O que é um bot de spam? | Como os comentários e as mensagens de spam se espalham

Um bot de spam é um programa de computador que ajuda a espalhar spam pela Internet. Os bots de spam geralmente extraem informações de contato, criam contas de usuário falsas ou operam contas de mídia social roubadas.

Share facebook icon linkedin icon twitter icon email icon

Bots de spam

Objetivos de aprendizado

Depois de ler este artigo você será capaz de:

  • Entenda o que um bot de spam faz
  • Saiba como os bots de spam se comportam em diferentes plataformas on-line
  • Aprenda a diferenciar o comportamento do bot de spam do comportamento de um usuário real

O que é um bot de spam?

De um modo geral, os bots são programas de computador que executam tarefas repetitivas e que geralmente atuam na Internet. Um bot de spam é um tipo específico de bot que envia (ou ajuda a enviar) mensagens de spam. Também pode postar spam em vários lugares em que os usuários interagem on-line, como plataformas de redes sociais ou fóruns.

Spam é qualquer mensagem inadequada ou indesejada enviada para um grande número de usuários. Geralmente inclui anúncios de produtos indesejados, backlinks irrelevantes (para obter um desempenho melhor para o site nos mecanismos de busca) ou coisas mais funestas, como golpes ou downloads de malware. O spam também pode ser qualquer conteúdo irrelevante e entregue em grandes volumes.

Assim como os robocalls, que têm atormentado muitos consumidores nos últimos anos , a maior parte dos spams on-line é totalmente automatizada por bots de spam. Quando um bot é usado, os usuários não estão interagindo com uma pessoa real, mesmo quando parece que o bot está "respondendo" às interações. Na verdade, eles espalham mensagens pré-programadas ou seguem roteiros de conversa pré-programados para interagir com os usuários.

Como os bots de spam atuam?

Os bots de spam podem criar contas falsas em fóruns, plataformas de redes sociais, aplicativos de mensagens ou provedores de hospedagem de e-mail. Às vezes, eles tentam camuflar suas atividades para dar a impressão de que são de um usuário real. Como geralmente é necessário preencher apenas alguns campos para a criação de uma conta de usuário (nome, endereço de e-mail etc.), os invasores programam bots de spam para preencher esses formulários automaticamente — uma tarefa relativamente simples para um programador especialista. Algumas plataformas oferecem CAPTCHA ou desafios semelhantes para impedir que os bots criem contas, mas essas defesas podem falhar.

Quando o bot de spam consegue uma conta ou tem acesso a uma plataforma, ele começa a enviar mensagens de spam seguindo um conjunto de regras predeterminadas (pelo criador do bot).

Outros tipos de bots de spam podem ajudar os spammers sem precisar enviar mensagens de spam. Alguns deles coletam endereços de e-mail ou números de telefone para ganhar alvos para os spammers: eles examinam a Web, extraem informações de contato e as armazenam em um banco de dados.

Como os bots são usados para spam de e-mail?

Os criadores de spam de e-mail precisam do máximo de endereços de e-mail possível. A coleta de endereços de e-mail é feita por bots que examinam páginas da Web, pesquisam texto formatado como um endereço de email (texto + símbolo @ + domínio) e copiam esse texto para o banco de dados de alvos do remetente.

Após conseguirem formar um banco de dados de endereços de email, os spammers poderão enviar e-mails de spam. Geralmente, esses e-mails são de natureza criminosa e tentam espalhar malware ou roubar credenciais de contas por meio de phishing. Os spammers podem usar uma técnica chamada falsificação de e-mail para fazer parecer que os e-mails estão vindo de uma fonte legítima.

Os spammers nem sempre usam bots para coletar endereços de e-mail; eles podem obter listas de e-mail a partir de uma muitos outros lugares. Podem comprar listas (geralmente na Dark Web), roubar o banco de dados legitimamente obtido por uma empresa ou podem induzir os usuários a fornecer endereços de e-mail.

O que é spam de comentário?

Spam de comentário é qualquer spam que apareça na seção de comentários gerados pelo usuário de um site. Alguns bots de spam procuram e postam em seções de comentários que não exigem uma conta de usuário para participação em um thread. Isso é mais fácil se o fórum não tiver verificação suficiente para verificar se um comentarista é um usuário humano, mas alguns bots podem passar por essas proteções, mesmo que estas estiverem ativas.

Em outros casos, os bots criam contas de usuário falsas e deixam comentários e, se uma conta é encerrada, eles criam outra. Dessa forma, os criadores de spam podem automatizar o processo de promoção e publicação dos spams.

Exemplo de comentário de spam feito por um bot:

Example of a Spam Bot Comment

Como os bots de spam atuam nas redes sociais?

Muitos bots estão ativos em plataformas de redes sociais, como Facebook, Twitter ou Instagram. Os bots de spam nas redes sociais enviarão mensagens ou criarão publicações que prometem itens gratuitos, promoções em produtos de consumo, conteúdo adulto ou outras ofertas boas demais para serem verdadeiras. Também podem curtir, compartilhar ou retuitar publicações de spam ou deixar comentários de spam em tópicos de comentários abaixo de publicações das redes sociais não relacionadas com o tema.

Nas redes sociais, os bots de spam podem atuar usando contas falsas ou contas comprometidas de usuários reais (as contas podem ter sido comprometidas por preenchimento de credencial). Para fazer com que uma conta falsa do bot de rede social tenha uma aparência mais legítima, um bot de spam pode copiar a foto do perfil de um usuário legítimo.

Exemplo de publicação na Linha do tempo do Facebook feita por um bot de spam:

Example of Social Media Spam Bot

Exemplo de mensagem feita por um bot de spam nas redes sociais:

Example of a Facebook Spam Bot Comment

Os bots de spam também podem atuar em vários aplicativos de mensagens ou bate-papo (como Kik, Skype, Telegram etc.). Assim como em outros canais on-line, eles tentam induzir os usuários a pagar, dar informações ou clicar em um link não seguro. Muitas vezes, são chatbots rudimentares programados para "conversar" com usuários que respondem às suas mensagens, com o objetivo de envolver o usuário o bastante para fazê-lo clicar em um link ou divulgar dados pessoais.

Como os usuários podem saber se uma mensagem foi enviada por um bot de spam ou por uma pessoa real?

Às vezes, os bots de spam são programados para se passarem por usuários reais mas, no geral, não são sofisticados o suficiente para que o disfarce seja convincente. Seguem algumas maneiras rápidas de saber se uma publicação ou mensagem foi gerada por um bot de spam:

Excesso de erros ortográficos ou gramaticais

Muitas mensagens de bots de spam pré-programadas, mas não todas, apresentam uma quantidade de erros de ortografia e gramática tão grande que, muitas vezes, fica difícil decifrar completamente o significado da mensagem.

Se parece bom demais para ser verdade…

Então não deve ser verdade mesmo. Mensagens que oferecem promoções incríveis em produtos de consumo, medicamentos, serviços ou outras compras normalmente caras geralmente são geradas por bots de spam.

Instruções urgentes e agressivas para clicar em um link ou encaminhar uma mensagem

Em geral, os bots de spam são programados para tentar levar os usuários a realizar uma ação específica o mais rapidamente possível (assim como em um ataque de phishing). Se um perfil de rede social está comprometido, é provável que o "dono" demonstrará um comportamento estranho — por exemplo, enviando mensagens agressivas exigindo que seus contatos nas redes sociais façam algo, quando a pessoa não tem um histórico desse tipo.

Mensagens de fontes imprevisíveis

E-mails ou mensagens inesperadas nas redes sociais vindas de pessoas desconhecidas devem ser tratadas com desconfiança. E, se a conta social de um usuário for roubada, o bot de spam poderá usá-la para alcançar pessoas com as quais o usuário normalmente não interage.

Irrelevância

Na imagem de um comentário de spam, o autor listou diferentes tipos de empréstimos, como "empréstimo pessoal" e "empréstimo para empresa". Esse comentário apareceu abaixo de uma publicação no blog sobre cibersegurança. Geralmente, os bots de spam não verificam se seus comentários são relevantes para o tema; eles simplesmente os publicam automaticamente.

As respostas da outra parte da conversa já não fazem sentido

Os chatbots de spam geralmente seguem um roteiro de conversa relativamente simples e, se as respostas de um usuário forem diferentes do esperado, o chatbot de spam continuará seguindo o roteiro mesmo quando as respostas saírem do contexto.

Como as empresas podem impedir que os bots de spam criem uma experiência ruim para o usuário?

Os bots de spam não se comportam como usuários reais, por isso uma solução de gerenciamento de bots poderá fazer distinção entre atividades de bots de spam e interações legítimas com um ativo da Web. O Cloudflare Bot Management usa análise comportamental não apenas para detectar a atividade de bots, mas também fazer distinção entre bots do bem e bots do mal (como spam), bem como para mitigar os bots do mal.