本研究针对大型媒体平台（如YouTube）上日益猖獗的评论诈骗（comment scams）进行了首次系统性、大规模的分析。攻击者通过脚本控制的账户自动发布或回复评论，以免费奖品和投资机会为诱饵，诱使用户联系他们，最终窃取用户的金融资产。研究团队设计并实现了一套基础设施，在6个月内从20个不同的YouTube频道收集了880万条评论。他们基于文本、图形和时间特征开发了过滤器，识别出来自10,000个独立账户的206,000条诈骗评论。通过分析诈骗活动、评论动态以及攻击者使用的规避技术，研究人员揭示了诈骗团伙的运作模式。此外，经伦理审查委员会批准，研究者与50名诈骗者进行了互动，深入了解其社会工程策略和支付偏好。利用公共区块链上的交易记录，他们对诈骗者窃取的金融资产进行了定量分析，发现仅参与互动研究的诈骗者就已窃取了价值数百万美元的资金。研究表明，现有的诈骗检测机制不足以遏制此类滥用行为，亟需更好的评论审核工具以及限制攻击者在大型平台上获取数万个账户的改进措施。本论文适合安全分析师、平台防御工程师及社交媒体安全研究者阅读。