Dzisiaj przedstawię czarną stronę Instagram. Mam dużo na ten temat do powiedzenia, ponieważ botami zajmuję się od końca 2016 roku, czyli od momentu gdy zacząłem testować różne narzędzia ułatwiające promowanie na portalach typu Instagram. Pierwszą swoją domenę pod Bota zarejestrowałem 16 lutego 2017 roku, a aktualnie sprzedaję aplikację mojego autorstwa- bota pod nazwą FastInsta.

Kto najczęściej korzysta z botów?

W mojej bazie liczącej ponad 10.000 użytkowników najwięcej jest firm i MLMów. Dzięki aplikacji firmy te, osiągają bardzo szybkie efekty w aspekcie marketingowym. W głównej mierze nie chodzi tutaj o cyfry w postaci followersów czy zaangażowania użytkowników. Aplikacja ściąga  realnych użytkowników, którzy kupują produkty lub usługi. Bot pozwala zwiększyć zasięgi naszych postów, a co jest z tym związane zwrócić uwagę na produkt, bądź usługę, którą mamy do zaoferowania.

Pamiętasz czasy, kiedy na Facebook Ads korzystało się ze scraper ID. Jeśli nie wiesz do czego on służy, to wyjaśnię. Scraper to program, służący pobieraniu list osób będącym na określonym fanpage Twoim lub konkurencji -na portalu Facebook. Mówiąc prościej, boty na IG „scrapują” i przechwytują followersów konkurencji lub użytkowników o określonych zainteresowaniach. Dzięki temu obiekt sprzedaży trafia do najbardziej zainteresowanych nim osób, a firma natychmiast pozyskuje osobę, która najprawdopodobniej zostanie jej klientem w nieodległej przyszłości. Prawdopodobieństwo zdobycia klienta zwiększa się po zaproponowaniu mu specjalnej oferty dostępnej tylko na danym portalu lub przekazaniu mu kuponu rabatowego.

Jak odpowiednio pozyskuje się osoby zaangażowane, czyli followersów i jakie są tego efekty? Dowiesz się za chwile, moi klienci zdobywają od 50 do nawet 400 followersów dziennie.

Czy można zabezpieczyć się przed kradzieżą klientów?

Dlaczego warto to zrobić, ponieważ ograniczamy w ten sposób wpływ konkurencji na naszą działalność.  Napiszę Ci o trzech rzeczach, które możesz zrobić, aby zwiększyć bezpieczeństwo Twojego profilu.

Pierwsza z nich to zakup dobrej jakości followersów, czyli konta stworzone na potrzeby podbijania liczb. Dzięki temu część osób, która korzysta z bota zobaczy, że ma słabe efekty w postaci przyrostu nowych osób i zniechęci się do pobierania danych z Twojego profilu.

Drugą opcją jest przełączenie profilu w prywatny i blokowanie botów.

Trzecią opcja – stworzenie kilku kont czujek obserwujących Twoje profile. Natomiast wadą takiego rozwiązania jest, że Twoje konta-czujki będą mogły zostać pobrane dopiero gdy bot pobrał większość Twoich followersów. Wtedy taka metoda Tobie nie pomoże.

A to boty nie ściągają samych ludzi z Bliskiego Wschodu?

Od wszystkiego zależy konfiguracja bota. Jeżeli jego użytkownik skonfiguruje go na popularne tagi typu #instagirl, a prowadzi konto po polsku to, będzie miał w zbieranej przez bota puli konta z bliskiego wschodu i innych części świata. Jeśli to Ty jesteś tym użytkownikiem i prowadzisz działalność tylko na terenie kraju, w wyniku takiej konfiguracji będziesz miał niskie efekty i mało zaangażowanych osób przybędzie na Twój profil.

Inny minus części botów dostępnych na rynku jest fakt, że duża część z nich posiada słabą jakość filtracji języka użytkownika, lub w ogóle jej nie ma.
Instagram nie informuje o kraju pochodzenia danego profilu, dlatego najczęstszą metodą określania narodowości jest właśnie wykorzystanie języka, którym dany użytkownik się posługuje po przez odpowiedni filtr. Wyjątek stanowią profile biznesowe, z których można pobrać: email, numer telefonu, kod kraju oraz adres.

Dlatego właśnie w moim bocie od wersji 3.0 wprowadziłem bardzo dokładne sprawdzanie języka na podstawie biografii. Wtedy jest możliwość sprowadzenia w 100% ruchu Polskiego, co jest raczej niemożliwe w innych aplikacjach tego typu.

Czy boty robią kółko wzajemnego adorowania?

Duża część botów tak robi, aby pokazać, że lajki i followersy przybywają. Wtedy konta stają się według mnie fejk kontami. Taki proceder nie powinien być uznawany za promowanie, ponieważ nie szuka on realnych osób.

Spotkałem nawet Polskie boty, które robią kółko wzajemnego adorowania się. Jak również możliwość kupna lajków pochodzących od użytkowników takiego bota. Twórca aplikacji wtedy zarabia na tym, że przekazałeś konto pod opiekę bota. Moją radą dla Ciebie jest więc to, żebyś dokładnie sprawdził jak Twoje konto używane jest przez aplikację.

Rodzaje botów i ich bezpieczeństwo

Zanim przejdę do kolejnej części, chcę żebyś poznał rodzaje botów, które testowałem lub istnieją i są popularne na rynku. Nie każdy bot jest dobrym botem, nieżej podam zalety i wady różnych rozwiązań.

Boty typu Nextpost, GramEasy, Stackpost inaczej mówiąc oparte o nieoficjalną bibliotekę Instagram API napisaną w odwrotnym programowaniu (reverse engineering), czyli MGP25.

Poniżej tego rozdziału znajdziesz zdjęcia jak rozróżnić te skrypty, oba te skrypty posiadam i testuję je do dzisiaj.

Na początek Nextpost. Skrypt, który można zdobyć na pirackich stronach. Nie posiada on już oficjalnego wsparcia. Na wielu stronach, gdzie można ten skrypt pobrać, zostały dodane do niego luki zabezpieczeń. W wyniku tego Twoje konto może zostać skradzione, co może doprowadzić do jego utraty. Nie spotkałem się jeszcze z taką wersją Nextpost, która posiadałaby aktualną biblioteką MGP25 – wersją 5.0. Brak ten, czyni skrypt niebezpiecznym dla Twojego konta, które może zostać zablokowane. Wszystko dlatego, że boty te, muszą być aktualizowane wraz z aktualizacjami Instagram. W końcu komunikacja przez komunikaty Instagram Android.

GramEasy, Stackpost te skrypty można kupić po 59 USD. Są one oparte o ten sam silnik MGP25 co Nextpost, tyle że aktualny. Dodatkowo skrypt ten posiada mnóstwo drobnych błędów w samym kodzie aplikacji. Jest on niestabilny, konsekwencją tego jest niemoc dostania się na konto, po włączeniu wszystkich dostępnych opcji, z powodu przekroczenia limitu połączeń. W kodzie skryptu znajdują się liczne błędy np. od wersji 1.8 do współczesnej 4.0 nie zostało naprawione filtrowanie kont. Większość administratorów nawet nie zagląda w kod aplikacji, tylko instaluje i sprzedaje ją po dolarze za jedno konto. Skrypt również można kupić na pirackich stronach.

Ryzyko aplikacji opartych o MGP25 lub API Mobilne Android – każdy administrator takiego skryptu posiada ciasteczka do Twojego konta na Insta. Zna również Twoje hasło (jest szyfrowane, ale można je zdeszyfrować). Ryzykujesz utratę swojego konta logując się na takich panelach. Jest cała masa portali opartych o MGP25. Jest to wykonywanie połączeń na zasadzie mobilnej aplikacji Android – często sprzedawcy tego bota określają to mianem EMULATORA, ale nie jest to emulator. Emulatorem byłaby aplikacja zgodna z dokumentacją MGP25 i jakby proces konta Instagram byłby włączony 24/7, a nie wykonywany na daną akcję, a następnie proces zamykany. Przez to logowanie jest uruchamiane najczęściej co 1 minutę.

Grameasy I Nextpost nie pobierają wszystkich followersów z kont. Pobierają 1-2-3 konta z paczki 12-24 kont. Czyli jak masz 240 followersów to tylko co drugie konto zostanie zaciągnięte. Dla ochrony własnych klientów to dobry znak. Dodatkowo limity maksymalne takiej aplikacji są mocno zaniżone, np. do 500 follow/unfollow. Bezpiecznym limitem na IG jest 1000 follow/unfollow dla Twojego porównania.

Kolejnym ryzykiem, jest to, że 99% administratorów MGP25 nie czyta dokumentacji skryptu. Poniżej znajdziesz ostrzeżenie samego twórcy kodu MGP25 o niebezpieczeństwie aplikacji opartych o Grameasy, Stackpost czy Nextpost. Pozostawię w języku angielskim, a moje wytłumaczenie znajdziesz poniżej tej notatki.

Instagram-API Warning!

Can I run this library via a website?

No. Don’t do it. You cannot safely use this or any other 3rd party Instagram libraries directly via a website!

This library (and all other 3rd party reverse engineered Instagram libraries), is made for command line usage in a terminal by running the script like a program (such as php yourscript.php). We do not recommend running this library via a web browser! Because browsers will terminate the PHP process as soon as the user closes their connection to the page (closes the tab, or presses „Stop loading page”), which means that your script can terminate at any moment. This library is not a webpage! It is an Instagram for Android application emulator. It emulates an application. Not a webpage. You cannot just randomly kill this library in the middle of work! (You might kill it while it’s writing to disk or calling some important APIs!)

And furthermore, if it’s used on a webpage then it must waste time logging in to Instagram every time the user refreshes the webpage, since each page load would start a new script (meaning „a new Instagram app emulator”) from scratch. And there are also massive risks about concurrent access from multiple web requests to a single user account which can corrupt your settings-storage or cookies. So we really, really do not recommend running this library via a browser! It’s a very bad idea!

Instead, you should run your Instagram app emulator script as a permanent 24/7 process, and make it dump data to a database which your regular website reads from, or make some kind of permanent localhost daemon that can listen locally on the server and receive queries on a port (localhost queries from the main website’s scripts), and then performing those queries via the API and responding to the website script with something like JSON or with serialized src/Response/ objects, which the website script then transforms for final display to the user.

You must also be sure that your permanent process periodically calls login() inside your 24/7 PHP process, to emulate the Instagram for Android application being closed/opened and refreshing itself (like a real user would do). Otherwise it will soon get banned or silently limited as a „detected bot” by Instagram due to never calling login. Preferably use the same refresh ranges we use by default, so that you refresh login() within a random range between every 30 minutes, or at max every 6 hours.

So, to recap: Make your „Instagram application” part a permanent process, and then make your webpage interact with that permanent process or an intermediary database in some way. That’s the proper architecture system if you want to use this library online! Imagine it like your website talking to a phone and telling its permanently running Instagram app to do things. That’s the proper design and that’s how you have to think about things.

Never forget this fact: This library (and all other 3rd party libraries) is an Android application emulator. It is not a website and will never be able to become a website (because the Android application is not a website!). Therefore, we will never give support to anyone who decides to use the library directly inside a webpage. If you do that, it’s at your own risk! It is a really terrible and unsupported idea!

  1. Grameasy, Stackpost, Nextpost i większość aplikacji opartych o MGP25 – korzystają z powyższej ryzykownej opcji skryptu. Polega ona na tym, że połączenie z Instagram jest nawiązane tylko na czas udzielania akcji. Często jest to krócej niż 15 sekund. Nikt normalny na tak krótko nie loguje się na swoje konto, a Instagram co chwilę dopytuję o zwrotkę czy jest połączenie. Tutaj taki skrypt nie odpowiada Instagramowi, że trwa połączenie i tego nie obsługuje. W jednej z aktualizacji Instagram wprowadził funkcję sprawdzania czasu aktywności konta.
  2. Praktycznie nikt nie zmienia kluczy szyfrujących od aplikacji Instagram. Korzystają z domyślnych ustawień, które są ogólnodostępne w internecie. Instagram dokładnie wie kto i kiedy loguje się z takiego bota. Na wielu kontach zablokowane jest logowanie się poprzez taki skrypt. Po próbie logowania takim skryptem, następuje automatyczne wylogowanie. Stąd między innymi Instagress został zablokowany.
  3. Jakie jest ryzyko blokady konta? Często proxy używane jest używane od jednej firmy, więc jest przyznawana cała klasa adresów IP. np. 192.168.1.20-192.168.1.50 wszystkie 30 adresów korzystające z bota są perfekcyjnie widoczne. Do tego dochodzi aspekt korzystania z adresacji Datacenter. Instagram korzysta ostatnio z bazy IP RIPE i wiele adresów IP jest zablokowanych. Nie tylko dla botów ale i dla fake kont. Coraz głośniej na scenie twórców botów mówi się, że Instagram zablokuje IP datacenter lub mocno ograniczy funkcjonalność. Jedynym rozwiązaniem dla takich botów będzie korzystanie z droższej alternatywy – stosowania modemów LTE i kart sim. Ktoś, kto oferuje bota za 5-10zł raczej na pewno nie ma dobrej infrastruktury przed ryzykowną blokadą konta.

Gdyby administratorzy tych serwisów zastosowali się do zaleceń z dokumentacji, to aplikacje działałyby zdecydowanie lepiej. Natomiast wiąże się to, ze zmianą większości kodu aplikacji, a sam autor skryptu z Indii miałby mniej klientów, ponieważ wymagania co do serwera zwiększają się.

Instagram gdyby chciał to by zablokował całą bibliotekę MGP25, w wyniku czego 90% botów dostępnych na rynku upadłoby. Wystarczy, że Instagram zmieniłby logowanie do serwisu, oraz zablokuje bibliotekę , to boty upadną. Dlaczego tego nie zrobił? O tym dalej. Łamaniem regulaminu Instagram jest już sama ta biblioteka! Logując się do takiej aplikacji złamałeś już regulamin, mimo że korzystasz np. tylko z planera postów.

Jeżeli dostajesz spam wiadomości DM (prywatne) to taka osoba korzysta najprawdopodobniej z takiej biblioteki.

Jeżeli portal nie jest oparty o wyżej wymienione skrypty, to oznacza, że mają dedykowane skrypty. Mogli również zastosować bibliotekę MGP25 lub wykorzystać biblioteki botów napisane w języku programowania Python. Działają one analogicznie jak MGP25, natomiast jest im bliżej do aplikacji mobilnej niż biblioteki MGP25. Przypomnij sobie jak Instagram zmienił algorytmy, a autorzy wielu botów (zwłaszcza w języku Python) zaprzestali prowadzenia dalej swoich usług. Nie potrafili poradzić sobie z aktualizacją i dostosować się do nowego połączenia z Instagram. Duża część botów czekała na oficjalną aktualizację skryptu.

Tak wygląda aplikacja Nextpost po zalogowaniu.

Tak wygląda aplikacja GramEasy, Stackpost, VTGram po zalogowaniu

Co z Captivate I Cleaner?

Są to ewidentne boty. Poniżej w tym artykule znajdziesz zdjęcia profili wraz z opisem, kto jakiego bota używał. Tutaj już każdy rozpozna bota. Wykorzystują API Mobilne.

Nie będę szerzej ich opisywał, ponieważ działają na podobnej zasadzie jak silnik MGP25. Tylko lepiej zrobione.

Rozszerzenia Chrome, w tym FastInsta

Boty, które nie mają dostępu do wiadomości DM wykorzystują najczęściej API WEB Instagram. Czyli po Polsku: korzystają z wersji komputerowej Instagram. Przy dobrych ustawieniach są incognito dla narzędzi sprawdzających. Potrafią ściągnąć wszystkich followersów z danego profilu. Tutaj klientów nie uchronisz w łatwy sposób, ponieważ posiadają one zaawansowane filtrowanie.

Jak z bezpieczeństwem? W przypadku aplikacji FastInsta na 10.000 kont odnotowaliśmy tylko 19 blokad nałożonych przez Instagram! Nie liczymy kont typu promowanie, promujemy itd. Częściej zdarzały się pojedyncze blokady na lajkowanie czy komentowanie. Po szerszej analizie – najczęściej były blokowane konta, które korzystały ze spamowania źle przemyślanymi komentarzami. Komentarze emotki są akceptowane przez Instagram, natomiast długie wiadomości już nie.

Bot w postaci rozszerzenia do Google Chrome jest najciężej wykrywalny dla Instagram, ponieważ do końca nie wiedzą czy masz bota, czy nie masz. Do tego jest to system rozproszony – każdy korzysta z telefonu pod wifi czy z Instagram na komputerze. Wygląda to jak normalny ruch. Każda osoba posiada inne IP w domu i nie są to IP typu DataCenter.

Aplikacje tego typu w większości nie pobierają ciasteczek i Twoje konto nie zostanie przejęte przez obcych ludzi. Moja aplikacja FastInsta pobiera tylko nazwę konta i ID użytkownika w celu sprawdzenia licencji. Poniżej tabela porównawcza.

NextPost, StackPost, MGP25, dedykowane PythonAplikacje w telefonie np. CaptivateRozszerzenia do przeglądarek, w tym FastInsta
Hasła do kontaCiasteczka i hasła są zapisane w bazie danych administratora serwisu! Bez problemu może przejąć Twoje kontoNajczęściej hasło jest tylko dla CiebieHasło znasz tylko Ty. Administrator nie przejmie Twojego konta, ponieważ nie zna hasła ani nie ma dostępu do ciasteczek.
LogowanieInstagram, wie że jest podejrzane logowanie, często jest wysyłany  kilkukrotnie kod weryfikacyjnyLogowanie przebiega najczęściej bez problemu. Instagram może wiedzieć o logowaniu z nieznanej aplikacji.Kod weryfikacyjny od razu jest przyjmowany, Logowanie na oryginalnej stronie Instagram
Odpowiedzi weryfikacyjne do IGNie odpowiadają na pytania weryfikacyjne do IG.Często odpowiadają na odpowiedzi weryfikacyjne.Instagram otrzymuje oryginalne odpowiedzi ze strony instagram.com
BezpieczeństwoNie wiesz ile kont jest faktycznie uruchomionych na 1 adresie IP. Nie wiesz jakiej jakości i z jakiego kraju, miejscowości pochodzi IP.IP jest identyczne jak na Twoim telefonie. Instagram nie widzi podejrzeń co do lokalizacji Twojego konta.IP jest identyczne jak na Twoim komputerze. Instagram nie widzi podejrzeń co do lokalizacji Twojego konta.

Tak wygląda konto na SocialBlade przy użyciu Captivate

Tak wygląda konto na SocialBlade przy użyciu FastInsta do wersji 2.6.4 i braku codziennej kontroli

Tak wygląda konto na SocialBlade przy użyciu GramEasy

Dlaczego Instagram nie blokuje botów ani fake kont?

Proceder Fake Kont podczas mojego śledztwa liczy aktualnie ponad 300 mln profili! Więc Instagram spadłby na giełdzie bardzo mocno, a oburzenie użytkowników byłoby bardzo wielkie z powodu spadków followersów. Botów natomiast jest ok. 5 mln. W mojej samej aplikacji 1 osoba średnio dostaje 100-200 follow/unfollow.

Ostatnie wydarzenia stworzyły aferę ze spadkami followersów. Dlaczego tak się stało? To nie jest prawda, że liczenie popsuło się. Użyłem skanera followersów na moich kontach. Przed korektą i komunikatem od IG kont było mniej niż po korekcie. Instagram wprowadza konta widma, lub po prostu zablokowane konta, które nie psują liczenia. Takie konta posiadają dziwne adresy typu „null at developer dot facebook”.

Dodatkowo boty i fake konta generują wyświetlenia reklam. A co za tym idzie, więcej zysku z reklam kosztem reklamodawców.

Chodzą plotki, że proceder fake kont i kupowania lajków jest częściowo po cichu wspierany przez Instagram. W Internecie znajdziesz tylko sprzedawców usług, a nie dostawcę usług fake kont. Dostawca usług jest nieznany.

Jak długo żyją konta, które korzystają z bota? Jak wyglądały początki?

Mam kilka kont, które żyją od 2016 roku, pracują non stop na włączonym moim bocie. Są to konta testowe, które działają zarówno na IP typu datacenter, jak i na normalnym domowym internecie tuż obok kont bez bota.

Początki na bocie dawały od 200 do 600 followersów dziennie. Dziś jest to od 40-50 do 400 followersów. Instagram pod względem zabezpieczeń niewiele zmienił się. Jedynie należy wolniej akcje wykonywać i przestrzegać bezpiecznych ustawień, które od roku nie zmieniły się.

Eksperyment

Przeprowadziłem eksperyment na koncie, gdzie były dodawane codziennie zdjęcia, hashtagi itd. W pewnym momencie został uruchomiony bot i efekty były spektakularne. Więcej zobaczysz na screenie poniżej.

Do 26.02.2019 konto działało bez bota. Od 27.02.2019 zaczął działać bot tylko z funkcją auto follow.

Na tym zrzucie ekranu widać wykonane akcje follow.

Poniżej znajdziesz zrzuty ekranu ze statystkami z konta 29k followersów. Statystyki zostały pobrane przez Oficjalne API Instagram z aplikacji SalesMiles.pl. Konto pracowało pod botem FastInsta w wersji 2.6.4 przez 90% czasu, czyli bez opcji filtrowania tylko użytkowników polskich.

Firmy promujące Instagram?

Współpracuję z kilkoma firmami, które prowadzą konta Instagram. Korzystają z bezpiecznych ustawień, moich zaleceń co do bezpieczeństwa kont. Przede wszystkim przy współpracy z taką firmą powinno być włączony uwierzytelnienie dwuskładnikowe. Jeżeli firma korzysta z FastInsta lub innego rozszerzenia rozszerzenia bez problemu zaloguje się na Twoje konto. Jeżeli z innego narzędzia – powinieneś być ostrożny jeżeli karzą Ci wyłączyć uwierzytelnienie dwuskładnikowe.

Firmy zazwyczaj mają sprawdzone ustawienia, wiedzą jak dobrze skonfigurować aplikację, tak aby efekty były jak największe.

Podsumowanie

Moi klienci znajdują dziennie średnio od 2 do 20 klientów dziennie na swoje produkty (w zależności od branży, ceny i produktu). Są i tacy użytkownicy bota, którzy potrafią zdobyć więcej klientów. Dla firm liczba followersów i zaangażowania aż takiego znaczenia nie ma. Zależy im na pozyskaniu klienta. Natomiast osoby, które chcą zostać influencerem – dla nich już ma znaczenie followersów. Większość takich osób chce jedynie dobić jak najszybciej do 10k followersów i później zostawiają bota w spokoju. W głównej mierze zależy im na odblokowaniu linków do story.

Chcesz sprzedać usługi, produkty? Znaleźć ludzi do MLM? Bot Ci w tym szybko pomoże, a jeżeli chcesz zbudować społeczność – ciężka praca i minimalnie bot Tobie pomoże.

Chcesz bezpiecznego bota? Skorzystaj z rozszerzeń do przeglądarki, może np. FastInsta.pl?

Czy warto korzystać z bota? Te pytanie pozostawiam Tobie.