Как выиграть или обмануть ЛЮБОЙ конкурс онлайн-голосования


Ни для кого уже не секрет, что я не фанат соревнований по голосованию , особенно тех, которые построены безответственно. Вот почему я решил создать исчерпывающее руководство по взлому (/ мошенничеству) плохо спроектированных  некоммерческих соревнований по голосованию .
Проблема с соревнованиями по голосованию заключается, что они противопоставляют некоммерческие организации друг другу за приз, который обычно не приближается к истинной стоимости голосов, которые эти организации стремятся получить. Более того, они рискуют сжечь сторонников этих великих организаций.  

В худшем случае одна организация решает обмануть и сделать накрутку голосов, потому что система спроектирована с недостатками какой-то маркетинговой фирмой, и они видят способ легко обмануть систему, чтобы выиграть деньги для своего великого дела. Я не оправдываю и не поддерживаю читерство - я считаю, что единственный способ выиграть эти соревнования - не играть. Однако, чтобы напугать людей, создающих эти конкурсы, я решил создать это руководство.

Шаг 1. Разберитесь, как он устроен


В соревнованиях по онлайн-голосованию будут использоваться различные способы отслеживания голосов через веб-сайт. Вот самые распространенные строительные технические:

Веб-форма, созданная с помощью метода GET


Этот метод (низкий уровень безопасности) означает, что форма будет помещать данные в URL-адрес, и вы их увидите. например, Wholewhale.com/thanks.asp?orgname=charity&vote=true
Как взломать: Найдите этот URL и нажмите кнопку обновления. Скрыть файлы cookie и IP-адрес, если они отслеживаются. Разместите эту ссылку где угодно, и каждый клик будет означать голосование. Честно говоря, ни один уважаемый конкурс не будет построен таким образом, потому что сейчас не 2021 год, но эй, как знать ...

Веб-форма, созданная методом POST


Этот метод по накрутке голосов (средний уровень безопасности) означает, что форма будет проталкивать данные через тело запроса и не будет отображаться в URL-адресе.
Как сломать: вы можете использовать кнопку «Назад», если файлы cookie не установлены. Если они установлены, вы можете скрыть файлы cookie с помощью браузера, такого как  Chrome, с отключенными файлами cookie . Если они построили его правильно, вам понадобится более продвинутый технический подход с участием человека (см. Шаг 2 ниже).

Файлы cookie - конкурсы, не требующие входа в систему и позволяющие анонимное голосование, зависят от файлов cookie, которые в некоторых случаях могут иметь таймеры. Чтобы сломать: очистите файлы cookie, проголосуйте, повторите. Используйте Chrome и средство  для удаления файлов cookie, чтобы заблокировать файлы cookie на сайте, если он по-прежнему позволяет вам сделать накрутку голосов, вы готовы щелкнуть мышью. Браузер Brave.com имеет очень хорошую защиту конфиденциальности, которая блокирует этот тип отслеживания.

Cookie и IP на мобильном телефоне - если вы используете мобильное устройство, вы можете попробовать переключиться в режим полета и использовать сеть Wi-Fi, чтобы запутать отслеживание IP.
IP - Некоторые используют IP для определения местоположения голосования. Вы можете использовать прокси-сервер  или локальный VPN, например Hotspot Shield .
Учетная запись онлайн - для этого потребуется несколько учетных записей и более продвинутый подход, чтобы получить достаточно голосов. В зависимости, как аутентифицируется учетная запись, автоматизация массового голосования может оказаться невозможной.

Подтверждение по электронной почте - это наиболее распространенная система, которую я вижу, она требует подтверждения электронной почты из почтового ящика со ссылкой для записи голосования.

Шаг 2: автоматизация с участием человека


Ниже приведены различные тактики накрутки голосов, которые можно комбинировать для взлома большинства систем голосования с небольшой помощью сторонних инструментов. Чтобы не выглядеть подозрительно, важно не показывать подозрительно большое количество голосов - я могу сразу сказать, является ли распределение голосов неестественным и нарушающим ожидаемый степенной закон (20% участников получают 80% от общего числа голосов). В одном случае мы заметили это в конкурсе, который рассматривал один из наших клиентов, и посоветовали им не участвовать - позже мы нашли несколько статей о произошедшем мошенничестве.

Компьютерные макросы

Макрос - это программа, которую вы можете установить на компьютере, которая выполняет серию щелчков мыши и нажатий на клавиатуре с заданным интервалом. Если система голосования не требует ввода капчи или другого человеческого теста, можно создать макрос, чтобы непрерывно проходить цикл накрутки голосов. Сочетание этих инструментов с защитой точки доступа и отключенными на компьютере файлами cookie может нарушить большинство процессов проверки, не связанных с электронной почтой. Некоторые инструменты:

Macro Express  - загружаемое программное обеспечение, которое позволит вам превратить ваш компьютер в бота, который при необходимости нажимает и вводит информацию.
AutoHotkey  - загружаемое программное обеспечение, которое позволит вам щелкать любые кнопки или загружать страницы.

Генераторы электронной почты

Для безопасных систем голосования, которые не имеют строгих подтверждений электронной почты, есть способы быстро создавать электронные письма. Эти взломы электронной почты также нужно использовать для создания учётных записей для систем, требующих входа в систему.

Любой адрес электронной почты Gmail, Hotmail, Yahoo или обычного домена можно превратить в тысячи писем, добавив «+» или «.» после имени и перед знаком «@». Например, yourname@gmail.com может быть yourname+anyword@gmail.com, и письмо по-прежнему будет доставлено на ваш адрес.

Если у вас есть собственный домен, вы можете создать несколько псевдонимов для одной учетной записи электронной почты и сделать накрутку голосов.

Mailinator - это сайт, который будет генерировать для вас электронные письма по запросу и предоставить вам быстрый почтовый ящик, на который будет отправлена ​​ссылка для подтверждения. Использование различных почтовых доменов может помочь сделать это менее спамерским. Это список временных почтовых доменов, размещенных через mailinator: http://torvpn.com/ Contemporaryemail.html

Голосование на аутсорсинге

За символическую сумму денег организация может покупать голоса или электронные письма через «брокеров голосования». Эти группы будут делать ставки так, как они переводят аудио в текст или выполняют другие простые аутсорсинговые задачи для компаний. Технически политика Amazon Turk - платить рабочим за голосование - и это здорово. Однако вы все равно можете нанять кого-нибудь на таком сайте, как UpWork, для создания сценария, который мог бы использовать вышеуказанную тактику накрутки голосов.

Голосование по доверенности

Голосование по доверенности традиционно означает, что избиратель передает свое право голоса третьей стороне. Один человек может управлять огромными списками прокси-аккаунтов, просто входя в систему один за другим и голосуя. Представьте себе, если бы политические сотрудники могли собирать разрешение на голосование от имени избирателей в округе на неограниченный срок - не совсем по воле или действиям толпы, но очень эффективно.
Лучший способ выиграть некоммерческое голосование - не участвовать.

Наконец, для создателей конкурса

Этот пост призван испортить плохо спланированные соревнования по голосованию и напугать всех, кто думает о создании некоммерческого соревнования по голосованию. Я ненавижу идею обмана некоммерческих организаций и думаю, что это начинается, когда в конкурсе не используется накрутка голосов.

Ответственные вопросы по дизайну конкурса

Можно ли с помощью вышеперечисленных уязвимостей быстро обойти вашу онлайн-систему? (Прошу не использовать GET-запросы или анонимное голосование)
Можете ли вы использовать стороннюю аутентификацию, чтобы остановить взлом электронной почты?

Достаточно ли велик призовой фонд, чтобы уравнение ожидаемой стоимости имело смысл для всех участников?
Ожидаемое значение для голосования в конкурсе = сумма приза * (всего # победителей / всего # благотворительных организаций)

Могут ли участвующие некоммерческие организации хранить данные об избирателях, относящиеся к их организации? В случае электронных писем они их получают?
Есть ли способ построить это так, чтобы каждый участник каким-то образом выигрывал?
Ограничены ли временные рамки, поэтому остается лишь небольшое окно бессмысленных запросов на голосование?

Есть ли умный способ спроектировать процесс голосования так, чтобы он действительно оказал положительное влияние на некоммерческую организацию?

Например, избиратели должны предоставить фотографии, которые они сделали, по делу, к которым некоммерческая организация может получить доступ позже для своей базы данных фотографий. Или они должны представить 1 идею, которая, по их мнению, улучшит их работу.

Могли бы вы использовать пороговое голосование, когда некоммерческие организации должны набрать X голосов, чтобы их рассмотрела комиссия? Это устраняет бессмыслицу голосования, но при этом дает небольшой сетевой эффект, на который вы рассчитываете для своего бренда. Это хорошо сочетается с социальной интеграцией.

Я надеюсь, что эти вопросы побудят к более творческому подходу к дизайну конкурса и принесут больше пользы участвующим некоммерческим организациям.

Итак, у вас есть это -
 и наше руководство по предотвращению конкурсов онлайн-голосования, чтобы ваша некоммерческая организация могла выиграть. И что еще более важно, чтобы сделать эту одностороннюю маркетинговую тактику прозрачной.