Отражение информационной атаки: алгоритм действий

С чем мы имеем дело в Рунете

Мы анализируем информационное поле брендов с помощью системы «Крибрум».

Она позволяет проверить все инфополе — все социальные сети, все виды контента (посты, комментарии, ссылки, шеры, лайки, подписи и видео к картинкам). С ее помощью можно отслеживать упоминания как персон, так и организаций, а также тональность, дубли и спам. В течение 15 секунд «Крибрум» выкачивает 75% сообщений ВК и Твиттера; еще 20% за час, остальные 5% — за три часа.

Однако нужно понимать, что поведение пользователей, их речь (и в том числе упоминания брендов) в социальных сетях отличаются от комментариев в СМИ и на тематических площадках. Там есть своя специфика, и работать с ней сложно.

В социальных сетях и мессенджерах действуют свой контекст. Необходимо учитывать сленг, смайлы, мемы и многое другое. Выявить и проанализировать тональность в этом хаосе гораздо сложнее, чем в традиционных СМИ. Особенно если учитывать количество контента, которое появляется ежедневно.

Сейчас в социальных медиа ежедневно публикуется 100 000 000 сообщений, и пользователи совершают несколько миллиардов действий — лайков, шеров и так далее. В секунду на пике информационного события публикуется несколько десятков тысяч сообщений и несколько сотен тысяч лайков. Контент разлетается невероятно быстро.

Мы живем в период контент-бума: количество информации растет, но объем потребления этой информации остается на прежнем уровне или падает.

Из-за этого разные компании, в том числе СМИ, начинают искать разные форматы взаимодействия с аудиторией. Это видеоролики, голосовые сообщения, звуковые дорожки, инфографика, мемы и так далее. И от этого количество информации и контента еще больше возрастает — как с точки зрения количества, так и с точки зрения форматов. По прогнозу, к 2020 году количество контента в Интернете увеличится в 200 раз — это будет гораздо больше, чем мы сможем когда-либо просмотреть.

Восприятие меняется

Сейчас меняется ландштафт контента. Происходит много вбросов, фейков, появляется много информации, от которой пользователи начинают уставать. Из-за этого продолжительность внимания, которое пользователь может сконцентрировать на какой-то новости, ощутимо снижается.

Если раньше новости оставались актуальными, и их продолжали обсуждать в течение нескольких недель, то сейчас они живут не больше 3-4 дней.  

Изменяется и то, как мы потребляем информацию. Пишущая и читающая аудитория мигрировала из ЖЖ в Facebook, а из него в мессенджеры. Теперь она привыкает к коротким репликам и эфемерным темам, вырабатывает клиповое сознание. Объем поста в фейсбуке в среднем в 5 раз меньше, чем в ЖЖ (630 против 3800 знаков). Средняя длина сообщений падает. При этом быстро растет инструментарий выражения эмоций без текста — смайлики, лайки.

Кроме того, в социальных сетях контент «тонет». Менее 5% сообщений оригинальны, 90-95% — шлак: спам, дубли, ретвиты, шеры и репосты даже без комментариев.  Очень сложно найти информацию, которая была опубликована в Facebook день назад, тем более — неделю. Среднее время жизни поста — 6 часов, и из-за этого можно многократно применять одни и те же сценарии и вбросы.

Из-за всех этих причин развивать фейковые новости очень удобно: их можно легко вбросить, а затем их растиражируют обычные пользователи. Контенту сейчас принято доверять, и многие репостят и лайкают, не проверяя информацию.  

Люди любят негатив

Негатива в сети намного больше, чем позитива. Пользователям он нравится больше.

Причина этого в том, что негатив дает чувство вседозволенности, безнаказанности, виртуальности, снятие барьеров приличий и вежливости. Сетевая публика ждет именно негативной информации, она вызывает наибольший отклик. Ее любят читать, публиковать, обсуждать. В среднем количество негативной информации появляется в Интернете в пропорции 2:1.

Самая негативная тема — это, конечно, политика. Самые хвалебные отрасли — это телевидение, шоу-бизнес, иногда — спорт. Соотношение ругани к похвале в них 2 к 3.

Повестку дня формируют не те, кто пишет контент

В современное медийное поле формируется не теми площадками, на которых создается контент. В первую очередь ее создают агрегаторы.

Какие ресурсы сейчас самые посещаемые, откуда вы в первую очередь узнаете новости? Это Яндекс.Новости и Яндекс.Дзен — агрегаторы новостей, которые фильтруют результат. Новости попадают к ним по специальным алгоритмам, но сами они, естественно, контент не создают.

Кроме того, люди читают и блогеров, аудитория которых зачастую намного больше, чем у рядовых СМИ. Но на вершине рейтингов блогеров — по количеству, по охвату и так далее — находятся те, у кого есть отдельная редакция, и те, кто занимается только переупаковкой новостей. Самой большой популярностью пользуются блогеры, которые ничего не производят, а просто выдают информацию по популярной теме.  

В условиях такого медийного пространства делать вбросы становится еще проще. Как только новость набирает достаточно много трафика — ее публикуют блогеры, новостные агрегаторы и группы, которым нужен охват. Факты никто не проверяет.

Все это приводит к тому, что информационных атак становится все больше. Давайте рассмотрим, что характерно для естественного медийного взрыва и информационной атаки, и чем они отличаются.

Естественный медийный взрыв

Естественное событие всегда привязано к определенному инфоповоду, который возник самостоятельно. Если целевой аудитории он интересен, люди начинает его расшаривать, лайкать, и возникает вирусный эффект.

В естественном инфоповоде есть очень много участников. Уникальная информация появляется в разных точках: от участников события, пострадавших, свидетелей. К событию подключаются и эксперты, у которых берут интервью, журналисты и так далее. Кроме того, это благодатная почва для желтых СМИ и блогеров, которые гонятся за трафиком. К волне могут присоединиться и недоброжелатели, и конкуренты.

Нормальный жизненный цикл новости колеблется от трех до пяти дней, максимум — неделю, с затуханием. Причем чаще всего проходит один-два дня, и от новости не остается никакого следа.

Но это происходит только в том случае, если новость не подогревают извне. Если нет никого, кто хотел бы ее специально продвигать и раскручивать дальше, как информационную атаку.  

Развитие событий естественного медийного события на графике выглядит примерно так:       

Всплески показывают, как увеличивается охват.

Точно такие же всплески возникают, когда происходит поворот в естественном событии. Таким поворотом может быть то, что выяснилось что-то новое, появились пострадавшие или еще одна сторона конфликта. Из-за изменения повестки инфоповод снова «взлетает» в охвате.

Как правило, у всех естественных новостей есть свои центры. Это крупные СМИ, известные блогеры с большим охватом — именно от них новость начинает разлетаться. Ее начинают перепощивать, и практически сразу появляется много других участников этого события. С их аккаунтов новость распространяется дальше — до следующего центра. И так расходится разная информация.

Таким образом, признаки естественного медийного события:

Распространение фейка

Распространение информационного вброса выглядит иначе.

В этом случае нет крупных центров. Новость появляется в небольших желтых СМИ и спящих аккаунтах. Неактивные пользователи подхватывают эту новость и начинают ее раскручивать. Таких всплесков активности достаточно много, но контент остается одним и тем же, без новых точек зрения.

Дальше пользователи могут подхватить и разнести информацию, но центры ее появления остаются небольшими.

Признаки фейка:

Распространение информационной атаки

Организационный цикл атаки включает:

Самое главное во время информационной атаки — попасть в целевую аудиторию. Если тема вброса интересна людям и важна для них — фейковую новость подхватят и распространят.

Например, если в группу путешественников кинуть информацию о том, что сотовый оператор обманывает на роуминге, она разойдется очень быстро. Особенно, если это будет история, вызывающая доверие — о том, как друг друга съездил за границу, и у него с карточки сняли много денег. Сразу найдутся люди, которые скажут: «Да, я тоже об этом слышал, у сестры моего друга тоже списались деньги». Или, возможно, у мамы, бабушки, у брата тоже это произошло. Как правило, ситуация происходит не у самого рассказчика, а у кого-то из его знакомых, или рассказчик об этом читал.

Это же может произойти в банковском секторе. Один из пользователей начинает рассказывать, что, например, он снимал деньги за границей и курс посчитали неправильно, а через десять дней списали дополнительные 10 000 рублей. Сразу же появится много тех, кто подтвердит историю.

Даже если придут представители компании или адвокаты бренда, им уже никто не поверит, потому что в ситуации уже не захотят разбираться. Слова о том, что вброс не соответствует истине, не сработают. Поэтому очень важно заранее подготовить доводы и объяснения.

Инструменты информационных атак

Как правило, вброс происходит через «сливные бачки», квази-СМИ. Могут выступить первоисточниками и платные блогеры и те интернет-СМИ, которые постят на заказ практически всё (с некоторыми идеологическими ограничениями).

Распространяют — платные тролли. Это сотни людей, которые пишут посты и комментарии на регулярной платной основе. Затем подключаются сети автоматических ботов — это автоматическое ПО, постящее комменты и твиты.

Дальше — системы усиления сигнала. Тысячи живых людей, перепощивающих лидеров мнений по доброй воле. Затем «традиционные» СМИ организуют цикл отмывки вбросов из Интернета. И наконец, сети квази-СМИ продвигают фейк в новостных агрегаторах и создают волну. Затем все повторяется.

Все это можно достаточно легко определить, если начать постепенно раступытывать клубок происходящего. Очень часто мы ищем первоисточник новости — и видим, что вброс произошел через какой-то «сливной бачок», через желтые СМИ, с которых статью уже удалили. Вброс произошел, статья разошлась, но первоисточника не осталось, и концов уже не найти.

Такая же ситуация происходит, если изначальная публикация была со «спящих» аккаунтов. Информация пришла с разных аккаунтов, но когда мы начинаем их искать — оказывается, что они уже удалены. Таким образом организаторы атаки отрезают возможности их найти.

Результаты информационной атаки

Если не подготовиться к атаке заранее и неумело ее отражать, результаты останутся надолго и будут достаточно болезненными. Вытеснение негатива на порядки труднее, дороже и дольше, чем его вброс.

На это есть причины:

• негатив популярнее. Негатив и клевету читают миллионы, опровержения — никто;

• клейкость. Клевета и репутационные пятна остаются и виснут годами;

• злопамятность сети. Поисковики помнят все, СМИ и сайты компромата им помогают;

• неконкретность. Никто не помнит деталей, «кто у кого украл», помнят только ощущение негатива.

Из Интернета, как мы знаем, ничего удалить нельзя. Нет кнопки «удалить» для определенного сайта или статьи.

Можно, конечно, писать в суд, если вброс — явная клевета. Можно и нужно работать с поисковой выдачей, вытесняя негатив. Можно и нужно выступать и подробно объяснять ситуацию, и делать это должны первые лица компании. Но все это достаточно сложно. Многим компаниям на это не хватает времени (потому что действовать нужно быстро) и ресурсов.

Как бороться с информационной атакой

Есть восемь основных принципов, которым нужно следовать, отражая информационную атаку.

Но самое главное — отследить атаку на начальном этапе. Поэтому крайне важно мониторить то, что говорят в Интернете о вашем бренде, компании и конкурентах, чтобы быстро отреагировать на происходящее.

По нашему опыту, 70-80% всего негатива, который говорят о компании, сконцентрировано на 5-10 темах. Это те болевые точки, по которым будут атаковать ваши конкуренты или недоброжелатели. Им гораздо проще воспользоваться тем, что уже обсуждает ваша целевая аудитория, тем, на что она хорошо отреагирует.

Поэтому необходимо заранее готовиться к тому, что в эти болевые точки будут атаковать, и защищаться от этого. Нужно обучать ваших клиентов, рассказывать им о том, как устроена ситуация на самом деле и в чем состоит правда. Если это будет сделано, если у вас уже будет  заранее подготовленный контент, то атака быстро сведется к нулю и вряд ли повторится. Информационная атака требует очень больших затрат, и вряд ли их будут повторно выделять в случае неуспеха.

Кейс от Игоря Ашманова. Информационная атака на  ГК Infowatch

В определенный момент мы обнаружили атаку на родственную «Ашманов и партнеры» компанию — Infowatch.

Клиенты, с которыми мы работаем по отбиванию атак и исправлению репутации в сети и мониторингу, обычно не разрешают об этом рассказывать. Infowatch — компания родственная, мы довольно открыто участвовали в компании по отбиванию атаки, поэтому мы можем поделиться кейсом. Это редкий случай.

Итак, в определенный момент — в апреле, год назад — мы обнаружили, что на компанию Infowatch (это компания моей жены, Натальи Касперской, которая занимается борьбой с утечками в корпорациях), началась информационная атака.

Временная шкала атаки была довольно плотной. Для атаки выбран некий «сливной бачок» — никому не известное СМИ об информационной безопасности. Туда было вброшено сообщение о том, что произошла утечка данных в компании Infowatch — хотя эта компания сама занимается борьбой с утечками.

Атака проходила так:

Из этой временной шкалы видно, что атака была подготовлена заранее. Это не просто сообщение одного человека. Почему мы решили, что это именно атака, а не просто действия свободы слова в социальных сетях?

На это было много причин:

• продолжительность обсуждения. Естественное событие живет 3-5 дней, после этого блогеры и СМИ теряют интерес. А факт возможной утечки активно обсуждался около двух недель.

• схема распространения. На первом этапе об утечке рассказывали только мелкие блогеры, которые репостили одни и те же новости. Оригинал был один.

• детальность и подготовленность. Перед появлением первой «информации об утечке» на SecureNews недоброжелатели произвели три разных рассылки: СМИ, клиентам и конкурентам InfoWatch. Такая рассылка требует планирования, сбора адресов, схемы скрытия обратных адресов;

• скорость исполнения. От первых писем до публикации на SecureNews прошло 6 часов, а уже через 12 часов начался веерный обзвон клиентов InfoWatch, в основном по контактам, которых не было в обсуждаемой «базе».

• перевод фокуса внимания. Организаторы атаки вбросили тему «обиженного сотрудника», которому якобы не заплатили денег, и указали как источник бывшего исполнительного директора InfoWatch Всеволода Иванова. При этом конфликтов из-за выплат нет ни с ним, ни с другими бывшими или действующими сотрудниками.   

Если бы это было обычное, естественное событие, оно бы продлилось три дня,  и закончилось. В этом случае атака подогревалась. У нее была схема «колбасы вброса», передвигавшейся по социальным сетям, а не естественного события.

Кроме того, мы обнаружили, что атака была очень детально подготовлена. Но те, кто это организовал, были непрофессионалами, и все было сделано очень топорно. Они начали вести атаку слишком быстро, а по таймингу обычно видно, что все действия заранее подготовлены, и нельзя реагировать так быстро на обычные, естественные новости. Также более-менее сразу стало ясно, кто организовал атаку.

База данных

В качестве доказательства утечки к письмам предлагалась ссылка на облачный сервис, где можно было скачать «базу данных»:

• 5 коммерческих предложений на бланках InfoWatch. Файлы представляли собой спецификации с позициями и ценами. Заказчики или партнерские скидки не указывались. Три из пяти КП были идентичны.

• Excel-файл «Отчет Полный список контактов». Файл был оформлен как выгрузка из CRM и содержал 4896 контактов, сгруппированных по видам деятельности организаций. Были указаны имена и фамилии, а также частично — названия организаций, должности, адреса электронной почты и телефоны. Отсутствовали комментарии, пометки и намеки на коммерческие показатели. На InfoWatch указывали только контакты 200 действующих или бывших сотрудников.

• Документ датирован 20.08.2016 года, но метаданные говорят, что файл был создан 10.04.2017.

Эта база была изначально сфабрикована. То есть, бывший сотрудник InfoWatch, которого уволили еще года полтора назад, передал конкуренту что-то похожее на базу своих клиентов. К ней добавили клиентов с сайта InfoWatch, еще что-то — и стали выдавать это за современную, актуальную утечку.

Организация атаки и расследование

У события были все признаки информационной атаки:

• Спам. Письма с «информацией об утере базы», отправлялись с анонимного почтового адреса с заходом в веб-интерфейс почтового ящика через «темный Интернет» — сеть TOR;

• Старый материал. Многие контакты, указанные в «базе данных», были устаревшими. Нового материала у конкурента не было;

• Легенда. Для отвода глаз в качестве основной выдвигалась версия мести бывшего «обиженного» сотрудника;

• Контакт с клиентами. Одновременно с этим с корпоративных адресов @searchinform.ru производилась рассылка писем с рассказом об «утечке» и с предложением сменить поставщика. Также из колл-центра, сотрудники которого представлялись SearchInform, проводился обзвон с предложениями сменить поставщика. При этом обзвон прошел очень быстро и со ссылками на материал, который был заложен в  в этот «сливной бачок», и потом разослан по всем СМИ;

• Подогрев в соцсетях. При снижении интереса тему «подогревали» посты владельца SearchInform льва Матвеева в Facebook. Он всячески убеждал в важности «утекшей информации». К нему какое-то время подцеплялись более мелкие мелкие конкуренты.

Мы провели свое расследование. Оно заняло не очень много времени.

Как выяснилось:

• SearchInform горячо участвует в атаке. На это указывали бурные действия сотрудников SearchInform в соцсетях, рассылка писем и звонки клиентам, «подогревание темы» и генерация смыслов атаки лично владельцем SearchInform. Кроме того, «сливной бачок» — СМИ бывших сотрудников SearchInform.

• SearchInform действует быстро. Найм колл-центра, написание скриптов с раскруткой атаки и предложением перейти на продукт SearchInform, организация массовой рассылки по поводу «утечки» — все это заняло часы после атаки, то есть, готовилось заранее.

• нет других участников и «бенефициаров» атаки. Обиженные сотрудники, которым якобы не заплатили денег, никак себя не проявляют и не предъявляют требований. Никто из конкурентов, кроме SearchInform, не проводил массовых рассылок и обзвонов.

Алгоритм действий и результаты

Первое, что мы сделали в ответ на атаку — начали открыто обсуждать ситуацию. Мы пришли во все социальные медиа, где происходило обсуждение и стали объяснять, что на самом деле происходит. Мы прямо говорили с отраслью и клиентами. Не оправдывались и не игнорировали, не скрывали подробности информационной атаки.

Расследовали атаку: изучили файл с «базой» и обратные адреса рассылок, проанализировали мотивы участников инцидента. Нашли источник и подробно описали, почему в нем уверены, выложили доказательства.

Взяли дружественное СМИ — это был Roem, СМИ для программистов и владельцев информационного бизнеса. Опубликовали подробное расследование со всеми доказательствами.

Использовали это СМИ как склад ссылок. Дело в том, что довольно много клиентов, да и конкурентов были готовы нас поддержать. Но им нужны были материалы, на которые они могли бы ссылаться в дискуссиях. Вот для этого нужно создавать такой склад для ссылок, склад контента, который нужно было постоянно обновлять. Высказываний о том, что атака не основана на правде, недостаточно. Нужно иметь больше контента, чем есть в атаке, и он должен быть более убедительным.

Кроме того, поскольку реагировать нужно в реальном времени, мы договорились с главредом этого СМИ, и создали ленту событий. В ней мы показывали все изменения этой ситуации и все действия конкурентов. Причем делали это по возможности с шутками, прибаутками, подначками. То есть, со стебом в адрес этого конкурента.

Что произошло в результате? Атака довольно быстро прекратилась. Конкурент начал оправдываться, угрожать подать на нас в суд за то, чтобы мы якобы его оклеветали, когда назвали организатором атаки. Конкуренты, которые не участвовали в атаке, но подцепились к ней, начали расползаться, видя, что здесь выводят на чистую воду.

Атака закончилась через две недели. Конкурент обещал подать в суд через несколько месяцев, но ничего не получилось. Суд не принял обвинения. На этом все закончилось.

О чем это говорит? Во-первых, нужно обязательно реагировать открыто. Во-вторых, заставлять говорить главных лиц (в этом случае рассказывала об атаке гендиректор компании Infowatch Наталья Касперская, и я рассказывал, что происходит). Нужно обязательно создавать склад контента, где можно многократно ссылаться на то, что уже расследовано. Обязательно нужно указать источник и вскрыть его мотивы. Тогда удастся быстро завершить атаку и выйти из нее без потерь.

Доклад прочитали Денис Шубенок и Игорь Ашманов.