Сеть южноафриканских сайтов, публикующих фальшивые новости, раскрыта при помощи кодов Google Analytics
В июле 2015 года Лоуренс Александр опубликовал работу, разоблачающую несколько якобы украинских новостных сайтов, которыми на самом деле заведовала так называемая «фабрика троллей», расположенная по адресу Савушкина, 55, г. Санкт-Петербург. Лоуренс обнаружил связь между этими сайтами благодаря общему коду Google Analytics, что означает, что управление всеми сайтами осуществляется при помощи единого аккаунта Google, который также используется для отслеживания статистики. Расследование вывело Лоуренса на вольнонаемного веб-дизайнера, проживающего в Москве. Он-то и занимался всеми сайтами – своими личными и теми, которыми управляла петербургская «фабрика троллей». Лоуренс написал специально для Bellingcat статью о том, как найти и отследить коды Google Analytics (см. здесь), а Джастин Сейц дополнил ее своей работой о том, как автоматизировать этот процесс при помощи написанной на Python программы (см. здесь).
В прошлом месяце группе журналистов из Южной Африки при помощи этого метода удалось обнаружить сеть сайтов, связанных с одной индийской компанией и семьей миллиардера Гупты, которого обвиняли в публикации ложной информации о южноафриканских информационных агентствах после того, как те выставили его семейный бизнес в неприглядном свете. Описания этого расследования, в том числе изданные News24, Центром расследовательской журналистики amaBhungane и исследовательской командой Scorpio издательства Daily Maverick, можно прочитать здесь и здесь.
При помощи сервисов WhoIs, кодов Google Analytics и идентификаторов AdSense журналистам удалось установить связь между десятью сайтами, большая часть которых напрямую отрицала достоверность утекших в сеть писем Гупты и продвигала идею «белого монополистического капитала». Ниже приведены адреса этих сайтов, упомянутые информационным агентством The South African: wmcleaks.com, wmcscams.com, dodgysaministers.com, wmc-scams.com, whitemonopolyafrica.com, whitemonopoly.com, fakeguptaleaks.com, publicopinion.co.za, southafricabuzz.co.za и whitemonopolycapital.com.
Они выглядят как сайты настоящих южноафриканских новостных агентств и исследовательских коллективов, но на самом деле, по-видимому, были созданы компанией CNET Infosystem, которая занимается веб-дизайном, располагается в г. Ноида, шт. Уттар-Прадеш, Индия, и находится под управлением Капила Гарга. Исследователи указали на подозрительную связь Гарга и его компании с семьей миллиардера Гупты, которая, предположительно, заказала сайты с целью противодействия критике в свой адрес. Например, у семьи Гупты есть компания в Ноиде, а Гарг использовал адреса электронной почты, заведенные на имена братьев Гупта, при регистрации двух из десяти сайтов.
Проведшие расследование журналисты предоставили Bellingcat несколько скриншотов, на которых подробно проиллюстрирован процесс поиска. Ниже показан идентификатор AdSense сайта publicopinion.co.za, обнаруженный путем поиска по исходному коду. При помощи обнаруженного идентификатора AdSense CA-PUB-8264869885899896 удалось выйти на несколько сайтов, связанных с Индией и, очевидно, созданных CNET Infosystem
Дальнейшие усилия принесли еще больше результатов, например, посредством обратного поиска по идентификатору AdSense журналисты обнаружили «новостные сайты», зарегистрированные по тому же номеру, что и publicopinion.co.za
Зайдя на эти сайты, мы можем просмотреть исходный код (как уже делали это с publicopinion.co.za) и убедиться, что идентификаторы действительно совпадают. Для этого нужно открыть исходный код, нажать CTRL + F и ввести в поле поиска тот же идентификатор AdSense (CA-PUB-8264869885899896), который был найден на другом сайте.
Лоуренс Александр обнаружил, что у некоторых сайтов есть дополнительные коды для отслеживания, которые не встречаются на других сайтах – а это новая область для исследований. На сайте wmc-scams.com, идентификатор AdSense которого совпадает с publicopinion.co.za, в исходной программе можно также найти код Google Analytics UA-101199457-4 («-4» – порядковый номер среди других сайтов с кодом UA-101199457).
Журналистам не составило труда найти регистрационные данные доменов, так как Капил Гарг даже не пытается скрыть важную информацию. Так, на приведенном ниже скриншоте представлены данные по сайту ajaygupta.info (посвящен одному из братьев Гупта), полученные при помощи сервиса WhoIs.
В целом удалось обнаружить сложную систему сайтов, связь между которыми установлена по кодам для отслеживания и регистрационным данным сервисов WhoIs. Джастин Сейц объединил все эти сайты в одной схеме (нажмите на изображение, чтобы увеличить):
Подробнее о расследовании, а также о том, как использовать описанные методы в вашей собственной работе, читайте в статье amaBhungane.