Портрет ботнета
Изучение сети фейковых сторонников Трампа, созданной для заработка на кликах
Эта статья была впервые опубликована на DFRLab.
20 февраля посол России в ООН Виталий Чуркин скоропостижно скончался в Нью-Йорке.
Всего через минуту после того, как эта новость была опубликована на сайте российского государственного телеканала RT, и за минуту до того, как RT опубликовало эту новость в Твиттере, множество аккаунтов опубликовали ее с одним и тем же комментарием “breaking news” — «срочная новость».
Большая часть этих аккаунтов имели несколько общих черт: все они были крайне активны, все поддерживали Дональда Трампа, у многих на аватарах были привлекательные женщины в откровенных нарядах.
Кроме того, все они были фейками, призванными заманить пользователей на рекламный сайт, приносящий его владельцам деньги.
Эта сеть ботов не крупная и не влиятельная, однако ее все равно стоит проанализировать как пример того, как компании могут использовать политические группы для разгона траффика.
Изучение сети фейковых сторонников Трампа, созданной для заработка на кликах
Эта статья была впервые опубликована на DFRLab.
20 февраля посол России в ООН Виталий Чуркин скоропостижно скончался в Нью-Йорке.
Всего через минуту после того, как эта новость была опубликована на сайте российского государственного телеканала RT, и за минуту до того, как RT опубликовало эту новость в Твиттере, множество аккаунтов опубликовали ее с одним и тем же комментарием “breaking news” — «срочная новость».
Большая часть этих аккаунтов имели несколько общих черт: все они были крайне активны, все поддерживали Дональда Трампа, у многих на аватарах были привлекательные женщины в откровенных нарядах.
Кроме того, все они были фейками, призванными заманить пользователей на рекламный сайт, приносящий его владельцам деньги.
Эта сеть ботов не крупная и не влиятельная, однако ее все равно стоит проанализировать как пример того, как компании могут использовать политические группы для разгона траффика.
Однако их манера поведения соответствует автоматическим аккаунтам, или «ботам», а не настоящим пользователям. Например, аккаунт @nataliecoxtrump был создан в январе, а уже к 21 февраля опубликовал 41 200 твитов, примерно по 800 в день. Аккаунт @girl_4_Trump, начавший твитить 24 января (согласно поиску постов по времени), к 21 февраля опубликовал 35 600 твитов — примерно по 1227 твитов в день.
Почти все эти аккаунты были созданы в январе или феврале и опубликовали более 15 000 твитов каждый к 21 февраля. Сама по себе частота твитов явно говорит, что перед нами боты.
Некоторые аккаунты, по-видимому, взяли аватары с аккаунтов других людей. Это наиболее очевидно для аккаунта @deplorabledeep: поиск его аватара в Google выдает идентичное фото писателя Боба Йосвика, фото которого присутствует и в его аккаунте в Твиттере, и на сайте издателя:
Аватар аккаунта @_kaitlinOls_ — фотография актрисы Кейтлин Олсон из статьи о ней в онлайн-энциклопедии. Настоящая Олсон имеет верифицированный аккаунт в Твиттере — @KaitlinOlson.
Аватары других аккаунтов взяты из различных источников, в том числе из Инстаграма. Наиболее популярный из них — аватар @EmmaMAGA_(45 500 твитов с первого твита 5 февраля, более 2800 твитов в день):
Поиск этого аватара в Google приводит нас к пользователю Инстаграма Angie Varona. Оказывается, эту фотографию используют десятки других аккаунтов.
Это, как и нечеловеческий уровень активности, подтверждает, что мы имеем дело с ботнетом.
Особенности поведения
Наличие ботнета подтверждается и особенностями поведения аккаунтов. По состоянию на 21 февраля все их недавные твиты были репостами новостей из различных источников, включая Breitbart, BBC, RT, Reuters и (как ни странно) местную британскую газету the Coventry Telegraph. Подавляющее большинство публиковали одни и те же новости из одинаковых источников в одном и том же порядке.
В каждом твите, публикуемом этими аккаунтами, ссылка ведет не непосредственно на новость, а на рекламный сайт, предлагающий 5 долларов за 10 000 кликов. Используется четыре различных ресурса сокращения ссылок: news.thehealthybody.com, news.twittcloud.com, maga.news.twittcloud.com и newspaper24.twittcloud.com. Все ведут на похожие экраны с логотипами Трампа и предложениями оплаты за клики:
Прибыль от постов
Эти аккаунты объединяет не политическая позиция, а стремление получить прибыль посредством привлечения кликов.
То, что эти аккаунты управляются одним лицом, подтверждается тем, что в одиннадцати из них в прикрепленных твитах приведена одна и та же сокращенная ссылка Google (goo.gl/1s3Rmr).
Эта ссылка ведет на страницу в Фейсбуке NationalNewsD, представляющую собой, по-видимому, новостной агрегатор. В феврале на этой странице публиковалось сравнительно мало постов; однако в начале января она была куда более активна. На тот момент она в основном уделяла внимание австралийским новостям, однако постепенно переключилась на американские новости, особенно касающиеся Трампа.
Однако эти посты вновь ведут пользователей не на новостные сайты, а на страницу с оплатой за клики.
Некоторые посты также содержат вторую ссылку, ведущую на аккаунт в Твиттере @judith_forex. Утверждается, что этот аккаунт австралийский, хотя английский язык для него не родной. При этом аккаунт также ведет себя как бот: публикует те же новости, что и другие аккаунты, в том же порядке, твитит так же часто, а в прикрепленном твите содержится та же короткая ссылка Google:
Google analytics сокращенной ссылки на страницу в Фейсбуке указывает, что она создана 22 января, а к 21 февраля получила всего 1850 кликов. Почти 90 процентов этих кликов пришли из Твиттера, большая часть — из США.
Согласно детальной аналитике, 913 кликов пришли из США (для сравнения: 94 из Германии, 43 из Канады, 42 из США, по 13 из Австралии и Венесуэлы, 9 из Франции и по 8 из Швеции и Турции).
Мы видим, как ботнет выдает себя за сеть сторонников Трампа, используя множество источников, помимо RT, и привлекает трафик от пользователей в США. Однако он едва ли создан в политических целях создания видимости поддержки Трампа: источники слишком разнообразны, в их число входят британские газеты the Guardian и the Coventry Telegraph, не отличающиеся особыми симпатиями к Трампу.
Вероятнее всего, ботнет создан не с политической, а в первую очередь с коммерческой целью. Создание сети фейковых сторонников Трампа направлено на его настоящих сторонников, которых привлекают на сайты, зарабатывающие на кликах на рекламу. Эту сеть нельзя назвать ни крупной, ни эффективной, однако по ней видно, как фейковые аккаунты могут выдавать себя за реальные, чтобы заработать денег.
Бен Ниммо — старший научный сотрудник по информационной безопасности в Лаборатории цифровой криминалистики Атлантического совета (@DFRLab).