整心态,认清现状
    一旦遭遇“人肉搜索”,不要奢求搜索引擎会把你的名字删除。连三鹿那样有背景的企业都做不到,何况你一个个体?
    我认为,一例“人肉搜索”既然始于互联网浮躁的廉价信息传递,必然也终止于一种新浮躁。从当年的“雅阁女”到现在的“电击男”,还真没有哪个遭遇“人肉搜索”的“倒霉蛋”能持续“红”上几个月的。看看芙蓉姐姐那么使劲折腾,这不也逐渐为人所淡忘了么?
    更不必被那些未成年人赌气的言语所吓到,互联网的人肉搜索,其能量映射到真实生活中会呈指数衰减。只要能认清现状,一定能渡过难关:)
  2. 防御人肉炒作:大胆地忽略、舍弃无价值信息
    对于那些吸引眼球的信息,或者说明显的“标题党”、SEO内容,大可以敬而远之。我们要抱有一种“好奇害猫”的觉悟,千万不要点击那些内容。当然,这是一个仁者见仁的过程。很多人连“三聚氰胺下游产品开发”这种化工类论文标题都会当作标题党,那也没办法了。这也是为什么我多次,甚至苦口婆心地劝说不喜欢我博客风格的同志们退订我的RSS的原因。我并不是在抱怨:对于希望在awflasher.com找到ActionScript技术帮助的开发者以及那些只关注行业动态的观察着来说,第一时间退订这个博客,的确是明智的选择。
  3. 防御人肉欺诈与Spam:追根溯源,寻找原作
    找到真正关注的话题,就务必去寻找它的源头。不要闲麻烦,既然已经抛开了上一点中提到的“标题党”内容,我们就有精力兑付这些了。
    首先,牢记:千万不要100%相信任何网络媒体。机关、学术类网站以及个人博客是最佳去处。往大了说有愤青会骂我愤青,但我所接触的不少网络媒体,真正在意内容的太少了。对于内容,要么是廉价收买,要么则是流氓抄袭:强奸完原作之后还作出一副“偷你的东西是看得起你”的姿态,一方面说你的东西写的没深度没思想,另一方面又吭哧吭哧不停地采集,然后不遗余力地找出所有可能的外链统统干掉。
    这样做最终受害最深的,还是读者。道理很简单,任何事物都不是一成不变的。尤其是关系利益、要害的东西,随着时间和形势转变,会产生巨大的变化。这是原作者(现在来看,至少在“互联网技术”方面,逐渐成为个人博客贡献内容的状态)往往能够及时更新内容,而那些被转走的文章则如同尸体一样躺着,最终误导你。
    此外,机关类、学术类网站也是非常重要的。这些网站并不以盈利为目的,例如卫生部的这个问答公告我就觉得还是不错的。
    另外,很遗憾的是,虽然我很热爱中文,但英文Wiki往往在这方面更加客观、谨慎。例如这篇“2008中国奶粉丑闻”。为了表达对人民生命、人格的尊重,尤其是一个个婴儿的生命时,我宁可被这些真汉奸成“汉奸”。
  4. 共同重视
    就如同所有香烟上都印着“吸烟有害健康”一样,我会在我的RSS中加上一个“博客难客观,请勿被误导”的提醒。我希望其他读者群广泛的博客也能加上这一条,链接到一个讲述“人肉防御”类似概念的页面。

总结一下,人肉防御,与“人肉搜索”的那股“文革式盲目的价值观强奸”截然相反,重在两点:

  1. 冷静严谨批判心态
    如上面四点所说,对与自己利益或者人类文明利益(比如环境问题)相关的事件要知道如何辨别。
  2. 防御,不反攻
    年轻人,在嘲笑那些年长者失去生活激情的同时,却不曾想到学习他们“冷漠”中的“冷静”。记得我在本科时,对于周围那些不懂电脑知识的同学总是抱有一种“拯救他人于水火之中”的追求,而现在,我则绝不会强求任何人改变他的使用习惯,因为这有点像“文革式盲目的价值观强奸”了。

“验证码”这一概念终究将被时代所淘汰

几年来,为了对付Spam(垃圾评论、广告留言),我付出了沉重的代价:在采用“特殊措施”之前的“LBS(我3前使用的博客程序)阶段”,最多每天要批量删除4位数的垃圾评论。这也是为什么我一直都对各种形式的Spam深恶痛绝:损人不利己嘛!其实,互联网从业者与Spammer(发垃圾评论的程序或者人)的斗争,从未停止、甚至愈演愈烈。就想人类与癌症的斗争一样:癌细胞如不铲除,就会不断吞噬人体本身需要的资源最终夺取生命。这个道理,我想Spam与网站管理员双方都心知肚明。

当然,Spam本身的低成本也导致部分“互联网从业者”转型而专门从事这一行。最终建立起一些病态的“生态链”。据我观察,一些知名网站的广告位都被Spam所“投资”占有,并劫持正规流量(也许是合作分成,谁知道?)。因此,简单的把Spam划到互联网行业外,肯定不合适。此外,我之前曾经写过一篇“发垃圾评论能赚多少钱?”,有兴趣的可以看看,对于初期入行的Spammer,尤其是那些聪明地Spammer,的确能捞到相当油水。

再分享一下我个人的经验,在与Spam反复拉锯,万般无奈之下,我先后采用了如下“特殊措施”:

  1. 更换到现在的WordPress程序,启动验证码(从加法运算到数字图形,都试过)
  2. 更换验证码算法并统一由早期著名WordPress反垃圾插件SK2保护
  3. 启动了一些列JavaScript保护方式并更改POST提交目标
  4. 开启了Automattic提供的利器Akismet(遗憾的是据说这个会影响发评论的响应速度)
  5. 去掉所有留言者的链接(虽然我不想这么做,但这么做最有效。这里想说的是,留言时填的链接我都记住了,未来我会想办法恢复)

这“5道防线”,直到4和5,才开始真正生效(现在基本每天控制在5-10条之内的垃圾评论)。数据说明,验证码没有什么防御能力:更何况,对于那些盯上你的人肉Spam,它能在你把他删掉之后还跑来留言骂你,这么厉害的Spam,验证码岂能挡住?今天,又听到有国外的朋友如此评价人肉Spam:“……他们(盈利机构)雇佣大量的廉价劳动,尤其是第三世界国家的人,往往是一个屋子里全是(人肉Spammer)”,我实在觉得心寒。在Web2.0逐渐发力并且用户和网站主保护自我的能力逐渐增强之际,居然还有这么多的人愿意浪费自己宝贵的青春去和验证码作斗争,这实在是不划算!我建议看到这里的人肉Spam好好想一下,你们的老板付的那些工资和你浪费的时间是否成正比。依我看,CPI涨的这么快,你们至少得要求把工资乘以二吧。

最后,总结时间,我认为验证码的脆弱之处有三:

  1. 机器可以破解简单的算法
    据说好一点的计算机破解一个简单的验证码只需要毫秒级的运算时间。这一点我深有体会,当年LBS加了一个“中规中矩”的验证码,结果Spam照样成群结队。
  2. 无法抵御人肉攻击
    上面说了,大量的廉价劳动力Spammer会瞬间瓦解你的验证码体系。
  3. 无法抵御“社会工程学”欺诈
    热心读者Cat Chen曾经私下告诉我一个很狠毒的方法:建立一个情色网站,放一堆美女照片,然后将你要破解的验证码图片放在每一张美女图片下方。然后,通知你的用户,每输入一次验证码,就显示下一张图片。如此反复,就会有大批的“狼肉”用户帮你来解决大量的验证码了:)

说的再多,不如究其根本:验证码本身的行为和任务目的有漏洞!验证码的行为是判断“这个人是否是一个人”,而不是如我们期望地去判断“这个评论是否是一个垃圾评论”。这种行为和目的的差异,是它最终必将被时代淘汰的根源。至于去掉验证码之后是否能有办法消灭Spam,俗一点说,就好比:“消灭强奸犯的最有效方式不是全部判死刑,而是将性产业和性教育进一步发展下去”。我们需要一个行业的领袖,Google在许多方面,已经走在了行业的前沿;而国内这边,看看瑞星和360还争得面红耳赤,不得不说也是件好事:至少大家开始重视这些问题了。

奥运结束了,但和Spammer的战斗从未结束 – Spam陷阱

男篮决赛实在精彩,西班牙惜败美国梦八之后,我下意识地去六年前每天必上的NBA.com寻找几位新秀球星的统计数据。很碰巧地,顺着几个链接,看到一个非常有趣的链接“Yummy Spam” – 没错,奥运的精彩战斗已经纷纷结束,而互联网反Spammer阵营和Spammer的战斗,却从未结束:

这个链接指向一个只有IP没有域名的网址:http://69.5.2.49/trap.html(这个IP网址的PR有4,我这次也贡献一把!)

一个Spam(垃圾评论),一个Trap(陷阱),我觉得有点意思。过去一看,果然是一个很经典的创意:Spam陷阱,将所有的垃圾爬虫诱骗到这个页面,然后利用许多“bait”(诱饵)链接来骗取Spam进入。

我来带着各位仔细分析分析这个页面:

  1. bait阵列链接(同盟入口)
    页面开头,是一组bait链接,指向来自世界各地的类似的“Spam 陷阱”。如果是普通人看到,肯定觉得很无聊。但这种bait对于Spammer来说,是非常“诱人”的:
     
    这些bait链接的目标地址指向许多奇怪而类似的陷阱页面。其中有的页面则更是对Spammer进行“疲劳轰炸”:
     
  2. 本机邮件发送(加重本地服务器负担)
    这个页面不亏是敢号称“the ultimate”的“Spam陷阱”,紧接着,第二部分是一堆的基于本机IP段的干扰邮件地址:
  3. 自虐型干扰地址
    这个页面号称这一部分的邮件地址会让许多Spam抓狂:
     
    这些看起来“正常”的地址,其实都是一些特殊字符构成的,比如:postmaster@$ENV{‘REMOTE_HOST’}
  4. 以其人之道还治其人之身
    这一部分是志愿者们收集的一批人肉Spam地址。其实我一直不是特别讨厌人肉Spammer,因为他们很可爱,而且也很辛苦。应该受到惩罚的是(剥削他们廉价劳动力的)老板和幕后的组织者。不过,如果未来人肉Spammer继续猖獗,我想我会考虑把发广告链接的那些人肉Spammer的邮件地址贡献过去。

最后,发一下今天无聊时候用SQL查询搜出来的人肉Spammer,我其实觉得挺心寒的,其中有许多也和我在Gtalk上聊过,并表示反对人肉Spammer这些没有意义的SEO,没想到通过IP一查,都查出来了。我很难过地发现,Spam做的最凶的却是在Gtalk和QQ上和我称兄道弟的“博友”,我隐藏了他们的ID和IP,希望他们能改变一下SEO的策略,如果真是喜欢我这个博客,我也不是不可以考虑帮你主动做做宣传。但这么变着花样来做“网络推广”,我只能说对不起。

*.108.40.*

杭州SEO
网站优化
外贸服装批发
股票
多多
杭州SEO
传感器实验仪
duoduo

*.171.24.*

月饼团购
月饼
哈根达斯
哈根达斯月饼
克莉丝汀月饼
上海月饼

1.215.22.1

加盟店
加盟
在玩小游戏
手机资源

网易携众高校“奥运观方网站”进军百度贴吧

很久很久以前,在白鸦的博客看到一篇文章,说是鸦当了网易的某比赛的评委,鸦愤怒地扣了几个侵犯版权作品的分数。后来招来一阵怒骂,包括马甲轮番上阵对白鸦同学的攻击和诽谤,我真的觉得白鸦同学很冤枉;)现在的大学生居然能阴险到这种地步,好可怕……

前几天,发现这个比赛已经进展到“决赛关键阶段”了。而可怜的白鸦同学,又被众马甲怒骂了

网易拿出了几十万的高额巨赏来奖励来自各高校的参赛队伍。并根据独立IP数等统计指标来评判名次和奖金。我觉得这无非就是一次隐形的“流量购买”网络营销案例。另外,据朋友透露,“观方站”这一招的策划方案,网易其实也是在模仿国内另一大著名门户的。

说来也巧,这几天我一直在百度贴吧里观察。发现很多同学发的广告(万幸的是,没有看到我的母校的,我估计是被提前淘汰了)。突然开始佩服起来。网易的这个策划方案的确很可怕:将大学生推向网络营销的最前线,让大学生们去疯狂地发送Spammer,让评委和大学生们再发生冲突,最后,流量拿到了,Spammer之后名誉损失是大学生,而评委(比如白鸦同学)则为“维持行业正义”被正值青春年少的大学生“炮轰”得郁闷。

我不想表态,没啥可表态的。我也不会像几年前那样怒骂到处发留言的spammer,我觉得他们其实也挺不容易的(被人所利用)。

下图为今天刘翔退出比赛之后,Spammer在各大无关贴吧的发言。我一直关注中国男篮,并且非常钦佩85年的小帅哥孙悦,因此在“篮球孙悦”贴吧发现这个Spammer:

闲话周末(8/8)- 垃圾评论与时俱进,港台口音赤壁闹心

  1. 垃圾评论(就是那些像“老白金”和“羊羊羊-还原详”那样丧心病狂地铺天盖地的做广告的)从最早的“人工傻逼式群发”到后来的“机器自动化智能式群发”,再到最近的人肉垃圾公司强有力的运作,也时不时会给我们带来不少欢乐。例如我昨天就看到一条很生猛的垃圾评论:
     
    专业生产门禁考勤系统”的确是一个很赚钱的行业,居然能请得起这么敬业的“业务员”来我这里发表如此有创意的广告……·
  2. 美国著名的连锁旅馆Ruby Tuesday近期在一项爆破工作中犯了一个低级错误。爆破了错误的旧旅馆,看视频:

    结果这个视频在Youtube等各大网站被“广泛流传”。这导致Ruby Tuesday的网站流量疯狂上升:
     
    在我看来,这是一次典型的互联网事件(Event)营销案例,我们要学习啊!
  3. 去看了《赤壁》。据说这部片子出来之后恶评如潮,而有一位同学如此评价赤壁:
    2000字《赤壁》影评:

    烂烂烂烂烂烂烂烂烂……(省略2000字)

    其实《赤壁》不过是一部娱乐片而已。场面和动作够刺激就可以了。我认为不算很烂。唯一令人失望的是几个港台演员的港台口音,实在是恶心。一点都没有三国大将的豪爽。为什么导演不找人配音?(听说还有一个普通话都不会说的日本人?我不知道是不是真的)

  4. 奥运开幕的头一天晚上,从王府井出发,坐地铁从1号线转5号线。一路上非常安全。恩,北京很安全,比我想象的要安全得多:)
  5. 关于奥运开幕式的一个传闻:
    开幕点火式泄密!!!    

    传8月8日开幕式的点火仪式由xxx将全身捆绑满中石油油桶从6124米高空跳下,反弹至2719米高度的时候,在小幅震荡维持稳定的状态下,点燃主火

Spam行业十大欺诈方式,请网民注意

我是一个和垃圾短信垃圾留言势不两立的人。长期阅读我博客的朋友可能都知道我经常鄙视他们。今天,看到MaAfee的报告,我有必要再一次鄙视一下了:

根据McAfee的报告,我在此公布最近Spam行业十大欺诈方式。希望普通网民上网时注意。一旦遇到相关的链接、广告,请三思而后行(例如,多使用Google或者百度搜索,去社区网站,如Facebook、校内等看看是否真有其事)

Spam行业十大欺诈“赢家”是:

  1. 财经类
  2. 广告交易类
  3. 健康与医药类
  4. 成人用品类
  5. 免费礼物类
  6. 信用卡类
  7. 教育培训类
  8. 赚钱,尤其是“快速致富”类
  9. 信息技术(IT)相关类
  10. “尼日利亚式欺诈”

其中,第十项“尼日利亚式欺诈”我也是头一次听说,在yeeyan看到如此的评论:

有可能这些工具是由一些精通科技的东欧(spammer)开创的,这些国家是通过开发自动网络欺诈程序和兜售信息引擎而出名的。RSnake说,“同我交谈过的东欧网络欺诈者都是一些年轻的小伙子,他们差不多都20多岁,有些人还受过正式的教育,有些人则没有,一些人住在诸如罗马尼亚这样的国家,那里互联网的吞吐量甚至比美国的商界还要大。这些人在过去的十年里都是在网络上成长的,而且这些国家的法律都没有其他国家,比如说美国的法律那么严厉。”

先进的工具并不是网络欺诈交易的唯一工具。这听起来简直太令人难以置信了,但是尼日利亚“419”诈骗者却继续对那些易上当的邮件用户进行诈骗。通常这些邮件的开头都是这样的,“我需要你的帮助,”然后描述他们正处在有一大笔钱需要取出或者是从一个国家转移到另外一个国家的情况。他们开始进行所谓的“预付款”引诱,因为他们要受害者帮忙汇款到指定地点以帮助他们解冻被冻结的资金,而且他们还对受害者承诺他们将给他们一笔可观的回报。419案件还涉及到了尼日利亚的诈骗刑法。

上个月,密西根州Alcona 镇的前任财务长被逮捕,逮捕的罪名是挪用120万的公款,他将其中的一部分汇给了臭名召著的尼日利亚邮件诈骗者。联邦贸易委员会在网站上发出了这样的通告:“如果你收到一份要求你帮助他们从尼日利亚或着是任何其他国家提款的话,请你将这份邮件转寄到联邦贸易委员会spam@uce.gov

报告原图:

闲话周末(3/16)- 垃圾短信再回首,海内的男人抖三抖

一个重感冒的周末即将过去,发了几篇post发现很多人很关心我。其实我倒是挺希望和这些朋友们出去喝喝茶的。

随便一点,刘韧体吧:

  1. 315过去了,垃圾群发短信又回来了。我不认为这种群发广告会有什么前途,卖壮阳药还可以。
  2. ddkk3000看到网易新闻说有一个3岁的小孩会装机,6岁会写播放器了。我觉得“学电脑要从娃娃抓起”这句话太可怕了。如果是我,我的小孩我一定不让他在10岁之前接触任何电子产品。
  3. 上周海内冒出个女人,结果因为粗口而被一帮人骂作“马甲”,我觉得挺可怕的:一个女人说话带点儿荤腥纵然别扭,但一个女人说话带点儿荤腥就被骂成那样,挺可悲的。反正我没看出她有多么像个男人。
  4. 我师兄N年前把Discuz好好的鄙视了一番,然而现在Discuz推出了仿Facebook产品,很靠谱。舆论市场别人造,卖产品收银子我来做,这样的公司,VC为什么不给他投钱?
  5. 看了几部似乎是西班牙人录制的ActionScript3视频,发现西班牙人的英文发音比中国人差远了。实话。
  6. 没有6,吃饭了。

看不明白就留言吧。

互联网广告的几种“高端”欺诈手段

白鸦一个月前告诉我,那帮做流氓网站的人的广告收入占居整个互联网行业广告收入的一大半。初一听觉得震惊,但仔细思考,觉得不无道理。近日总结了几种常见的广告欺诈。欢迎大家补充:http://www.awflasher.com/blog/archives/1134

  1. 以“僵尸用户”身份伪装进入SNS类网站进行“社会化(情感)”欺诈
    “僵尸用户”一词是我根据“僵尸网络”(被黑客控制的大量接入互联网的计算机)联想而来:指在某些Web社区中(尤其是真人实名社区,比如海内校内等),通过提交非真实资料的方式所注册的用户。这些用户往往将性别设为“女”,并上传一些性感、清纯的照片作为“真实头像”。然后向其他真实的用户(大多是男性用户)批量(甚至手工)发送好友请求、留言等。或者直接在相应的讨论群组发布一些“热点讨论话题”。以校内论坛为例,就有不少人热衷于讨论这些“僵尸用户”所抛出的“处男、处女”问题、“学历与就业”问题。这样的“炒作”往往会获得大量的反向点击来到自己的“个人主页”。而通过一些欺诈手段,则将真实用户引导到一些投放了大量Google广告的网站。这种欺诈的更多详情可见此文
  2. 本站内容功能性欺诈
    这种欺诈往往分为两类。一类是“牺牲用户体验”,另一类是“彻底欺诈”。
    牺牲用户体验,往往是让用户点击多次广告页面之后才能达到目标。例如门户惯用的方法:某一个图片点击过去,并非这张图片,而是一个(甚至可能不包含那张图片的)图片列表。列表旁罗列着各种广告信息;彻底欺诈则是,对本站完全不提供的内容进行“Black hat SEO”,比如,某视频网站根本就没有“色戒被删剪片段”,但对“色戒被删减片段”进行大量的关键词Spamming和外链导入。这样,就会有人愿意相信之。
  3. 推广目标产品功能性欺诈
    最近看到一些视频Spamming站点。非常有趣,他们的GGAD作弊甚至可以说很有“恶搞”:在FLV视频播放器下面放着一段:
     
    浏览器无法播放FLV视频,关Firefox什么事?这不是赤裸裸的欺诈么。对于IE,如果没有升级到最新版的FlashPlayer,可以去官方下载,或者国内有很多镜像(我自己也提供了一个)。刚下载的Firefox则根本不支持Flash,更加“无法播放”。
    总之,我第一次看到这种Firefox Affiliate的欺诈,感觉四个字:“哭笑不得”。也许,像我这样“告诉你一个真实的Firefox”永远敌不过那些“被妖魔化了的Firefox”吧。

可以发现,Google Adsense的作弊者实在是很多。作为一名Google Adsense用户,我感到很无奈。某些竞争对手不可告人(其实谁心里都明白)的“搞臭Google计划”,也令我心寒。有些人在这方面太有创意了,Google Adsense反作弊能力的提升,我相信必然有我们身边这些作弊者的功劳。

除了以上提到的几种广告欺诈之外,更可怕的是一种建立在某些诚信体系上的“信任欺诈”。比如当下流行的MSN Photo木马,我就不幸中招了:我的好友(某Web2.0网站创始人)通过MSN发给我,而我基于对他的信任(因为他本人正好就是做图片相关的Web2.0应用),直接打开了(scr文件是屏保格式,我疏忽了,唉!)。结果中招,导致我MSN的一位好友也中招了。

也许是我们都太穷了,就如Keso在《年度10大的中外差异》中所提到的,中国人除了忙着赚钱(aw补充:和欺诈),似乎没有了任何其他爱好了。