Începând cu 27 iunie, Facebook-ul fusese practic inundat de anunțuri de donații gratuite „pentru a ajuta oamenii deoarece epidemia de virus CORONA (sic!) a împiedicat multe persoane să lucreze”. Acestea au început să fie distribuite inițial de pe trei pagini de Facebook (inactive), apoi de alte două (lansate pe 2 iulie) – toate fiind clone de pe pagina oficială a Maiei Sandu – lidera Partidului Acțiune și Solidaritate (PAS).

Astfel, utilizatorii erau îndemnați să participe, chipurile, la o tombolă online unde se vor da bani gratis, fiind de ajuns doar un comentariu cu indicarea sumei dorite sau mesajul „particip, etichetarea unui prieten și/sau distribuirea mesajului în 5-10 alte grupuri” (pe post de factor multiplicator) pentru a crea o adevărată rețea neuronală a campaniei.

Cei care au pus la cale campania au utilizat numele oficial „Maia Sandu”, dar cu diverse variații ale acestuia: Mala Saandu (inactiv), 𝕄𝕒𝕚𝕒-𝕊a𝕟𝕕𝕦 (inactiv), Maia Sanddu (activ), Maiia-Sanddu (inactiv) și Sandu (activ), inclusiv pozele oficiale ale politicianei (mai ales cele apărute în presă).

  În cadrul analizei, am reușit să identific și un pattern comun al acestor clone:

• Paginile au fost create cu câțiva ani în urmă (din 2017 sau 2018), având cu totul alte denumiri și alte destinații (de exemplu: GBS Indevendent sau Gvghh) – ceea ce ne face să credem că au fost cumpărate recent. Or, schimbarea denumirii paginii coincide exact cu data lansării campaniei pe Facebook (vezi captura);
• Paginile nu reușesc să depășească 500 de aprecieri și urmăritori. Acestea sunt închise la scurt timp de administratori sau ajung să fie blocate de Facebook după câteva zile;
• Niciuna din aceste pagini-clonă nu rulează reclame, bazându-se exclusiv pe distribuirile și comentariile utilizatorilor;
• Textul redactat conține erori gramaticale și de semantică, ceea ce indică faptul că scriptul a fost prelucrat prin Google Translate;
• Toate paginile rulează același script pe Messenger unde utilizatorul, odată interacționând cu pagina-clonă, primește automat un mesaj că ar fi câștigat o sumă cash și că ar trebui acum doar să se înregistreze pe un site obscur creat pe platforma me (mascat sub denumirea www.maiasandu.com) pentru a primi mult așteptatul „CASH MONEY!”.

Capturi după mesajul pe Messenger în urma interacțiunii cu pagina clonă și site-ul fantomă

Conform datelor platformei de înregistrare a domeniilor Whois, este vorba despre o platformă generatoare de site-uri (SITE 123) cu domeniul înregistrat în 2015 și cu servere în Statele Unite ale Americii (Free Website Builder 100% Off | Create a Free Website - SITE123). Astfel, contra unei sume de bani, oricine își poate face un astfel de site.

Site-ul nu afișează date de identificare, dar în codul paginii vedem că cele două butoane cu ÎNREGISTREAZĂ-TE ACUM și WWW.MAIASANDU.COM trimit către un alt site-capcană (folosit pentru clickbait și redirecționare) ca să descarci automat extensiile StreamAllSearch sau VideozSearch.

Ambele extensii reprezintă așa-numite „browsere hijacker”, despre care specialiștii în securitate cibernetică avertizează că pot schimba setările browserului instalat și să te redirecționeze automat către un motor de căutare fals. Mai mult, prin astfel de extensii sunt colectate date de navigare (inclusiv plățile bancare) ale utilizatorului pentru a fi folosite ulterior de diverse terțe părți. De multe ori, astfel de programe pot fi descărcate și instalate pe calculatoarele noastre fără să ne dăm seama. Pentru a scăpa de acești „viruși” maligni, odată ce vi s-a infectat calculatorul, vă recomand să vedeți AICI câteva recomandări ale specialiștilor.

Iar acum să ne gândim la scopul pentru care a fost făcut site-ul respectiv. Pe de o parte, am putea presupune că în spatele acestei campanii ar sta oameni plătiți de regimul aflat la guvernare. Dar e mult mai probabil ca aceste pagini-clonă, împreună cu site-ul respectiv, să fi fost create de niște persoane care vor să сâștige din clickbait și să colecteze niște date cu caracter personal, pe care să le utilizeze mai târziu pentru extrageri în numerar de la bancomate. Astfel de inițiative sunt încurajate de serviciile secrete rusești, ele mai discrete și uneori mai eficiente decât operațiunile centralizate ca Internet Research Agency, care lasă multe urme în spate.

Interesant e că site-ul și campania de pe Facebook au fost lansate inițial pentru publicul din Republica Moldova (inclusiv diaspora), apoi a inclus și publicul din România, fiind derulat doar în limba română. Ceea ce ne îndreptățește să presupunem că au fost implicate persoane autohtone, care cunosc contextul socio-politic intern, favorabil pentru transmiterea pe social-media a unor astfel de mesaje false. Astfel, toată această „tombolă” organizată de „CASH MONEY” a venit în contextul lansării de către PAS a „Fondului Solidarității” – campanie publică de strângere fonduri ce vor fi redirecționate spre procurarea echipamentelor de protecție pentru medici și pentru susținerea celor mai vulnerabili cetățeni.

Acest tip de „escrocherii digitale” sunt extrem de periculoase, așa că plângerile făcute de reprezentanții PAS la poliție și procuratură sunt pe deplin justificate. Problema e că toate aceste pagini și site-uri sunt create pe bandă rulantă, iar fact-checkerii și investigatorii au nevoie de mai mult timp ca să le verifice decât le ia atacatorilor cibernetici să le facă. Dovada e că, și la patru zile de la prima raportare către Facebook a acestor pagini-clonă, două dintre ele sunt încă active, iar postările acestora încă îi ademenesc pe utilizatori în capcana browser-ului fake.

Captură după pagina-clonă „Sandu” (fosta pagină Gvghh) lansată pe 2 iulie. Postarea este distribuită și comentată intens pe grupuri de discuție (echo chambers). Colajul conține poze de la diverse loterii din România și R. Moldova și care n-au nicio legătură cu Maia Sandu sau PAS.

De altfel, fenomenul clonării conturilor și paginilor de Facebook a devenit unul global, iar în anul acesta tendința s-a extins mai mult ca niciodată. În contextul apropiatelor alegeri prezidențiale și a crizei politice din țară, astfel de practici ar trebui să ne îngrijoreze și mai mult.

Furtul identității online reprezintă un risc major pentru persoana vizată, mai ales în cazul persoanelor publice, iar simpatizanții sau fanii acestora pot fi atrași în diverse scheme de escrocherii sau atacuri cibernetice de tip phishing (o metoda de furt de identitate prin care se incearca obtinerea unor date personale sau confidentiale). Iar colectarea de date cu caracter personal (mai ales financiare) reprezintă o metodă pentru operațiuni frauduloase de clonare a cardurilor.

Aceste pagini își pot schimba rapid denumirea, intrând în posesia unor personaje cu agende politice ascunse și care pot foarte ușor implementa un script pentru a trimite mesaje spam pe Messenger. Dacă  utilizatorii nu semnalează sau raportează ei înșiși astfel de activități, acestea sunt practic imposibil de depistat din timp. Astfel, aceste pagini-clonă dispar și apar la intervale scurte de timp pentru a îngreuna munca echipelor de investigatori care îi caută pe inșii din spatele acestor campanii și atacuri cibernetice.

Vestea bună e că acum giganții tehnologici discută intens despre soluțiile de prevenire a acestor clonări sau a campaniilor demarate de „fermele de troli și boți” în contextul proceselor electorale din diferite țări. Una dintre acestea se referă la adoptarea de către platformele de socializare a unui sistem de confirmare a identității clientului – „know-your-customer” (KYC), astfel încât clientul să trimită câteva date de identificare atunci când își creează un cont sau își revalidează identitatea pentru contul existent. Evident că aceste măsuri ar trebui luate cu respectarea normelor și a dreptului la confidențialitate. Dar înainte ca Facebook să adopte noi politici pentru contracararea acestor fenomene, internauții pot întreprinde câte ceva pentru a se proteja și a-și proteja prietenii:

• În primul rând, trebuie să fim cât mai zgârciți în a ne oferi datele personale (data nașterii, locul nașterii, ultima școală absolvită etc.). Să reținem că Internetul (spațiul online) funcționează ca o „piață publică”, unde nu se poate asigura o confidențialitate de 100%. În acest sens, recomandăm gestionarea setărilor de confidențialitate ale contului personal pentru a minimaliza expunerea publică;
• Verificați dacă pagina de pe Facebook este însoțită de o bifă albastră care ar trebui să indice autenticitatea (așa cum apare în imagine);

• Dacă această bifă lipsește, recomandarea e să semnalați acest lucru în grupul public Trollhunt și/sau să raportați respectiva pagină către Facebook după acest model:

• Nu comentați la postări și nu distribuiți public link-ul paginii-clonă încercând să semnalați public falsul. Altfel, o veți distribui involuntar către prietenii voștri, iar de aici pagina se poate promova singură după efectul „bulgărelui de zăpadă”. Cel mai bine e să discutați în privat (pe Messenger) cu prietenii voștri sau să le semnalați public pagina clonată prin capturi (PrintScreen).
• Nu accesați niciun link trimis pe Messenger de conturi și pagini necunoscute. Astfel de practici duc deseori la sustragerea de date personale pentru a fi utilizate de terți.

Reamintim că astfel de pagini-clonă au fost create recent și în numele Kaufland Moldova sau Petrom Moldova. Apoi, apăreau persoane necunoscute care promiteau bani, solicitând în schimb datele bancare ale persoanelor care le picau în capcană. De asemenea, și băncile din R. Moldova au trimis mai multe comunicate prin care atenționau populația de diverse scheme de escrocherii de clonare a cardurilor și sustragerea ulterioară a banilor. Una dintre aceste scheme se referă și la crearea de pagini sau conturi false care promit bani în numele unor companii sau politicieni.

Captură după dezmințirea făcută de Kaufland Moldova referitoare la campania cu concursuri false care foloseau brandul Kaufland

Clonarea, în sine, n-ar trebui să ne surprindă. Astfel de tehnici au ajuns să fie aplicate cam la nivelul tuturor rețelelor de socializare. Ele diferă doar în funcție de evoluția mediului digital, a grupului-țintă și a țării vizate. În anii următori, am putea asista la alte agresiuni informaționale și informatice din partea acestor clone digitale.

Indiferent dacă e vorba de phishing, escrocherie sau altă campanie de discreditare politică, astfel de „măsuri active” la nivel digital nu numai că afectează încrederea în persoane, dar pe termen lung pot submina inclusiv procesele democratice din țară. Depinde de noi dacă vrem să fim mai vigilenți. Și nu uitați că banii nu cresc în copaci, așa cum fusese amăgit Pinocchio.

Nicolae Țîbrigan