Портрет ботнета

Изучение сети фейковых сторонников Трампа, созданной для заработка на кликах

Эта статья была впервые опубликована на DFRLab

20 февраля посол России в ООН Виталий Чуркин скоропостижно скончался в Нью-Йорке.

Всего через минуту после того, как эта новость была опубликована на сайте российского государственного телеканала RT, и за минуту до того, как RT опубликовало эту новость в Твиттере, множество аккаунтов опубликовали ее с одним и тем же комментарием “breaking news” — «срочная новость».

Большая часть этих аккаунтов имели несколько общих черт: все они были крайне активны, все поддерживали Дональда Трампа, у многих на аватарах были привлекательные женщины в откровенных нарядах.

Кроме того, все они были фейками, призванными заманить пользователей на рекламный сайт, приносящий его владельцам деньги.

Эта сеть ботов не крупная и не влиятельная, однако ее все равно стоит проанализировать как пример того, как компании могут использовать политические группы для разгона траффика.

Изучение сети фейковых сторонников Трампа, созданной для заработка на кликах

Эта статья была впервые опубликована на DFRLab

20 февраля посол России в ООН Виталий Чуркин скоропостижно скончался в Нью-Йорке.

Всего через минуту после того, как эта новость была опубликована на сайте российского государственного телеканала RT, и за минуту до того, как RT опубликовало эту новость в Твиттере, множество аккаунтов опубликовали ее с одним и тем же комментарием “breaking news” — «срочная новость».

Большая часть этих аккаунтов имели несколько общих черт: все они были крайне активны, все поддерживали Дональда Трампа, у многих на аватарах были привлекательные женщины в откровенных нарядах.

Кроме того, все они были фейками, призванными заманить пользователей на рекламный сайт, приносящий его владельцам деньги.

Эта сеть ботов не крупная и не влиятельная, однако ее все равно стоит проанализировать как пример того, как компании могут использовать политические группы для разгона траффика.

Источник: @MEGA_Hoffman / Твиттер. Эти 423 твита были опубликованы в течение примерно 6 часов. Дата архивации: 20 февраля.

Однако их манера поведения соответствует автоматическим аккаунтам, или «ботам», а не настоящим пользователям. Например, аккаунт @nataliecoxtrump был создан в январе, а уже к 21 февраля опубликовал 41 200 твитов, примерно по 800 в день. Аккаунт @girl_4_Trump, начавший твитить 24 января (согласно поиску постов по времени), к 21 февраля опубликовал 35 600 твитов — примерно по 1227 твитов в день.

Источник: @girl_4_trump / Твиттер. Дата архивации: 20 февраля.

Почти все эти аккаунты были созданы в январе или феврале и опубликовали более 15 000 твитов каждый к 21 февраля. Сама по себе частота твитов явно говорит, что перед нами боты.

Некоторые аккаунты, по-видимому, взяли аватары с аккаунтов других людей. Это наиболее очевидно для аккаунта @deplorabledeep: поиск его аватара в Google выдает идентичное фото писателя Боба Йосвика, фото которого присутствует и в его аккаунте в Твиттере, и на сайте издателя:

Источник: Аватары и описания аккаунтов в Твиттере. Слева — @DeplorableDeep. Справа — BobJoswick. Дата архивации: 20 февраля.

Аватар аккаунта @_kaitlinOls_ — фотография актрисы Кейтлин Олсон из статьи о ней в онлайн-энциклопедии. Настоящая Олсон имеет верифицированный аккаунт в Твиттере — @KaitlinOlson.

Источник: Источник: слева — @_KaitlinOls_ / Твиттер. Справа: фото Кейтлин Олсон в энциклопедии comedybangbang.wiki.com Дата архивации: 21 февраля.

Аватары других аккаунтов взяты из различных источников, в том числе из Инстаграма. Наиболее популярный из них — аватар @EmmaMAGA_(45 500 твитов с первого твита 5 февраля, более 2800 твитов в день):

Источник: @EmmaMAGA_  / Твиттер. Дата архивации: 20 февраля.

Поиск этого аватара в Google приводит нас к пользователю Инстаграма Angie Varona. Оказывается, эту фотографию используют десятки других аккаунтов.

Источник: Поиск аватара @EmmaMAGA_ в Google.

Это, как и нечеловеческий уровень активности, подтверждает, что мы имеем дело с ботнетом.

Особенности поведения

Наличие ботнета подтверждается и особенностями поведения аккаунтов. По состоянию на 21 февраля все их недавные твиты были репостами новостей из различных источников, включая Breitbart, BBC, RT, Reuters и (как ни странно) местную британскую газету the Coventry Telegraph. Подавляющее большинство публиковали одни и те же новости из одинаковых источников в одном и том же порядке.

Источник: слева — скриншот таймлайна  @JudyDeplorable / Твиттер. Источник: справа — скриншот таймлайна @Katie_MEGA_2017 за то же время / Твиттер. Дата архивации: 20 февраля.

В каждом твите, публикуемом этими аккаунтами, ссылка ведет не непосредственно на новость, а на рекламный сайт, предлагающий 5 долларов за 10 000 кликов. Используется четыре различных ресурса сокращения ссылок: news.thehealthybody.com, news.twittcloud.com, maga.news.twittcloud.com и newspaper24.twittcloud.com. Все ведут на похожие экраны с логотипами Трампа и предложениями оплаты за клики:

Источник: ссылка @Kristen_MAGA_US / news.thebodyhealthy.com

Источник: ссылка @EmmaMAGA_ / news.twittcloud.com

Прибыль от постов

Эти аккаунты объединяет не политическая позиция, а стремление получить прибыль посредством привлечения кликов.

То, что эти аккаунты управляются одним лицом, подтверждается тем, что в одиннадцати из них в прикрепленных твитах приведена одна и та же сокращенная ссылка Google (goo.gl/1s3Rmr).

Источник: вверху — прикрепленный твит @dayvarelat с сокращенной ссылкой Google / Твитер Внизу — прикрепленный твит @CarolineSunne с той же сокращенной ссылкой Google / Твиттер. Дата архивации: 20 февраля.

Эта ссылка ведет на страницу в Фейсбуке NationalNewsD, представляющую собой, по-видимому, новостной агрегатор. В феврале на этой странице публиковалось сравнительно мало постов; однако в начале января она была куда более активна. На тот момент она в основном уделяла внимание австралийским новостям, однако постепенно переключилась на американские новости, особенно касающиеся Трампа.

Источник: NationalNewsD / Фейсбук. Дата архивации: 21 февраля.

Однако эти посты вновь ведут пользователей не на новостные сайты, а на страницу с оплатой за клики.

Источник: Страница с оплатой за клики, на которую ведет ссылка на странице в Фейсбуке “NationalNewsD”.

Некоторые посты также содержат вторую ссылку, ведущую на аккаунт в Твиттере @judith_forex. Утверждается, что этот аккаунт австралийский, хотя английский язык для него не родной. При этом аккаунт также ведет себя как бот: публикует те же новости, что и другие аккаунты, в том же порядке, твитит так же часто, а в прикрепленном твите содержится та же короткая ссылка Google:

Источник: @judith_forex / Твиттер. Дата архивации: 21 февраля.

Google analytics сокращенной ссылки на страницу в Фейсбуке указывает, что она создана 22 января, а к 21 февраля получила всего 1850 кликов. Почти 90 процентов этих кликов пришли из Твиттера, большая часть — из США.

Источник: goo.gl analytics

Согласно детальной аналитике, 913 кликов пришли из США (для сравнения: 94 из Германии, 43 из Канады, 42 из США, по 13 из Австралии и Венесуэлы, 9 из Франции и по 8 из Швеции и Турции).

Мы видим, как ботнет выдает себя за сеть сторонников Трампа, используя множество источников, помимо RT, и привлекает трафик от пользователей в США. Однако он едва ли создан в политических целях создания видимости поддержки Трампа: источники слишком разнообразны, в их число входят британские газеты the Guardian и the Coventry Telegraph, не отличающиеся особыми симпатиями к Трампу.

Вероятнее всего, ботнет создан не с политической, а в первую очередь с коммерческой целью. Создание сети фейковых сторонников Трампа направлено на его настоящих сторонников, которых привлекают на сайты, зарабатывающие на кликах на рекламу. Эту сеть нельзя назвать ни крупной, ни эффективной, однако по ней видно, как фейковые аккаунты могут выдавать себя за реальные, чтобы заработать денег.

Бен Ниммо — старший научный сотрудник по информационной безопасности в Лаборатории цифровой криминалистики Атлантического совета (@DFRLab).