Storm av nya medlemsregistreringar

[MOA]

Jag har tagit mig en titt på de 20 senaste medlemmarna, och ingen av dem kommer från samma IP-adress eller ens samma subnät - och dessa 20 kommer från 10 olika länder. Flera av e-postadresserna är dock misstänkt snarlika varandra, om än inte identiska.

Jag har dolt IP-adresserna, men så här ser det ut med länderna:

lisawy16: Österrike (samma IP-adress som en medlem som registrerades den 3 juni)
leaco3: USA (samma IP-adress som 4 andra medlemmar)
Lillefot: Sverige
roxieur18: Nederländerna (samma IP-adress som 3 andra medlemmar)
lilianahs1: Nederländerna (samma IP-adress som 4 andra medlemmar)
coreywv2: Danmark (men enligt whois-informationen är det en IP-adress som används för Tor)
latoyalt11: Ukraina (samma IP-adress som 3 andra medlemmar)
MagnusH: Sverige
jx2: Tyskland (samma IP-adress som en annan medlem som registrerades i april)
taylorqg11: Storbritannien
luciaxo1: Tyskland
lakishavw16: Tyskland (men enligt who-informationen är det en IP-adress som används för Tor - och samma IP-adress som en medlem registrerad i augusti 2021)
janetxi60: Tyskland (men enligt who-informationen är det en IP-adress som används för Tor)
hh3: Sverige
lorietk16: USA
ivajp16: Frankrike (men whois-informationen skulle kunna tyda på att IP-adressen används för Tor)
lenoregp2: Nederländerna
jacquelinesm69: Nederländerna (men enligt who-informationen är det en IP-adress som används för Tor)
paulajo2: Nederländerna (men enligt whois-informationen är det en IP-adress som används för Tor)
juananu2: Luxemburg (men enligt who-informationen är det en IP-adress som används för Tor)

Det mest uppenbara varningstecknet här är ju det faktum att 7 av de 20 medlemmarna har IP-adresser som används för Tor; varav man kan misstänka att kanske ännu fler av IP-adresserna också gör det men utan att ha märkt ut det. För er som inte känner till det, så är Tor ett anonymiseringsnätverk där surfande går via slumpvis utvalda noder runt om i världen, så att man i princip är 100% anonym - ett nätverk som vanligtvis används för att komma åt darknet, och som ju ofta används för mer eller mindre ljusskygga aktiviteter.

Nu finns det förvisso många fullt legitima användningar av Tor, men fortfarande är det väl såvitt jag vet inget som gemene man i västvärlden använder för helt vanligt surfande eller att besöka helt oskyldiga webbsajter; utan vanligtvis bara något man tar till när man behöver vara anonym - med andra ord sannolikt inte något som de flesta tar till för allt surfande på nätet, utan bara när så behövs. Bor man i länder där Internet är censurerat och/eller övervakat är ju exempelvis Tor ovärderligt, men sannolikheten att seriösa levande människor bosatta i Kina, Nordkorea eller Ryssland skulle besöka Dubbningshemsidan och kunna svenska lär väl vara tämligen begränsad...


Så den stora frågan är alltså om alla dessa medlemmar, eller åtminstone en stor andel av dem, är en och samma person/robot; eller om det rör sig om en organiserad insats med många personer inblandade...? Och vad är egentligen syftet...? Är syftet att publicera eller skicka spam, men att den/de aldrig lyckats komma längre än till registreringen? Eller ännu mörkare avsikter än så?

Och varför registrera konton, men sen inte göra något annat...? Finns det någon form av säkerhetshål i forumprogramvaran SMF, som gör det möjligt att kunna komma undan CAPTCHA-kontrollerna vid registrering av medlemmar; men som inte fungerar för att skriva inlägg...? Eller vad finns det för annan anledning till att skapa så många konton, men sen inte göra något med dem; trots att det är samma CAPTCHA-kontroll för att skriva inlägg som för att registrera medlemskonton...?

Vissa av dessa medlemskonton kan säkert vara legitima användare, som bara inte har kommit sig för att posta något än, men det är sannolikt inte förklaringen för merparten av dem...

Att personer i helt andra länder skulle besöka ett forum på ett språk som dom int förstår låter helt meningslöst

[Daniel Hofverberg]

Att personer i helt andra länder skulle besöka ett forum på ett språk som dom int förstår låter helt meningslöst

Förutom att IP-adresser och vilka länder de tillhör inte är någon exakt vetenskap. Det är ju faktiskt fullt möjligt för svenskar att använda VPN för att få det att se ut som att de befinner sig i ett annat land. Det händer ju exempelvis ibland att jag använder amerikansk VPN, och då kommer det ju se ut som att jag befinner mig i USA, även fast så inte är fallet.

Men det är knappast förklaringen i det här fallet, och framförallt är det ju ett varningstecken att 7 av de senaste 20 medlemmarna har använt sig av Tor. Även fast det finns ett flertal legitima anledningar till att använda Tor, så har jag svårt att se poängen med att använda det till vardagligt surfande och att besöka ett diskussionsforum som inte direkt tar upp något alltför kontroversiellt eller känsligt.

Jag har i alla fall aldrig stött på någon som använt Tor för helt vanligt surfande, utan bara när man gör något så att man verkligen behöver vara 100% anonym. Då känns det mer naturligt att använda VPN, som en del gör i integritetssyfte och som kan verka mer rimligt att använda även till vardagligt surfande. Men Tor är ju ännu säkrare, men eftersom man då kopplas mellan olika IP-adresser lär det knappast fungera för exempelvis streamingtjänster och dylikt.

[Anders M Olsson]

Flera av e-postadresserna är dock misstänkt snarlika varandra, om än inte identiska.

Vad jag kan se har alla, eller så gott som alla, spökanvändarna e-postadresser i någon av bara fyra olika domäner:
officemail.fun (118 medlemmar)
officemail.in.net (134 medlemmar)
inwebmail.fun (151 medlemmar)
meta1.in.net (159 medlemmar)

Samtliga dessa fyra domäner ger följande varningstext hos ipqualityscore.com:

IPQS email validation algorithms have detected that email addresses on this domain are temporary, disposable, and likely used for abuse and fraudulent behavior. IPQS has high confidence this domain is used for conducting abusive behavior including scams. All users from this domain should be treated with caution.

Finns det något sätt att bannlysa användare med e-postadresser i vissa domäner från att registrera sig? Om du bannlyser ovanstående fyra domäner skulle det nog stoppa fler spökanvändare från att registrera sig, i alla fall för tillfället - tills de byter till nya domäner.

[Steffan Rudvall]

Finns det inte en funktion som gör att nya användare måste godkännas innan kontot färdigställs?

[Anders M Olsson]

Nu dök det upp ett spam-meddelande från en av våra "kära" spökmedlemmar, chasityfx3. Det är väl risk för att det blir många fler. Avsikten med alla de här registreringarna är kanske att bygga upp en plattform för kommande spam, där man har hundratals konton redo för kommande behov.

Daniel, du kan nog saklöst radera alla medlemmar som har e-postadresser i domänerna officemail.fun, officemail.in.net, inwebmail.fun och meta1.in.net. Jag tror knappast det finns några normala användare som har sina e-postkonton där.

[Anders M Olsson]

Finns det inte en funktion som gör att nya användare måste godkännas innan kontot färdigställs?

Du menar godkännas manuellt? Det finns alldeles säkert en sån funktion, men jag har svårt att tro att Daniel skulle vilja skärpa säkerheten så hårt eftersom det skulle betyda både merarbete för honom och väntetid för nya (seriösa) användare.

[Daniel Hofverberg]

Finns det något sätt att bannlysa användare med e-postadresser i vissa domäner från att registrera sig? Om du bannlyser ovanstående fyra domäner skulle det nog stoppa fler spökanvändare från att registrera sig, i alla fall för tillfället - tills de byter till nya domäner.

Jag är ärligt talat inte helt säker om jokertecken tillåts när man anger e-postadresser att bannlysa, men jag hoppas det - jag har i alla fall försökt att bannlysa dessa fyra domännamn nu, så hoppas jag att det får effekt.

[Anders M Olsson]

Jag är ärligt talat inte helt säker om jokertecken tillåts när man anger e-postadresser att bannlysa, men jag hoppas det - jag har i alla fall försökt att bannlysa dessa fyra domännamn nu, så hoppas jag att det får effekt.

Jag ser att alla de tidigare "spökena" nu är borta från medlemslistan. Har du raderat dem, eller är det en bieffekt av bannlysningen?

[Daniel Hofverberg]

Jag ser att alla de tidigare "spökena" nu är borta från medlemslistan. Har du raderat dem, eller är det en bieffekt av bannlysningen?

Jag har manuellt raderat den första av de fyra aktuella e-postdomänerna, men då det var så pass omständligt har jag inte orkat med de övriga tre än. Det måste nämligen raderas sida för sida, vilket var lite tidsödande. Närmare bestämt, när jag går på "Sök efter medlemmar" och söker på någon av domännamnen får jag fram en lista uppdelad på 7 - 8 sidor, med kryssrutor för att "Radera alla". Men det går bara att göra för alla som ryms på den aktuella sidan, och när man gjort det kommer man tillbaka till sidan innan och måste alltså gå tillbaka till "Sök efter medlemmar" och söka på samma e-postdomän igen; för att göra om proceduren för varje sida som syns...

[Anders M Olsson]

Jag har manuellt raderat den första av de fyra aktuella e-postdomänerna, men då det var så pass omständligt har jag inte orkat med de övriga tre än. Det måste nämligen raderas sida för sida, vilket var lite tidsödande. Närmare bestämt, när jag går på "Sök efter medlemmar" och söker på någon av domännamnen får jag fram en lista uppdelad på 7 - 8 sidor, med kryssrutor för att "Radera alla". Men det går bara att göra för alla som ryms på den aktuella sidan, och när man gjort det kommer man tillbaka till sidan innan och måste alltså gå tillbaka till "Sök efter medlemmar" och söka på samma e-postdomän igen; för att göra om proceduren för varje sida som syns...

Det måste betyda att så fort en medlem bannas kommer han/hon inte längre att synas i medlemslistan för oss vanliga medlemmar, även om kontot fortfarande finns kvar. Förhoppningsvis kan de bannade medlemmarna inte heller logga in och orsaka mer skada.

Hur som helst ser medlemslistan betydligt trevligare ut nu, så tack för allt arbete du lägger ner!

[Daniel Hofverberg]

Det måste betyda att så fort en medlem bannas kommer han/hon inte längre att synas i medlemslistan för oss vanliga medlemmar, även om kontot fortfarande finns kvar. Förhoppningsvis kan de bannade medlemmarna inte heller logga in och orsaka mer skada.

Ironiskt nog verkar bannlysningen fungera lite för bra - inte ens jag som administratör kan hitta åt dem längre, vilket gör det svårt att kunna radera kontona...

[Anders M Olsson]

Ironiskt nog verkar bannlysningen fungera lite för bra - inte ens jag som administratör kan hitta åt dem längre, vilket gör det svårt att kunna radera kontona...

Då kan du väl släppa bannlysningen för en domän i taget så att du kommer åt att radera kontona, och sen slå på den igen?

[Goliat]

Kan du inte tillåta enbart personer med "vanligare" epost-adresser enbart bli medlemmar? Eller skapa svårare att skapa en verifiering extra som skriv bokstavens namn som ser ut som en upp och ner 6 exempelvis. Det borde kanske hindra ett tag nya skumma profiler.

[Anders M Olsson]

Så långt allt väl. Nyregistreringen av medlemmar verkar vara nere på normala nivåer.

Bra att åtgärden har haft effekt.