расследования, открытые для каждого

Портрет ботнета

14.03.17

DFRLab

Изучение сети фейковых сторонников Трампа, созданной для заработка на кликах

Эта статья была впервые опубликована на DFRLab

20 февраля посол России в ООН Виталий Чуркин скоропостижно скончался в Нью-Йорке.

Всего через минуту после того, как эта новость была опубликована на сайте российского государственного телеканала RT, и за минуту до того, как RT опубликовало эту новость в Твиттере, множество аккаунтов опубликовали ее с одним и тем же комментарием «breaking news» — «срочная новость».

Большая часть этих аккаунтов имели несколько общих черт: все они были крайне активны, все поддерживали Дональда Трампа, у многих на аватарах были привлекательные женщины в откровенных нарядах.

Кроме того, все они были фейками, призванными заманить пользователей на рекламный сайт, приносящий его владельцам деньги.

Эта сеть ботов не крупная и не влиятельная, однако ее все равно стоит проанализировать как пример того, как компании могут использовать политические группы для разгона траффика.

Изучение сети фейковых сторонников Трампа, созданной для заработка на кликах

Эта статья была впервые опубликована на DFRLab

20 февраля посол России в ООН Виталий Чуркин скоропостижно скончался в Нью-Йорке.

Всего через минуту после того, как эта новость была опубликована на сайте российского государственного телеканала RT, и за минуту до того, как RT опубликовало эту новость в Твиттере, множество аккаунтов опубликовали ее с одним и тем же комментарием «breaking news» — «срочная новость».

Большая часть этих аккаунтов имели несколько общих черт: все они были крайне активны, все поддерживали Дональда Трампа, у многих на аватарах были привлекательные женщины в откровенных нарядах.

Кроме того, все они были фейками, призванными заманить пользователей на рекламный сайт, приносящий его владельцам деньги.

Эта сеть ботов не крупная и не влиятельная, однако ее все равно стоит проанализировать как пример того, как компании могут использовать политические группы для разгона траффика.

Источник: @MEGA_Hoffman / Твиттер. Эти 423 твита были опубликованы в течение примерно 6 часов. Дата архивации: 20 февраля.

Однако их манера поведения соответствует автоматическим аккаунтам, или «ботам», а не настоящим пользователям. Например, аккаунт @nataliecoxtrump был создан в январе, а уже к 21 февраля опубликовал 41 200 твитов, примерно по 800 в день. Аккаунт @girl_4_Trump, начавший твитить 24 января (согласно поиску постов по времени), к 21 февраля опубликовал 35 600 твитов — примерно по 1227 твитов в день.

Источник: @girl_4_trump / Твиттер. Дата архивации: 20 февраля.

Почти все эти аккаунты были созданы в январе или феврале и опубликовали более 15 000 твитов каждый к 21 февраля. Сама по себе частота твитов явно говорит, что перед нами боты.

Некоторые аккаунты, по-видимому, взяли аватары с аккаунтов других людей. Это наиболее очевидно для аккаунта @deplorabledeep: поиск его аватара в Google выдает идентичное фото писателя Боба Йосвика, фото которого присутствует и в его аккаунте в Твиттере, и на сайте издателя:

Источник: Аватары и описания аккаунтов в Твиттере. Слева — @DeplorableDeep. Справа — BobJoswick. Дата архивации: 20 февраля.

Аватар аккаунта @_kaitlinOls_ — фотография актрисы Кейтлин Олсон из статьи о ней в онлайн-энциклопедии. Настоящая Олсон имеет верифицированный аккаунт в Твиттере — @KaitlinOlson.

Источник: Источник: слева — @_KaitlinOls_ / Твиттер. Справа: фото Кейтлин Олсон в энциклопедии comedybangbang.wiki.com Дата архивации: 21 февраля.

Аватары других аккаунтов взяты из различных источников, в том числе из Инстаграма. Наиболее популярный из них — аватар @EmmaMAGA_(45 500 твитов с первого твита 5 февраля, более 2800 твитов в день):

Источник: @EmmaMAGA_  / Твиттер. Дата архивации: 20 февраля.

Поиск этого аватара в Google приводит нас к пользователю Инстаграма Angie Varona. Оказывается, эту фотографию используют десятки других аккаунтов.

Источник: Поиск аватара @EmmaMAGA_ в Google.

Это, как и нечеловеческий уровень активности, подтверждает, что мы имеем дело с ботнетом.

Особенности поведения

Наличие ботнета подтверждается и особенностями поведения аккаунтов. По состоянию на 21 февраля все их недавные твиты были репостами новостей из различных источников, включая Breitbart, BBC, RT, Reuters и (как ни странно) местную британскую газету the Coventry Telegraph. Подавляющее большинство публиковали одни и те же новости из одинаковых источников в одном и том же порядке.

Источник: слева — скриншот таймлайна  @JudyDeplorable / Твиттер. Источник: справа — скриншот таймлайна @Katie_MEGA_2017 за то же время / Твиттер. Дата архивации: 20 февраля.

В каждом твите, публикуемом этими аккаунтами, ссылка ведет не непосредственно на новость, а на рекламный сайт, предлагающий 5 долларов за 10 000 кликов. Используется четыре различных ресурса сокращения ссылок: news.thehealthybody.com, news.twittcloud.com, maga.news.twittcloud.com и newspaper24.twittcloud.com. Все ведут на похожие экраны с логотипами Трампа и предложениями оплаты за клики:

Источник: ссылка @Kristen_MAGA_US / news.thebodyhealthy.com

Источник: ссылка @EmmaMAGA_ / news.twittcloud.com

Прибыль от постов

Эти аккаунты объединяет не политическая позиция, а стремление получить прибыль посредством привлечения кликов.

То, что эти аккаунты управляются одним лицом, подтверждается тем, что в одиннадцати из них в прикрепленных твитах приведена одна и та же сокращенная ссылка Google (goo.gl/1s3Rmr).

Источник: вверху — прикрепленный твит @dayvarelat с сокращенной ссылкой Google / Твитер Внизу — прикрепленный твит @CarolineSunne с той же сокращенной ссылкой Google / Твиттер. Дата архивации: 20 февраля.

Эта ссылка ведет на страницу в Фейсбуке NationalNewsD, представляющую собой, по-видимому, новостной агрегатор. В феврале на этой странице публиковалось сравнительно мало постов; однако в начале января она была куда более активна. На тот момент она в основном уделяла внимание австралийским новостям, однако постепенно переключилась на американские новости, особенно касающиеся Трампа.

Источник: NationalNewsD / Фейсбук. Дата архивации: 21 февраля.

Однако эти посты вновь ведут пользователей не на новостные сайты, а на страницу с оплатой за клики.

Источник: Страница с оплатой за клики, на которую ведет ссылка на странице в Фейсбуке «NationalNewsD».

Некоторые посты также содержат вторую ссылку, ведущую на аккаунт в Твиттере @judith_forex. Утверждается, что этот аккаунт австралийский, хотя английский язык для него не родной. При этом аккаунт также ведет себя как бот: публикует те же новости, что и другие аккаунты, в том же порядке, твитит так же часто, а в прикрепленном твите содержится та же короткая ссылка Google:

Источник: @judith_forex / Твиттер. Дата архивации: 21 февраля.

Google analytics сокращенной ссылки на страницу в Фейсбуке указывает, что она создана 22 января, а к 21 февраля получила всего 1850 кликов. Почти 90 процентов этих кликов пришли из Твиттера, большая часть — из США.

Источник: goo.gl analytics

Согласно детальной аналитике, 913 кликов пришли из США (для сравнения: 94 из Германии, 43 из Канады, 42 из США, по 13 из Австралии и Венесуэлы, 9 из Франции и по 8 из Швеции и Турции).

Мы видим, как ботнет выдает себя за сеть сторонников Трампа, используя множество источников, помимо RT, и привлекает трафик от пользователей в США. Однако он едва ли создан в политических целях создания видимости поддержки Трампа: источники слишком разнообразны, в их число входят британские газеты the Guardian и the Coventry Telegraph, не отличающиеся особыми симпатиями к Трампу.

Вероятнее всего, ботнет создан не с политической, а в первую очередь с коммерческой целью. Создание сети фейковых сторонников Трампа направлено на его настоящих сторонников, которых привлекают на сайты, зарабатывающие на кликах на рекламу. Эту сеть нельзя назвать ни крупной, ни эффективной, однако по ней видно, как фейковые аккаунты могут выдавать себя за реальные, чтобы заработать денег.

Бен Ниммо — старший научный сотрудник по информационной безопасности в Лаборатории цифровой криминалистики Атлантического совета (@DFRLab).

DFRLab

Лаборатория цифровой криминалистики Атлантического совета. Объединяет цифровых криминалистов из разных стран, помогает отслеживать ход конфликтов в режиме реального времени, обеспечивает политиков информацией через открытые источники.

Подписаться на рассылку Беллингкэт

Введите адрес электронной почты, чтобы получать еженедельный дайджест статей Беллингкэт, ссылки на другие открытые исследования и многое другое.

Поддержать Беллингкэт

Вы можете оказать поддержку Беллингкэт отправив пожертвование через данную ссылку:

Комментариев: 7

  1. захар мариев

    Погодите, bellingcat, DFRLab и Бен Ниммо, а нет ли в этой статье антитрампизма?
    Ничем не примечательный ботнет, заработавший немножко денег [и] на сторонниках Трампа. И что из этого?
    ИМХО, корректнее было бы рассматривать ботнет «любителей» какой-нибудь вышедшей в отставку персоны или обанкротившегося брэнда. Что-нибудь ничего не значащее сейчас но знаменитое раньше. А так получается, вы под видом учебного пособия, опубликовали полит-пиар.

    Ответить
  2. stranger

    Это ярый антиамериканизм! Сторонники партии «демократов» травят законно избранного президента и его семью. Сорос платит деньги за марш вагин и заодно прикармливает котов. Осудим врагов демократии и ненавистников Соединённых Штатов Америки! 🙂

    Ответить
  3. stranger

    Господи дожили, всю массовкб прессу в штатах, пропагандистов вроде котов можно обвинить в антиамериканизме и подрыва демократических принципов. 🙂 если серьёзно — Трамп законно избранных президент и получил свои голоса честно, несмотря на противодействие элит, в основном в крупных городах и их массовой прессе. Демократы воюют не на жизнь, а на смерть уже после выборов, пытаясь дискредитировать Трампа. Однако весь сенат и весь парламент имеет большинство — республиканцев, а теперь и президент — республиканец. У «демократов» больше нет шансов, по крайней мере до следующих выборов. Они явно не делают с этим мириться. Спектакль устроили знатный наивность мир. Уж не позорились бы, что-ли…

    Ответить
  4. stranger

    Сорос поддерживает демократов и борется против Трампа, поскольку вероятно глобализации позволяет ему больше зарабатывать. Видимо поэтому все многочисленные политические, общественные и пропагандистские организации, которые он финансирует, включая котов, также борятся против Трампа. Это внутре американские разборки. Смысла в этом мало. Просто мочилово друг друга. Демократы высмеивали Трампа при Обаме, сейчас они сделать ничего не могут, кроме как биться в бессильной ярости. Брызги от этого мочилова разлетаются на весь мир.

    Ответить
    • захар мариев

      Сорос финансирует bellingcat? Что-то не верится. Зачем же они на кикстартере тогда собирают?

      Ответить
      • stranger

        Они берут все что дают, за редким исключением. Посмотрите интервью с Хиггинсом Жанны Немцовой на DW по моему. Хиггинс сам чётко сказал что кроме Гугла, что не вечно, они финансируются фондом Открытое Общество и рядом других фондов. Он сказал что якобы отказался от предложения правительства о финансировании. Фонд Открытое Общество создан и финансируется Соросом. Это прямо говориться на их сайте. Фандрайзинг может также замаскировать основных спонсоров. Спросят — «откуда дровишки» — «так вот же Гугле, люди неравнодушные последнее отдают»…

        Ответить

Ответить

  • (будет скрыто)