Trekk

Политические медиа войны и ботоводство

"Политические
Политические медиа войны и ботоводство

Сегодня каждый четко знает, что такое сила медиа. В интернете есть множество примеров, когда журналистское расследование или одна небольшая статья становились поводами значительных политических событий и даже переворотов, наносили финансовый ущерб крупным компаниям и так далее.

Лучшие статьи получают Пулитцеровские премии, а журналисты вписывают себя в историю, но сегодня я напишу не об этом, а о мелких и жалких попытках создания сети ботов в социальных сетях, единственной задачей которых является поливание грязью политических оппонентов.

Дисклеймер: я и моя компания ProtectMaster не занимаемся распространением "желтой", компрометирующей и дискредитирующей кого-либо информации, мы специализируемся на журналистских и кибер расследованиях со сбором доказательной базы в интересах третьих лиц. Мы не являемся приверженцами какой-либо политической партии и являемся частной компанией. Эта история рассказывает о том, как разоблачить владельца, заказчика и исполнителя социальной бот сети.

В феврале 2016 года к нам обратился харьковский бизнесмен с просьбой провести расследование касательно фейковой страницы журналиста Артур Гульман-Либерман, и по возможности заблокировать данного персонажа, который поливал грязью все политические силы региона БПП, Наш Край, Самопомощь кроме одной единственной Партии Возрождения. Мы не работаем "по политике", но бот затрагивал личные данные и интересы целого ряда бизнесменов, с которыми наша компания имеет хорошие отношения, поэтому мы взялись за этот кейс. Тем более что Гульман Либерман начал выкладывать чушь на всех без разбора: Фельдман, Сапронов, Грынив, Ситенко и так далее. Кроме того, бот был явно не один это были десятки фейковых страниц.

Расследование началось с установления того, что бот использовал личные данные реальной персоны Виктор Певзнер и мы конечно же спокойно связались с истинным владельцем фотографий и успешной заблокировали страницу фейка-журналиста Артура ссылаясь на DMCA (англ. Digital Millennium Copyright Act — Закон об авторском праве в цифровую эпоху). Через месяцок Артур снова всплыл с новой порцией политических помоев и снова был успешно забанен администрацией фейсбука по нашей жалобе. И вот уже третий раз Артур поднял голову и раз уж владельцы Артура не понимают предупреждений, мы решили разоблачить их.

На старой странице Артура использовались мобильные номера телефонов и почтовый ящик для восстановления пароля, что является стандартной опцией для социальной сети Facebook.

""

На новой странице пользователь усилил методы защиты от разоблачения и поставил возможность восстановления через страницы друзей в социальной сети Facebook, что заставило нас проанализировать всех друзей. (Часть данных о друзьях скрыта из соображений безопасности)

Первичный анализ страниц людей, через которые можно восстановить доступ к странице фейка Артура показал, что 70% этих "друзей" такие же боты, однако 30% из них были связаны с депутатом Харьковского Городского Совета Мусеевым Максимом Сергеевичем от партии "Возрождение" и близким другом мэра Геннадия Адольфовича Кернеса, они либо работали у него (на Максима), либо имели его страничку в друзьях. Однако, мы посчитали такие вывод субъективными и продолжили расследование.Бот тем временем не забывал восхвалять Геннадия Адольфовича Кернеса под всеми видео и новостями с его упоминанием.

Детальный анализ сообщений фейка Артура профессиональным психологом смог дать 70% вероятность того, что тексты писала женщина, однако настройки безопасности почтовых аккаунтов и самой страницы говорят о том, что администрирует ее мужчина(ы) с первичными знаниями анонимности в сети.

Оперативным путем (Часть данных о методах определения IP адресов скрыта из соображений безопасности) удалось установить, что на страницу Артура заходили со следующих адресов:

11.08.16 в 17:21:25 с IP 159.224.83.247 провайдер Triolan Харьков

11.08.16 в 22:04:35 с IP 159.224.83.247 провайдер Triolan Харьков

13.08.16 в 1:58:10 с IP 95.69.249.88 провайдер LLC TC Valor Харьков

13.08.16 в 11:56:32 с IP 109.86.251.133 провайдер Triolan Харьков

14.08.16 в15:07:06 с IP 109.86.215.163 провайдер Triolan Харьков

Проще всего удалось определить, что IP адрес 109.86.215.163 принадлежит диапазону адресов, сдаваемых в аренду кафе на Алексеевке "Аризона" и "Аркада", эти данные были получены из приложения, которое сохраняет пароли к публичным Wi-Fi точкам (см. приложения аналоги Wi-Fi Map и другие)

Как нам стало известно, кафе "Аризона" связано с бизнес интересами Мусеева Максима и частично принадлежит ему (через ряд доверенных лиц). Мы посчитали такие вывод субъективными и продолжили расследование, ведь кто угодно мог посещать кафе.Бот тем временем уже был занесен в базу данных мониторинга ботов, и вся информация и его комментарии успешно логировались уже не только нами.

Выход в интернет 13.08.16 в 1:58:10 ночи с IP адреса 95.69.249.88 был осуществлен из ночного клуба Panorama Lounge, где в такое время находится много людей, что не позволило идентифицировать нам объект, используя видео с камер наблюдения. Однако, с точки зрения нашего психолога это частично подтверждает информацию о том, что статьи и политические вбросы писала женщина.

Далее наши сотрудники посетили офис (приемную) городского депутата Максима Мусеева под вымышленным поводом по адресу улица Полтавский Шлях 46 и "опытным" путем смогли установить, что IP адрес 159.224.83.247 принадлежит роутеру в приемной Максима Мусеева, а именно wi-fi точке в приемной. И по словам сотрудниц приемной, которые были не особо подкованы в IT вопросах, настройками роутера и всей инфраструктуры занимался их системный администратор Борис.

Мы установили особу Бориса (Часть информации скрыта из соображений безопасности) и считаем, что скорее всего именно он создавал аккаунт Артура Гульман-Либерман и целую сеть фейковых аккаунтов для распространения фейковой информации и политических вбросах против партии "Батькивщина", "БПП", "Самопомощь" и ряда других деятелей Харькова в интересах депутата Максима Мусеева.

Последний адрес входа 109.86.251.133 зарегистрирован в районе Героев Труда и его сложнее всего было идентифицировать (Часть информации скрыта из соображений безопасности). Мы считаем, что вероятнее всего именно там проживает второй человек. Таким образом, нам удалось идентифицировать системного администратора, который вероятнее всего непосредственно занимался обеспечением безопасности сети из ботов (фейков), особу автора статей, а также заказчика в чьих интересах они действовали.

Хочу еще раз подчеркнуть, что ни я, ни моя компания не имеет никаких политических интересов и не сотрудничает с политическими силами. Данное журналистское расследование проведено для издания Kharkiv Today.

P.s. Легенды гласят о российском секретном комплексе "Lizard" или "Ящер" который используется для генерации тысяч бот аккаунтов в социальных сетях с функциями автоматического наполнения. Но откуда же мне о таком знать? ;-)

P.p.s. Для расследования использовалась только публично доступная информация.


Теги