O senhor já usou o Craigslist? É um site quase totalmente gratuito e anônimo anúncios classificados que evoluiu de um fenômeno inicial da Internet para um serviço tão poderoso que muitas vezes é acusado de destruir sozinho o negócio de jornais. Infelizmente, essas mesmas características também tornam a Craigslist um alvo particularmente suculento para spammers e malfeitores. Quem sabe, talvez seja o carma.
Considero a Craiglist um serviço público geralmente benevolente. Talvez por isso eu tenha ficado tão perturbado com o John Nagle’s narrativa do tempo de guerra do Batalha violenta entre a Craigslist e os spammers.
O spam na Craigslist tem sido um pequeno incômodo há anos. Agora não é mais. Este ano, os spammers começaram a ganhar e estão dominando a Craigslist. Veja como eles fizeram isso. A Craigslist tenta impedir o envio de spam:
- Verificando se há envios duplicados.
- Bloqueio de publicações excessivas de um único endereço IP.
- Exigir que os usuários se registrem com um endereço de e-mail válido.
- Usar um CAPTCHA para impedir ferramentas de postagem automatizadas.
- Permitir que os usuários sinalizem as publicações que reconhecem como spam.
Vários produtos comerciais estão agora disponíveis para superar esses pequenos obstáculos à postagem em massa. Ferramenta de postagem automática do CL é um desses produtos. Ele não apenas publica automaticamente no Craigslist, mas também possui estratégias integradas para superar cada mecanismo anti-spam do Craigslist:
- Um texto aleatório é adicionado a cada mensagem de spam para enganar o detector de mensagens duplicadas do Craigslist.
- Sites de proxy de IP são usados para postar a partir de uma ampla gama de endereços IP.
- Os endereços de e-mail para resposta são contas do Gmail convenientemente criadas pelo Jiffy Gmail Creator (nota do editor: isso não não quebrar o CAPTCHA do Google, como o senhor pode ver nesta captura de tela.)
- Um sistema de OCR lê o texto obscuro no CAPTCHA.
- O monitoramento automático detecta quando uma postagem foi marcada como spam e a republica.
O CL Auto Poster não é a única ferramenta desse tipo. Outros produtos de software para desktop são o AdBomber e o Ad Master. Para os spammers que preferem uma abordagem orientada a serviços, há o ItsYourPost. Com essas ferramentas poderosas, as defesas da Craigslist foram invadidas. Algumas categorias na Craigslist se tornaram mais de 90% spam. As seções pessoais foram as primeiras a desaparecer, depois as categorias de serviços e, mais recentemente, as ofertas de emprego.
A Craigslist está reagindo. Seu último artifício é a verificação por telefone. A postagem em algumas categorias agora exige uma chamada telefônica de retorno, com uma senha enviada ao usuário por voz ou como mensagem SMS. Só é permitida uma conta por número de telefone. Os spammers reagiram usando números VoIP. O Craigslist os bloqueou. Os spammers tentaram usar serviços de portabilidade de números como o Grand Central e o Tossable Digits. O Craigslist os bloqueou. Os spammers tentaram usar seus próprios sites de toques gratuitos para fazer com que muitos usuários aceitassem a chamada de verificação do Craigslist e, em seguida, digitassem a senha da mensagem de voz. A Craigslist ainda não conseguiu combater esse truque.
Grande parte da batalha de ida e volta pode ser acompanhada em vários fóruns. Ainda não está claro quem vencerá.
Já usei o Craigslist algumas vezes no passado, principalmente para vender coisas que são muito difíceis de enviar, com resultados geralmente positivos. Mas essa é a seção “for sale” (à venda), e os spammers parecem estar se concentrando na seção pessoal e de serviços. Eu estava curioso sobre isso, então pesquisei o a seção de relacionamentos locais no que eu imaginava ser a categoria mais popular. (Nota para minha esposa: isso é pesquisa! Pesquisa! I Jure!)
Quase imediatamente encontrei um anúncio pessoal com a seguinte “imagem”:
Trata-se de uma transmissão codificada em tempo de guerra de alguém que está lutando contra os spammers da Craigslist. Ela termina com este terrível aviso:
99,9% dos anúncios hoje em dia são falsos. É triste, mas é verdade. REALMENTE, QUASE TODOS OS ANÚNCIOS SÃO FALSOS!
Mas isso é verdade? Vi alguns spams óbvios na seção de relacionamentos – todos já haviam sido sinalizados para remoção quando cliquei neles – mas certamente nada que corroborasse essa afirmação de 99,9%. Fiz algumas pesquisas de termos exclusivos em relacionamentos aleatórios (meu favorito no momento é “sem assassinos, por favor!”), e eles apareceram como únicos.
Claramente, há uma guerra em andamento e houve vítimas de ambos os lados. Mesmo que os remetentes de spam não estejam vencendo, cada centímetro que eles ganham mina ainda mais a confiança da comunidade na Craigslist e desvaloriza a participação de todos.
Esse é um tópico que me interessa muito à medida que desenvolvemos o stackoverflow.com. Como o Craigslist, Stack Overflow oferecerá uma experiência rica para usuários anônimos da Internet. Não exigiremos que o senhor crie uma conta ou faça “login” para responder ou fazer perguntas. Até mesmo rastrearemos sua reputação e configurações preferidas, desde que o senhor nos permita armazenar um cookie padrão do navegador. Embora seja verdade que inicialmente seremos um alvo de baixo valor devido ao tráfego limitado e a um público especializado, isso inevitavelmente mudará com o tempo. Portanto, o senhor pode esperar algumas das mesmas medidas no Stack Overflow (e, posteriormente, Discurso) que a Craigslist e a Wikipedia usam para mitigar o mal anônimo:
- Alguma forma de CAPTCHA.
- A capacidade de “bloquear” temporariamente perguntas controversas para que somente usuários registrados possam editar ou adicionar respostas.
- Um bloqueio automático se observarmos ações rápidas, semelhantes a bots, do seu endereço IP.
- Algumas heurísticas básicas para detectar conteúdo “spammy”, como URLs em excesso ou digitação desumanamente rápida.
- Uma maneira fácil para os usuários com reputação suficiente desfazerem o vandalismo revertendo para uma versão anterior.
A própria comunidade também pode ajudar. Cada pergunta e resposta no Stack Overflow pode ser classificada no estilo Digg; se um determinado conteúdo acumular rapidamente um grande número de downmods, é provável que seja spam ou conteúdo inadequado e será automaticamente removido ou direcionado para uma fila de moderação.
Não me entenda mal. Fiquei impressionado com a qualidade – e o tamanho – da comunidade que cresceu em torno deste blog. Espero que a grande maioria das pessoas que participam do Stack Overflow sejam cidadãos íntegros da Internet. A Wikipedia é uma prova viva do fato de que a bondade supera em muito a maldade. Nós, os bons pode vencer, se tivermos a visão de colocar alguns controles em prática primeiro.
Permitir que usuários anônimos publiquem cria uma situação volátil em que uma dúzia de spammers suficientemente motivados pode facilmente envenenar o poço para milhares de usuários comuns. Esses spammers não se importam nem um pouco com a comunidade que estamos construindo juntos. Tudo o que lhes interessa é receber dinheiro postando seus links em qualquer lugar que puderem. Eles atropelam o maior número possível de sites e páginas em sua busca frenética e abusiva por dinheiro. Se eu não quisesse tão desesperadamente sufocar a vida de cada um deles, poderia até sentir pena dos pobres coitados.
Mas o problema é o seguinte: seguir as regras e ser um bom cidadão é fácil. Ser mau é difícil; dá mais trabalho. Às vezes, muito mais trabalho. Os vilões recebem pagos para saber mais sobre suas façanhas. O senhor está disposto a se informar sobre o complexo mal que uma pequena minoria de usuários poderosos está disposta a desencadear em seu site?
Como em muitas coisas na vida, isso é melhor ilustrado por uma cena do Spaceballs:
Então, Lone Starr, agora o senhor vê que o mal sempre triunfará, porque o bem é burro.
Como os mocinhos, não podemos nos dar ao luxo de ignorar as técnicas dos spammers. Se isso significar vasculhar os cantos mais sombrios de alguns fóruns de black hat desonestos, então que assim seja. Vou dizer ao senhor o seguinte: Eu nunca nofollowed um único link neste blog até hoje. A maneira mais eficaz de combater os spammers malignos é entendê-los, e o primeiro passo para entender o mal é criar links abertos para suas ferramentas e métodos, expondo-os ao maior escrutínio público possível.
Quando o senhor projeta seu software, trabalhe com a suposição de que alguns de seus usuários serão maus: com o objetivo de burlar o sistema, derrotá-lo a todo momento, causar interrupção e negação de serviço, atacar e humilhar outros usuários, encher seu site com o spam mais vil e desagradável que o senhor possa imaginar. Se o senhor não faça isso, o senhor acabará com algo como trackbacks de blog, que estão irremediavelmente quebrados neste momento. Os trackbacks são a fonte de incontáveis e incontáveis horas de dor e sofrimento de spam institucionalizado, tudo porque os designers iniciais aparentemente não se fizeram uma pergunta simples: e se alguns de nossos usuários forem maus?
Porque quando o bem é burro, o mal sempre triunfa.
Os sites que permitem que os usuários publiquem conteúdo sempre estarão vulneráveis às ações de um punhado de usuários mal-intencionados e spammers. Isso não é agradável. É um espelho escuro que mostra o lado feio da natureza humana. Mas também é um fato infeliz e inevitável da vida. E quando o senhor não consegue projetar para o mal, está falhando com sua comunidade.