Начиная с 27 июня, Facebook практически наводнили объявления о бесплатных пожертвованиях «в помощь людям, поскольку эпидемия вируса CORONA помешала многим людям работать». Изначально их начали распространять три страницы в Facebook (уже неактивные), затем две другие (запущенные 2 июля) – все будучи клонами официальной страницы Майи Санду, лидера Партии «Действие и солидарность» (ПДС).

Так, пользователей призывали участвовать в мнимой онлайн-лотерее, якобы раздающей бесплатно деньги, для чего достаточно разместить комментарий с указанием желаемой суммы или же сообщение «участвую, поделиться с другом, и/или распространить сообщение в других 5-10 группах» (в качестве умножающего фактора), с целью создания настоящей нейронной сети кампании.

Субъекты, затеявшие эту кампанию, использовали официальное имя «Майя Санду», но в разных вариациях: Mala Saandu (неактивный), 𝕄𝕒𝕚𝕒-𝕊𝕒𝕟𝕕𝕦 (неактивный), Maia Sanddu (активный), Maiia-Sanddu (неактивный) и Sandu (активный), включая официальные фотографии политика (преимущественно из числа появившихся ранее в прессе).

В ходе анализа нам удалось идентифицировать и общий паттерн (шаблон) этих клонов:

• Страницы были созданы несколько лет назад (в 2017 или 2018 годах), причем с другими названиями и местонахождениями (например: GBS Indevendent или Gvghh), а это наводит на мысль, что они были куплены недавно. К тому же изменение названия страницы в точности совпадает с датой запуска кампании в Facebook (смотри скриншот);
• Страницам не удается набрать более 500 оценок и посетителей. Их вскоре закрывают администраторы или же через несколько дней блокирует Facebook;
• Ни на одном из этих страниц-клонов не размещается реклама, они опираются исключительно на репосты и комментарии пользователей;
• Публикуемые тексты содержат грамматические и семантические ошибки, что свидетельствует о том, что сценарий сработан посредством Google Translate;
• Все страницы работают по одному и тому же сценарию и в Messenger, где пользователь, заглянувший однажды на страницу-клон, автоматически получает сообщение, якобы он выиграл определенную сумму денег и что сейчас ему следует лишь зарегистрироваться на сомнительном сайте, созданном на платформе me (замаскированном под названием www.maiasandu.com), чтобы получить вожделенные «CASH MONEY!».
• 

Скриншоты сообщений в Messenger после взаимодействия со страницей-клоном и фантомный сайтом

Согласно данным платформы по регистрации доменов Whois, речь идет о платформе – генераторе сайтов (SITE 123) с доменом, зарегистрированным в 2015 году на серверах в Соединенных Штатах Америки (Free Website Builder 100% Off | Create a Free Website - SITE123). Таким образом, за определенную сумму денег каждый может создать себе такой сайт.

Сайт не афиширует свои идентификационные данные, а в коде страницы видим, что кнопки ЗАРЕГИСТРИРУЙСЯ СЕЙЧАС и WWW.MAIASANDU.COM отсылают к другому сайту-капкану (используемому для кликбейта и перенаправления), чтобы автоматически загрузить расширения StreamAllSearch или VideozSearch:

Оба расширения представляют собой так называемые «browser hijacker», о которых специалисты в области кибербезопасности предупреждают, что они могут изменять установленные настройки браузера и автоматически перенаправлять на фальшивую поисковую систему. Более того, посредством такого рода расширений собираются навигационные данные (включая информацию о банковских платежах) пользователя для последующего их использования всевозможными третьими лицами. Нередко такие программы могут загружаться и устанавливаться в наших компьютерах без нашего ведома. Если ваш компьютер инфицирован, чтобы избавиться от этих злокачественных «вирусов»,  рекомендуем посмотреть ЗДЕСЬ несколько рекомендаций специалистов.

А теперь поразмыслим над целью, с которой был создан соответствующий сайт. С одной стороны, можем предположить, что за этой кампанией стоят люди, проплаченные правящим режимом. Но намного больше вероятности, что эти страницы-клоны вкупе с соответствующим сайтом созданы субъектами, которые хотят заработать на кликбейте и собрать определенные персональные данные, которые впоследствии используют для снятия наличных в банкоматах. Подобные инициативы поощряются российскими секретными службами, они менее заметны и порой более эффективны, чем централизованные операции типа Internet Research Agency, которые оставляют много следов за собой.

Любопытно, что сайт и кампания в Facebook были изначально запущены для жителей из Республики Молдова (включая диаспору), потом включили и публику из Румынии, так как работа ведется только на румынском языке. Это позволяет предположить, что к этому причастны местные субъекты, знающие внутренний социально-политический контекст, благоприятный для распространения в социальных медиа подобных ложных месседжей. Так, вся эта катавасия с «лотереей», организованной «CASH MONEY», появилась в контексте запуска Партией «Действие и солидарность» «Фонда солидарности» – общественной кампании по сбору средств для последующего перенаправления на покупку защитного снаряжения для медработников и поддержки наиболее уязвимых граждан.

Этот вид «цифрового мошенничества» крайне опасен, так что жалобы представителей ПДС, поданные в полицию и прокуратуру, абсолютно обоснованны. Проблема в том, что все эти страницы создаются на конвейере, а фактчекерам и журналистам-расследователям нужно больше времени для их проверки, чем кибератакующим для их создания. Доказательством этому является и тот факт, что спустя четыре дня после первого сообщения компании Facebook об этих страницах-клонах, две из них продолжают оставаться активными, а их посты все еще вовлекают пользователей интернета в капкан фиктивного браузера.

Скриншот страницы-клона «Sandu» (бывшей страницы Gvghh), запущенной 2 июля. Пост распространяют и интенсивно комментируют в дискуссионных группах (echo chambers). Коллаж содержит фотографии с разных лотерей в Румынии и Республике Молдова, не имеющих никакой связи с Майей Санду или ПДС.

Впрочем, клонирование аккаунтов и страниц в Facebook стало глобальным явлением, а в текущем году эта тенденция приобрела невиданный размах. В контексте предстоящих вскоре президентских выборов и политического кризиса в стране, такого рода мошенничества вызывают намного больше беспокойства.

Онлайновая кража идентичности представляет серьезный риск для человека, ставшего объектом такой кражи, особенно для публичных личностей, а их сторонников могут вовлечь в различные мошеннические схемы или кибератаки типа phishing (способ кражи идентичности, посредством которого предпринимается попытка получить персональные или конфиденциальные данные). А сбор персональных данных (особенно финансовых) это метод мошеннических операций по клонированию банковских карт.

Эти страницы могут очень быстро менять свое название, став собственностью субъектов со скрытыми политическими повестками, которые с легкостью могут претворить в жизнь сценарий по отправлению спам-сообщений по Messenger. Если пользователи не сообщают сами о подобных действиях, то их практически невозможно выявить оперативно. Так, эти страницы-клоны исчезают и появляются через короткие интервалы времени, чтобы таким образом затруднить работу команд расследователей, которые ведут поиск субъектов, которые стоят за означенными кампаниями и кибератаками.

Хорошей вестью является то, что технологические гиганты интенсивно обсуждают вопрос о способах борьбы с такого рода клонированием или кампаниями, запускаемыми «фермами троллей и ботов» в контексте избирательных процессов в разных странах. Одним из таких способов является введение социальными платформами системы подтверждения личности клиента – «know-your-customer» (KYC), которая предусматривает, чтобы клиент предоставлял несколько идентификационных данных при создании аккаунта или изменении идентичности уже существующего аккаунта. Очевидно, что эти меры следует принимать с соблюдением норм и права на конфиденциальность. Но до того, как Facebook утвердит и внедрит новые политики по пресечению этих явлений, пользователи интернета могут предпринять кое-какие меры для защиты самого себя и своих друзей:

• Во-первых, следует быть максимально «скупыми» на предоставление персональных данных (даты рождения, места рождения, последнее оконченное учебное заведение и т.д.).
• Следует помнить, что интернет (онлайновое пространство) функционирует как «публичный рынок», где невозможно обеспечить стопроцентную конфиденциальность. Поэтому рекомендуем настроить параметры конфиденциальности вашего персонального аккаунта для минимизации рисков;
• Проверьте, сопровождается ли страница в Facebook синей галочкой, которая подтверждает ее подлинность (такая, как на снимке);
• Если такая галочка отсутствет, рекомендуем сообщить об этом в публичную группу Trollhunt и/или сообщите об этой странице компании Facebook, следуя нижеприведенному образцу:

• Не комментируйте посты и не распространяйте ссылку страницы-клона, попытайтесь публично сообщить о фейке. Иначе вы непроизвольно распространите ее своим друзьям, а оттуда страница может продвигаться самостоятельно – сработает эффект «снежного кома». Лучше всего обсудить в личном сообщении (по Messenger) с вашими друзьями или поставить их в известность о клонированной странице скриншотом (PrintScreen).
• Не открывайте ни одну ссылку, присланную в Messenger неизвестными аккаунтами и страницами. Подобные практики часто приводят к краже персональных данных для последующего использования третьими лицами.

Напоминаем, что такие страницы-клоны были недавно созданы и от имени Kaufland Moldova или Petrom Moldova. Потом появлялись неизвестные личности, которые обещали деньги, запрашивая взамен банковские данные людей, которые попадались на эту удочку. И банки Республики Молдова неоднократно присылали сообщения, которыми предупреждали население о различных мошеннических схемах клонирования банковских карточек и последующего снятия денег. Одна из этих схем – создание фиктивных страниц или аккаунтов, обещающих деньги от имени разных компаний или политиков.

Скриншот после опровержения, сделанного Kaufland Moldova, по поводу кампании с ложными конкурсами, в которой использовался бренд Kaufland

Само по себе клонирование не должно удивлять. Такие техники стали применяться на уровне почти всех социальных сетей. Они отличаются только в зависимости от эволюции цифровой среды, целевой группы и страны. Скорее всего, в последующие годы можно ожидать и другие виды информационной агрессии со стороны этих цифровых клонов.

Вне зависимости от того, идет ли речь о phishing, мошенничестве или иной кампании по политической дискредитации, такие «активные меры» на цифровом уровне не только подрывают доверие к людям, но в долгосрочной перспективе могут подорвать также демократические процессы в стране. Все зависит от нас, от того, хотим ли мы быть более бдительными. И не забывайте, что деньги не растут на деревьях, как обманули Пиноккио.

Николае Цыбриган