Report Attacks on Social Networks Paper 1: All Your Contacts Are Belong to Us: Automated Identity Theft Attacks on Social Networks Σε αυτό το paper θα δούμε πόσο εύκολο είναι για ένα potential attacker να ξεκινήσει αυτό το είδος των επιθέσεων πλαστοπροσωπίας με αυτοματοποιημένο τρόπο μεταξύ των διαφόρων ιστότοπων κοινωνικής δικτύωσης προκειμένου να αποκτήσει πρόσβαση σε μεγάλο όγκο προσωπικών πληροφοριών των χρηστών. Στην πρώτη επίθεση (profile cloning) ο attacker κλωνοποιεί ένα ήδη υπάρχον προφίλ του θύματος στο ίδιο κοινωνικό δίκτυο και στέλνει αιτήματα φιλίας στις επαφές του θύματος, δηλαδή φτιάχνει ένα ακριβώς ίδιο προφίλ στο ίδιο κοινωνικό δίκτυο, με άλλα λόγια δημιουργεί νέο λογαριασμό με το πραγματικό όνομα και φωτογραφία του θύματος μέσα στο ίδιο κοινωνικό δίκτυο. Οπόταν, αφού ο attacker έχει πρόσβαση στις επαφές του θύματος σημαίνει ότι έχει πρόσβαση και στις ευαίσθητες προσωπικές πληροφορίες που παρέχονται από αυτές τις επαφές. Τα αποτελέσματα έχουν δείξει ότι ένας τυπικός χρήστης τείνει να δεχτεί ένα αίτημα φιλίας από κάποιο προφίλ πλαστοπροσωπίας (profile cloning) και που στην πραγματικότητα είναι ήδη μια επαφή στην λίστα φίλων του. Οπόταν η προϋπόθεση για αυτή την επίθεση είναι ότι οι χρήστες δεν είναι γενικά προσεκτικοί όταν δέχονται αιτήματα φιλίας. Πολλοί χρήστες δεν υποψιάζονται εάν ένα αίτημα φιλίας προέρχεται από κάποιον που γνωρίζουν ακόμα και αν αυτό το άτομο βρίσκεται ήδη στη λίστα φίλων τους. Για παράδειγμα για να κάνει ένα αίτημα φιλίας πιο πειστικό ο attacker μπορεί να προσθέσει και ένα μήνυμα π.χ «Αγαπητοί φίλοι, ο υπολογιστής μου έσπασε και ανακατασκευάζω τη λίστα φίλων μου. Παρακαλώ προσθέστε με πάλι!». Επιπλέον, αν μετά από λίγο τα θύματα παρατηρήσουν ότι αυτό είναι ένα ψεύτικο προφίλ και αφαιρέσουν αυτό το φίλο, o attacker είχε ήδη την ευκαιρία να έχει πρόσβαση και να αντιγράψει τα προσωπικά στοιχεία του θύματος. Μόλις, δημιουργηθεί ο κλωνοποιημένος λογαριασμός το σύστημα icloner μπορεί να επικοινωνήσει αυτόματα με του φίλους του θύματος και να στείλει αιτήματα φιλίας και το συγκεκριμένο σύστημα υποστηρίζει τέτοιου είδους επιθέσεις στο Facebook. Στη δεύτερη επίθεση (cross site profile cloning) είναι πολύ εύκολο να προσδιορίσουμε αυτόματα τους χρήστες που είναι εγγεγραμμένοι σε ένα κοινωνικό δίκτυο αλλά δεν είναι εγγεγραμμένοι σε άλλο. Mπορούμε να κλωνοποιήσουμε την ταυτότητα του θύματος στον ιστότοπο που είναι εγγεγραμμένος και να δημιουργήσουμε προφίλ του θύματος σε ένα κοινωνικό δίκτυο που δεν έχει ακόμη εγγραφεί. Άρα, ο βασικός στόχος του attacker είναι να κλέψει την ταυτότητα του θύματος και να ανακτήσει όσο το δυνατό περισσότερες πληροφορίες από τον αρχικό του λογαριασμό. Αφού δημιουργηθεί με επιτυχία αυτό το πλαστό προφίλ τότε ο attacker μπορεί αυτόματα να χτίσει το προφίλ του θύματος σε αυτό το κοινωνικό δίκτυο επικοινωνώντας με τους φίλους του θύματος που έχει εντοπίσει ότι είναι εγγεγραμμένοι και στα δύο κοινωνικά δίκτυα. Ο δεύτερος στόχος μετά τη δημιουργία της κλεμμένης ταυτότητας είναι να εντοπίσουν τους φίλους του θύματος στο αρχικό δίκτυο και να ελέγξουν ποιοι από αυτούς είναι καταχωρημένοι στο άλλο κοινωνικό δίκτυο. Επειδή σε ένα κοινωνικό δίκτυο με το ίδιο όνομα μπορεί να υπάρχουν πολλοί άνθρωποι(π.χ Αντρέας Ανδρέου μας επιστρέφει πολλούς λογαριασμούς με το ίδιο όνομα αφού είναι ένα κοινό όνομα στο Facebook) έτσι για την συγκεκριμένη εφαρμογή έχουν χρησιμοποιήσει ένα απλό σύστημα βαθμολόγησης και χρησιμοποιούν ένα όριο για να αποφασίσουν εάν δυο λογαριασμοί με το ίδιο όνομα σε διαφορετικά δίκτυα αντιστοιχούν στο ίδιο πρόσωπο. Δηλαδή, χρησιμοποιούν πεδία όπως η εκπαίδευση και αναθέτουν 2 πόντους εάν ταιριάζουν, οι εταιρείες που απασχολούνται είναι οι ίδιες αναθέτουν επιπλέον 2 πόντους, η πόλη και η χώρα που ζουν αναθέτουν επιπλέον 2 πόντους και αν η συνολική βαθμολογία είναι τουλάχιστον 3 καταλήγουν στο συμπέρασμα ότι
τα δύο προφίλ ανήκουν στον ίδιο χρήστη. Πως προσδιορίζουμε αν οι πληροφορίες που εισάγονται από ένα χρήστη στα δύο κοινωνικά δίκτυα είναι οι ίδιες; ένας χρήστης μπορεί να εισάγει «UCY» ως εκπαιδευτικό ίδρυμα στο κοινωνικό δίκτυο Α και ως «University of Cyprus» σε ένα κοινωνικό δίκτυο Β. Η λύση που χρησιμοποιούν είναι η αναζήτηση στο Google και συγκρίνουν τα πρώτα τρία αποτελέσματα αν και οι δύο όροι βρίσκονται στις 3 πρώτες σελίδες της αναζήτησης τότε αποφασίζουν ότι είναι ισοδύναμες. Αυτό έχει ως αποτέλεσμα τα αιτήματα φιλίας που στέλνει να φαίνονται απολύτως νόμιμα. Αυτή η επίθεση φυσικά είναι πολύ πιο δύσκολο να εντοπιστεί από τον παροχέα υπηρεσιών κοινωνικής δικτύωσης είτε από τον νόμιμο κάτοχο του αντιγραμμένου προφίλ. Η εφαρμογή icloner μπορεί να συγκρίνει αυτόματα και να δημιουργήσει λογαριασμούς σε δίκτυα ίδιας φύσης. Εφάρμοσαν αυτές τις επιθέσεις σε ένα πρωτότυπο σύστημα που ονομάζεται icloner, το οποίο υποστηρίζει και ανάλυση CAPTCHA και δυνατότητες να σπάσουν αυτό το σύστημα έτσι ώστε να μπορούν να γίνουν εφικτές αυτές οι επιθέσεις έναντι κοινωνικών δικτύων που χρησιμοποιούν το CAPTCHA για να αποτρέψουν την αυτοματοποιημένη πρόσβαση. Η αρχιτεκτονική συστήματος icloner είναι η ακόλουθη: 1. Crawler: είναι υπεύθυνο για να ανιχνεύει το κοινωνικό δίκτυο και να συλλέγει πληροφορίες σχετικά με τους χρήστες που έχουν επιλέξει να έχουν το προφίλ τους ως public. Συλλέγει πληροφορίες σχετικά με τις λίστες επαφών και τα προφίλ των χρηστών που είναι public. Αυτές οι πληροφορίες αποθηκεύονται σε μια βάση δεδομένων 2. Identify Matcher: Αναλύει τις πληροφορίες και προσπαθεί να εντοπίσει τα προφίλ σε διαφορετικά κοινωνικά δίκτυα που αντιστοιχούν στο ίδιο άτομο. 3. Profile Creator: Χρησιμοποιεί αυτές τις πληροφορίες για τη δημιουργία λογαριασμών σε ένα κοινωνικό δίκτυο όπου τα θύματα δεν έχουν ακόμη εγγραφεί ή να αντιγράψει ένα υπάρχον προφίλ μέσα στο ίδιο δίκτυο. 4. Message sender: Υπεύθυνο για να συνδεθεί στους δημιουργημένους λογαριασμούς και να στείλει αυτόματα αιτήματα φιλίας που είναι γνωστό ότι είναι φίλοι με το θύμα. 5. Σπάσιμο Captcha / Captcha analyzer: Αυτές οι επιθέσεις για να μπορέσουν αυτοματοποιηθούν, έπρεπε να αναπτύξουν μια σειρά από τεχνικές για σπάσιμο του CAPTCHA που βασίζονται σε ένα σύνολο εργαλείων ανοικτού κώδικα και κάποια custom developed scripts (σε Python and Perl) για την αναγνώριση κειμένου χρησιμοποιώντας Optical Character Recognition. Χρησιμοποίησαν το ImageMagick για το image filtering και το Tesseract για την αναγνώριση κειμένου χρησιμοποιώντας OCR. Για το profile cloning πραγματοποίησαν πείραμα στο Facebook για 5 χρήστες, χρησιμοποιώντας το icloner αντιγράψαν το προφίλ αυτών των χρηστών και για κάθε χρήστη δημιούργησαν ένα νέο λογαριασμό με το ίδιο όνομα και την ίδια εικόνα από το αρχικό προφίλ και απέστειλαν αιτήματα φιλίας στα άτομα που έχουν στην λίστα φίλων τους. Πάνω από το 60% αποδέχτηκε τα αιτήματα φιλίας και από τα 5 πλαστά προφίλ που δημιουργήθηκαν και σε μια περίπτωση φτάνει και το 90% για όπου οι φίλοι του
αποδέχτηκαν το αίτημα φιλίας από το πλαστό προφίλ. Το ποσοστό αποδοχής αιτημάτων από άγνωστους χρήστες είναι κάτω από το 30%. Ακόμη σε ένα δεύτερο πείραμα, θέλαν να δουν πόση εμπιστοσύνη έχουν οι χρήστες στα μηνύματα που λαμβάνουν από αυτές τις νέες επαφές που προστέθηκαν στην λίστα φίλων τους και έτσι δημιούργησαν ένα μη προσωπικό μήνυμα «Γεια σου, έβαλα κάποιες περισσότερες φωτογραφίες online. Ελέγξτε τα εδώ!: http://193.55.112.123/userspace/pix?user= <account> & guest = <contact> & cred = 3252kj5kj25kjk325hk} Ciao, <όνομα του λογαριασμού>». Επιπλέον, έστειλαν το μήνυμα μετά το αίτημα φιλίας στους χρήστες οι οποίοι δέχθηκαν το αίτημα φιλίας από το πλασματικό προφίλ και αργότερα σε αυτούς που δεν αποδέχθηκαν το αίτημα φιλίας, και στις 2 περιπτώσεις το 50% έκαναν κλικ για να δουν το μήνυμα από το πλαστό προφίλ. Αυτό αποδεικνύει ότι οι επιθέσεις που περιγράφουμε μπορούν να χρησιμοποιηθούν αποτελεσματικά για την αποστολή ανεπιθύμητων μηνυμάτων στους χρήστες είτε αποστέλνονται από πλαστά προφίλ είτε από άγνωστους χρήστες. Όσο αφορά το δεύτερο είδος επίθεσης της κλωνοποίησης προφίλ (cross site profile cloning). Υποθέτουμε ότι το κοινωνικό δίκτυο πηγής ονομάζεται Ν1 και το κοινωνικό δίκτυο στο οποίο θα δημιουργηθεί το προφίλ είναι το Ν2. Κλωνοποίησαν τα προφίλ 5 χρηστών του XING στο LinkedIn. Το icloner διαπίστωσε ότι το 17,6% των φίλων αυτών των 5 χρηστών στο XING ήταν επίσης καταχωρημένες στο LinkedIn και έστειλαν αιτήματα φιλίας σε αυτούς. Από τα 78 αιτήματα φιλίας που έστειλαν στο LinkedIn το 56% των χρηστών έγιναν αποδεκτά. Paper 2: COMPA: Detecting Compromised Accounts on Social Networks Αυτό το άρθρο μας παρουσιάζει μια νέα προσέγγιση για την ανίχνευση compromised accounts σε δύο πολύ δημοφιλείς κοινωνικά δίκτυα το Twitter και το Facebook. Ανιχνεύουν λογαριασμούς οι οποίοι αντιμετωπίζουν μια ξαφνική αλλαγή στην συμπεριφορά τους. Ανάπτυξαν ένα εργαλείο το οποίο ονομάζεται COMPA για την ανίχνευση τέτοιων λογαριασμών. Ένα compromised account είναι ένας λογαριασμός ο οποίος είναι νόμιμος αλλά έχει περάσει στα χέρια ενός attacker. Οι λογαριασμοί μπορούν να γίνουν compromised πολύ εύκολα όπως για παράδειγμα με τη χρήση phishing scam για να κλέψουν τα credentials ενός χρήστη. Η βασική ιδέα στη οποία βασίζεται για την ανάπτυξη αυτού του συστήματος COMPA είναι ότι θα μοντελοποιηθούν οι τακτικές δραστηριότητες των μεμονωμένων χρηστών και εάν σε οποιοδήποτε σημείο ο λογαριασμός ενός χρήστη παραβιαστεί είναι πιθανόν ότι θα υπάρξει αισθητή αλλαγή στη συμπεριφορά του λογαριασμού. Για να μπορέσουν να καταγράψουν την προηγούμενη συμπεριφορά του χρήστη χρησιμοποιούν κάποια στατιστικά μοντέλα τα οποία ονομάζονται προφίλ συμπεριφοράς. Καθένα από αυτά τα στατιστικά μοντέλα αντιστοιχεί σε ένα χαρακτηριστικό γνώρισμα ενός μηνύματος (π.χ την ώρα αποστολή ή την γλώσσα στην οποία γράφτηκε) και μέσω των προφίλ συμπεριφορά μπορούμε να αξιολογήσουμε τα μελλοντικά μηνύματα, για να γίνω πιο σαφής ένα μήνυμα που φαίνεται να διαφέρει πολύ από την τυπική συμπεριφορά ενός χρήστη ενδέχεται να υποδηλώνει ότι είναι compromised account. Επειδή όμως μπορεί ένα μήνυμα που είναι πολύ διαφορετικό από κάποιο μήνυμα που στάλθηκε από τον ίδιο χρήστη στο παρελθόν δεν σημαίνει απαραίτητα ότι είναι compromised account απλά μπορεί να κατοπτρίζει μια κανονική αλλαγή στη συμπεριφορά του χρήστη, έτσι για να εξακριβώσουν ότι αυτό το μήνυμα προέρχεται από κάποιο compromised account αναζήτησαν και άλλα παρόμοια μηνύματα που δημοσιεύθηκαν πρόσφατα στο συγκεκριμένο κοινωνικό δίκτυο και που παραβιάζουν τα προφίλ συμπεριφοράς των χρηστών τους. Ένα προφίλ συμπεριφοράς αξιοποιεί το ιστορικό των δραστηριοτήτων ενός χρήστη για να καταγράψει τη αναμενόμενη (κανονική) συμπεριφορά ενός χρήστη. Για να δημιουργήσουμε ένα προφίλ
συμπεριφοράς το σύστημα επικεντρώνεται στη ροή των μηνυμάτων που δημοσιεύει ένας χρήστης στο κοινωνικό δίκτυο. Η ροή των μηνυμάτων είναι μια λίστα με όλα τα μηνύματα που έχει δημοσιεύσει ο χρήστης στο κοινωνικό δίκτυο με χρονολογική σειρά. Για παράδειγμα στο Twitter η ροή μηνυμάτων αντιστοιχεί στο public timeline του χρήστη. Για το Facebook, η ροή μηνυμάτων αντιστοιχεί στις αναρτήσεις που ο χρήστης έγραψε στο δικό του τοίχο αλλά και στα μηνύματα που έχει δημοσιεύσει αυτός ο χρήστης στον τοίχο κάποιου φίλου του. Μόλις, το σύστημα λάβει αυτή τη ροή μηνυμάτων χρησιμοποιούν αυτές τις πληροφορίες για να δημιουργήσουν το αντίστοιχο προφίλ συμπεριφοράς. Πιο συγκεκριμένα, το σύστημα εξάγει ένα σύνολο τιμών χαρακτηριστικών από κάθε μήνυμα και στη συνέχεια, για κάθε χαρακτηριστικό, εκπαιδεύει ένα στατιστικό μοντέλο. Για τον σκοπό αυτό υπολογίζεται ένα anomaly score εξάγοντας τις τιμές χαρακτηριστικών για το νέο μήνυμα και στη συνέχεια συγκρίνουμε αυτές τις τιμές με τα αντίστοιχα μοντέλα χαρακτηριστικών. Κάθε μοντέλο παράγει ένα σκορ (πραγματική τιμή) στο διάστημα [0, 1], όπου το 0 υποδηλώνει απόλυτα φυσιολογικό (για το υπό εξέταση χαρακτηριστικό) και το 1 δείχνει ότι το χαρακτηριστικό είναι εξαιρετικά «ανώμαλο». Το anomaly score υπολογίζεται συνθέτοντας τα αποτελέσματα για όλα τα μεμονωμένα μοντέλα. Μοντελοποίηση χαρακτηριστικών μηνυμάτων για εκπαίδευση των στατιστικών μοντέλων για την δημιουργία προφίλ συμπεριφοράς: 1. Ώρα της μέρας: Αυτό το μοντέλο καταγράφει την ώρα της μέρας κατά την οποία ένας λογαριασμός είναι συνήθως ενεργός. Πολλοί χρήστες έχουν ορισμένες περιόδους κατά τη διάρκεια μιας ημέρας όπου είναι πιο πιθανό να δημοσιεύσουν (π.χ. μεσημεριανά διαλείμματα) και άλλες που είναι συνήθως ήσυχες (π.χ. κανονικές ώρες ύπνου). Εάν η ροή ενός χρήστη υποδεικνύει παρατυπίες στη χρήση του κοινωνικού δικτύου, για παράδειγμα να ποστάρει κάποια μηνύματα κατά τις ώρες που σχετίζονται με ήσυχες περιόδους, τότε αυτά τα μηνύματα θεωρούνται «ανώμαλα». 2. Πηγή μηνύματος: Η πηγή ενός μηνύματος είναι το όνομα της εφαρμογής που χρησιμοποιήθηκε για την υποβολή του. 3. Γλώσσα μηνύματος: Το σύνηθες φαινόμενο είναι ότι ο κάθε χρήστης γράφει μηνύματα μόνο σε λίγες γλώσσες (συνήθως μια ή δυο). Έτσι για τα προφίλ όπου το χαρακτηριστικό αυτό είναι σταθερό, μια αλλαγή στη γλώσσα αποτελεί ένδειξη ύποπτης αλλαγής στην δραστηριότητα του χρήστη. Για να προσδιοριστεί η γλώσσα στην οποία γράφτηκε χρησιμοποιούν μια βιβλιοθήκη εκτελεί κατηγοριοποίηση κειμένου βάσει n-gram. 4. Θέμα μηνύματος: Οι πιο πολλοί χρήστες έχουν ένα σύνολο θεμάτων για τα οποία μιλάνε πιο συχνά, όπως αγαπημένες αθλητικές ομάδες κ.λ.π. Όταν οι χρήστες ξαφνικά δημοσιεύσουν κάποια μηνύματα για διαφορετικά ή μη συναφή θέματα αυτό το μήνυμα θα πρέπει να θεωρηθεί «ανώμαλο». Επίσης όλα πλέον τα κοινωνικά δίκτυα μας επιτρέπουν να χρησιμοποιούμε τα λεγόμενα hashtags # όταν υπάρχουν αυτά είναι μια πολύτιμη πηγή για τα πιο συχνά θέματα για τα οποία μιλά ο χρήστης. 5. Σύνδεσμοι μέσα στα μηνύματα: Συχνά τα μηνύματα που δημοσιεύονται περιέχουν συνδέσμους προς άλλες ιστοσελίδες, εικόνες, βίντεο ή άρθρα ειδήσεων. Ελέγχουμε σε αυτό το μοντέλο αν υπάρξει κάποια διεύθυνση URL η οποία είναι διαφορετική από αυτή που θα περιμέναμε από τον συγκεκριμένο χρήστη. 6. Απευθείας αλληλεπίδραση χρηστών: ή μέσω απευθείας μηνύματος ή χρησιμοποιώντας το χαρακτήρα @ και μετά το όνομα του παραλήπτη ή με το να δημοσιεύσουμε στο τοίχο κάποιου άλλου χρήστη. Έτσι καταγράφεται το ιστορικό αλληλεπίδρασης ενός χρήστη.
7. Εγγύηση: Για παράδειγμα, ένας τυπικός χρήστης του Facebook θα έχει πολλούς φίλους που ζουν στην ίδια πόλη, πήγαιναν στο ίδιο σχολείο ή εργάζονται για την ίδια εταιρεία. Αν αυτός ο χρήστης άρχισε ξαφνικά να αλληλεπιδρά με ανθρώπους που ζουν σε άλλη ήπειρο, αυτό θα μπορούσε να είναι ύποπτο. Τα μοντέλα μας χωρίζονται σε 2 κατηγορίες: i. Υποχρεωτικά μοντέλα: είναι αυτά στα οποία υπάρχει μια τιμή χαρακτηριστικού για κάθε μήνυμα και αυτή η τιμή είναι πάντα παρούσα. Πχ ώρα της ημέρας, πηγή μηνύματος, εγγύηση, γλώσσα. ii. Προαιρετικά μοντέλα: είναι αυτά στα οποία δεν υπάρχει μια τιμή σε κάθε μήνυμα. Πχ σύνδεσμοι, άμεση αλληλεπίδραση και θέμα μηνύματος. Κάθε μοντέλο χαρακτηριστικών αναπαρίσταται από ένα σύνολο Μ. Κάθε στοιχείο Μ είναι μια πλειάδα <fv, c>, όπου fv είναι η τιμή ενός χαρακτηριστικού (π.χ. αγγλικά για το μοντέλο γλώσσας ή example.com για το μοντέλο συνδέσμου) c υποδηλώνει τον αριθμό των μηνυμάτων στα οποία υπήρχε η συγκεκριμένη τιμή χαρακτηριστικού fv. Για τα υποχρεωτικά μοντέλα αν δεν υπάρχει πλειάδα στο M με fv τότε το μήνυμα θεωρείται ανώμαλο και επιστρέφει σαν βαθμολόγια 1 αλλιώς 0. Στα προαιρετικά μοντέλα εάν το Μ περιέχει μια πλειάδα με το fv δίνεται βαθμολογία 0. Εάν δεν υπάρχει η πλειάδα στο Μ το μήνυμα θεωρείται ανώμαλο. Για να διακρίνουμε τα κακόβουλα μηνύματα χρησιμοποιούμε και την ομοιότητα ενός μηνύματος πριν πούμε ότι ένα λογαριασμός είναι compromised. Για να ομαδοποιήσουμε τα παρόμοια μηνύματα και αργότερα να τα αναλύσουμε σε ομάδες για παραβιάσεις προφίλ χρησιμοποιούμε 2 τρόπους: i. Ομοιότητα περιεχομένου: Τα μηνύματα που περιέχουν παρόμοιο κείμενο. Χρησιμοποιεί ανάλυση n-gram του κειμένου ενός μηνύματος για να συγκεντρώσει μηνύματα με παρόμοια περιεχόμενα. Χρησιμοποιούμε ολόκληρες λέξεις ως βάση για την ανάλυση n-gram. Δύο μηνύματα θεωρούνται παρόμοια εάν μοιράζονται τέσσερις διαδοχικές πανομοιότυπες λέξεις. ii. Ομοιότητα διεύθυνσης URL: Θεωρούμε ότι δύο μηνύματα είναι παρόμοια εάν και τα δύο περιέχουν τουλάχιστον έναν σύνδεσμο σε παρόμοια διεύθυνση URL. Για την εύρεση των Compromised Accounts θεωρείται ότι μια ομάδα παρόμοιων μηνυμάτων ονομάζεται ύποπτη αν ο αριθμός των μηνυμάτων που παραβιάζουν τα προφίλ συμπεριφοράς υπερβαίνει ένα κατώτατο όριο. Το όριο αυτό εξαρτάται από το μέγεθος της ομάδας. Για την εκτίμηση, εφάρμοσαν το σύστημα COMPA στο Facebook σε μεγάλο σύνολο δεδομένων. Συγκρίνοντας νέα μηνύματα σε αυτά τα προφίλ, είναι δυνατό να ανιχνευθούν μηνύματα που αντιπροσωπεύουν μια (ενδεχομένως κακόβουλη) αλλαγή στη συμπεριφορά του λογαριασμού. Με την ομαδοποίηση λογαριασμών που περιέχουν παρόμοια μηνύματα, πολλά από τα οποία παραβιάζουν τα προφίλ συμπεριφοράς των αντίστοιχων λογαριασμών τους, η COMPA είναι σε θέση να εντοπίσει ομάδες συμβιβασμένων λογαριασμών που χρησιμοποιούνται για τη διανομή κακόβουλων μηνυμάτων σε αυτά τα κοινωνικά δίκτυα. Επιπλέον, αξιολογήσαν στο σύνολο δεδομένων του Facebook με το μέτρο ομοιότητας κειμένου για την ομαδοποίηση παρόμοιων μηνυμάτων.το COMPA δημιούργησε 206.876 προφίλ σε 48.586 ομάδες και επισήμανε 671 ομάδες ως συμβιβαζόμενες (δηλ. 11.499 συμβιβασμούς λογαριασμών) και μόνο 22 νόμιμες ομάδες κατηγοριοποιήθηκαν λανθασμένα (δηλ. 3,3% ψευδώς θετικά) ως συμβιβαζόμενες.