Заступник міськголови Київради Володимир Прокопів заборонив голосувати в електронному сервісі петицій, використовуючи акаунти, прив’язані до російських поштових сервісів@mail.ru, @bk.ru, @list.ru та @inbox.ru.
Причиною такого рішення стало те, що при аналізі голосів до пропозиції про перенесення заводу «Фанплит» за межі Києва виявилося, що 4 тисячі голосів було накручено і саме з російськими доменами була пов’язана найбільша кількість фейкових профілів. Чиновник зазначив, що шахраями використовувалися різні методи накрутки аж до генерації випадкових імен.
Це і вся новина, але давайте розберемось, як відбувається накрутка голосів з технічного боку. Для цього доведеться зайти на мейлру.
Зараз зареєструвати поштову скриньку просто так, без вводу капчі або подолання іншого методу перевірки, неможливо.
При генерації профілю потрібно або вказати номер телефону або додаткову електронну адресу. Спробуємо простіший варіант із запасною електронною адресою. Після підтвердження форми пропонується ввести капчу.
Для створення однієї адреси нічого складного, але повторювати цю дії 4000 разів за день — важкувато. Тут у нагоді стають роботи, для автоматизації реєстрацій існує безліч автоматизованих сервісів, де розшифрока капчі коштує в середньому 70 центів за 1000 зображень.
Таким чином, неважко підрахувати, що обманути Київраду зловмисникам коштувало кілька годин роботи і приблизно 3$.
Після реєстрації і розифровки капчі маємо робочу пошту.
Як бачимо, ніяких оригінальних інструментів для захисту від створення автоматизованих облікових записів застосовано не було. Для порівняння спробуємо додати новий акаунт у вітчизняному сервісі meta.ua. На перший погляд здається, що він потребує значно меншу кількість заповнених полів форми.
Однак, наступний крок довів, що в meta.ua є свій спам-фільтр. Він визначив, що в нас є не дуже добрі наміри.
Без додаткового підтвердження на альтернативну скриньку зареєструвати пошту неможливо.
Це значно ускладнює процедуру створення фейкових облікових записів. В рішенні чиновника скоріше за все є обґрунтована політична передумова, але й з точки зору безпеки його доручення таки має сенс.
Для підвищення рівня захисту сервісу петицій не зайвим було б додатково запровадити автоматизовану систему аналізу, яка б не дозволяла накручувати голоси з однієї IP-адреси та блокувала голоси, які надходять через рівний проміжок часу.
