Источник: ain.ua
Один подозрительный пост на Facebook порой может привести к раскрытию работы целой подпольной сети, чья цель — обманом заставлять пользователей делиться приватными изображениями и затем — шантажировать их. Тому, как устроен бизнес сети фейковых профилей, которые паразитируют на мужчинах, заинтересованных в сексе, посвящено недавнее расследование Radio Canada. Публикуем его перевод.
Вы получаете запрос на добавление в друзья на Facebook. Судя по фото, это девушка. Вы с ней незнакомы, но она симпатичная и вы заинтригованы. Почему бы и нет? Принимаете запрос. Только что вы, сами того не зная, запустили в работу механизм ловушки sextortion (шантаж разоблачением подробностей личной жизни).
Расследуя мир фейковых Facebook-профилей, мы с коллегой Мари-Эвой Трембли раскрыли масштабную сеть мошеннических аккаунтов, которые ловят жертв-мужчин, используя украденные фото молодых женщин и юных девушек. Это история расследования, которое длилось месяцы, и которое позволило нам узнать детали о работе этой сети.
«Я принимаю в друзей всех»
Существует множество способов, чтобы достичь успеха в социальных сетях. Я пишу о фейковых новостях и онлайн-дезинформации уже третий год, и думал, что видел все. Но Facebook-профиль на имя Беатрис Бустар заставил меня задуматься.
Она шикарно выглядела, она была таинственной, ей удалось собрать аудиторию из нескольких сотен тысяч пользователей. Нюанс в том, что она крала данные больных людей или людей с инвалидностью, чтобы добиться этого.
Впервые я познакомился с профилем Беатрис в феврале 2016 года. Она регулярно постила фото облысевших людей, людей с ампутациями, и просила написать «аминь» в комментариях. Зачем? Потому что «с тех пор, как я заболела раком, меня никто не любит» или «муж бросил меня после того, как мне ампутировали ноги».
Подобные посты неизбежно собирали тысячи лайков, комментариев и репостов. Неудивительно, что ей удалось собрать базу фанатов из 671 000 пользователей — это намного больше, чем у ведущих канадских СМИ вроде National Post или Toronto Star, и почти столько же, сколько у Globe и Mail.
Было несложно понять, что фото — украдены, и что люди на фотографиях не больны раком либо же живут вполне счастливой жизнью, несмотря на инвалидность.
В то время мне казалось, что это обычная схема «лайк-фарминга». Это стратегия создания Facebook-страницы, наполнения ее вирусным контентом и затем продажи на «черном рынке» или использования ее для продвижения чего-либо.
Мне стало интересно и я решил понаблюдать за Беатрис и ее страницей. Если бы она превратилась в страницу компании-производителя напитков-энергетиков, из этого вышел бы занятный новостной сюжет.
Но однажды Беатрис перестала постить фото больных людей, вместо этого на странице начали появляться сексуальные фото девушек. Очень юных девушек.
Возникновение сети
Все фото сопровождались однотипными сообщениями. «Она ищет парня. Напишите в комментарии и она ответит вам в личку. Не стесняйтесь, добавляйте ее!». Затем она тегала 4-5 «друзей» в посте.
Ее друзья также были фейковыми аккаунтами, украшенными украденными фотографиями красивых женщин. Каждый аккаунт в свою очередь перепечатывал эти фото, добавляя в теги еще друзей-фейков.
Наблюдая за этими взаимодействиями между фейковыми профилями, я выстроил базу данных из примерно 40 профилей. Они все действовали по одной формуле: публикация украденной фото сексуальной девушки, поощрение мужчинам написать коммент, тегирование других фейков.
Уже тогда было понятно, что это все делается для наращивания аудитории. Более того, на многих фото девушки были очень юными, и в то же время — снятыми явно в сексуальном контексте, в соблазнительных позах. Несколько фейковых профилей утверждали, что принадлежат 15-16-летним девушкам.
Мне не удалось отследить каждую использованную фотографию. Говоря о тех, которые я проверил: они все принадлежали различным аккаунтам, и скорее всего, были украдены с единственной целью — привлекать мужчин. Именно это подтолкнуло меня исследовать вопрос глубже. Как минимум, сеть крала фото девушек и девочек, и помещала их в сексуальный контекст без их согласия.
В реальности кроличья нора оказалась намного глубже.
Как устроена сеть
Искать фейковые профили и устанавливать связи между ними — все равно, что собирать паззл. Часто непонятно — подходит сюда этот кусок мозаики или это случайный элемент.
Многие молодые люди тегали эти фейки у себя в постах. Что, конечно же, не означало, что они тоже — часть сети. Возможно, они всего лишь хотели выехать на популярности этих аккаунтов. Они знали о том, что тегают фейки?
Чтобы лучше понять, как устроена сеть, я проанализировал около 200 Facebook-постов от 40 фейковых аккаунтов. Каждый раз, когда один фейк тегал другого, я записывал источник и цель. Сеть выглядела так:
Используя софт для анализа, я создал карту и организовал аккаунты в соответствии с отношениями между ними. Софт распознавал более активные аккаунты как «узлы» и окружал их аккаунтами, с которыми они чаще всего взаимодействуют.
Также я использовал алгоритм, определяющий, какой профиль взаимодействует с каждым другим профилем чаще, чем с остальными: их он определяет как «подсети» — они на графике обозначены голубым и желтым. Возможно, это — различные сети, которые сотрудничают друг с другом для продвижения. Также это может означать, что эти подсети управляются различными людьми.
Как можно заметить, в сети связаны все аккаунты, но некоторые из них служат узлами, как правило, у них больше всех фолловеров, и они продвигают остальные аккаунты в сети. Отсюда вопрос: зачем так напрягаться? Кроме продвижения друг друга, фейковые аккаунты часто еще и вступают в дискуссии между собой в комментариях, чтобы создать иллюзию того, что они — настоящие люди. Никто бы не стал заниматься таким просто для развлечения.
Это точно связано с деньгами, думал я. Некоторые посты участников сети размещали ссылки на мошеннические сайты, которые просили данные кредитки. Но мне казалось, эти аккаунты вовлечены в какое-то sextortion-мошенничество.
Оказалось, что разные аккаунты играют разные роли. Но все — сотрудничают, чтобы эффективней завлечь будущую жертву. Из того, что нам удалось выяснить: часть сети физически находится в северной Франции и Бельги. Другая — расположена в Испании. Но крупнейшая часть находится в южной Франции, в окраинах Марселя.
Как работает сеть
Фейковые профили делятся на несколько категорий: фидеры, аккаунты-приманки и аккаунты-охотники.
Фидеры работают «воротами» в сеть. У этих профилей — как правило, сотни тысяч фолловеров, но они сами не публикуют сексуальные фото. Скорее, кликбейтный контент, вроде тупых IQ или бесполезных лайфхаков. Эти посты получают сотни и тысячи лайков, комментов и перепостов.
В посте фидер тегает другие фейки, уже из категории «приманок». Эти очень популярные посты служат рекламой для «приманок». Любопытствующие пользователи-мужчины кликнут по отмеченным профилям и увидев, что они принадлежат красивым женщинам, зафоловят их. Уже на этом этапе сеть отфильтровывает пользователей, которые не хотят фоловить профили девушек и женщин с ярко выраженным сексуальным контекстом. Чтобы эти профили казались реальными, им добавляют детализации. Часто в рамках одного профиля используется фото одной и той же девушки, добавляются детали вроде даты рождения или города проживания.
Эти аккаунты — не интерактивны. Они не принимают запросы в друзья и никогда не отвечают на личные сообщения. Аккаунты-приманки часто делятся линками, которые, как они обещают, дадут пользователям возможность посмотреть порно (иногда это порно с участием несовершеннолетних). Эти линки всегда ведут на мошеннические сайты, где пользователя просят поделиться данными кредитки. Но аккаунты-приманки никогда не участвуют непосредственно в sextortion. Подобные незаконные линки никогда не публикуются напрямую на Facebook.
Иногда «приманки» исчезают — либо на них жалуются другие пользователи, либо же сами владельцы сети деактивируют их. Но даже в этом случае структура сети остается целостной. Фидеров это никак не задевает, ведь они никогда не делятся подозрительным материалом. За счет многослойной структуры сеть защищает себя.
Основная функция «приманок» — постить интригующие фото и тегать другие аккаунты-фейки. Посты всегда поощряют мужчин писать комментарии (в стиле «Как думаете, я — горячая штучка?» или же обещают выслать личные фото каждому мужчине, который напишет свой возраст в комментариях. Это — важная часть процесса, которая служит для работы третьего слоя сети.
Аккаунты-охотники
Здесь и начинается мошенничество.
В классической схеме мошенник представляется как привлекательная девушка и мотивирует пользователя-мужчину мастурбировать на камеру. Затем у жертвы вымогают крупную сумму денег. Если жертва не соглашается, мошенник угрожает опубликовать скриншоты или видео процесса в социальных сетях (нечто подобное, кстати, мы видели в «Черном зеркале» — ред.). Иногда мошенники доходят до обвинений в том, что по ту сторону камеры находилась несовершеннолетняя девушка.
Аккаунты-приманки уже создали идеальную среду для sextortion-схемы. Пользователи, которые оставляют комментарии, не боятся сообщить общественности о своем интересе к юным девушкам, плюс им не хватает соображения понять, что они общаются с фейками. Они — идеальная целевая аудитория для «охотников». Такие пользователи начинают получать от «охотников» десятки запросов на дружбу.
Когда пользователь принимает запрос, ему приходит личное сообщение. Фейковый аккаунт шлет ему линк на мошеннический сайт с порно или же дейтинговый сайт, или же пытается начать общение. Буквально за секунды пользователю предлагают продолжить разговор в видеочате, к примеру, в Google Hangouts или Skype
Аккаунты-«охотники» как правило недолговечны, и часто исчезают спустя минуты после установленного контакта с жертвой. Скорее всего, добавляя так много друзей за короткий период времени, они вызывают подозрительность алгоритмов Facebook, которые охотятся на фейки. Поэтому «охотники» стараются очень быстро перевести разговор в другой чат.
Запись разговора, который с «охотником» провела редакция радио — на скриншоте видно, как аккаунт пытается пригласить пользователя побеседовать в видеочате, ясно виден сексуальный контекст и желание побудить пользователя включить свою веб-камеру.
Как только общение продолжается в видеочате, «охотник» просит пользователя раздеться и заняться мастурбацией — ему нужно сделать запись и фото для последующего шантажа.
Кто за этим стоит?
Франция, среда, 6 сентября, около 15:00 по местному времени.
Мы только что получили один из важных элементов расследования. Это — фото группы друзей на Facebook, на первый взгляд — ничего особенного. Однако это фото и комментарии под ним позволяют нам наконец-то идентифицировать одного из организаторов сети.
Затем, как в фильме, спустя секунды после того, как мы сделали скриншот, все исчезает из сети. Около дюжины самых популярных аккаунтов сети уходят в офлайн.
Назовем его «Мехди». Его имя несколько раз всплывало в моих заметках на протяжении месяцев. Он — модератор закрытой Facebook-группы, в которой 600 000 участников и которая часто используется сетью фейков, чтобы получать трафик. Другие модераторы группы — тоже фейки. Все указывает на него. И затем мы находим фото, где он допустил серьезную ошибку. Одна из друзей Мехди запостила групповое фото и затегала знакомых, включая его. Я узнаю его по фото, но когда навожу курсор, вижу, что он затеган не под собственным именем, а под именем Amandine Ponticaud — одним из крупнейших фейковых профилей сети. В комментариях парень начал высмеивать Мехди, тот отвечал на насмешки, но из-под профиля Amandine.
После чего идет обмен оскорблениями между двумя пользователями, Мехди находит фото матери парня на Facebook и угрожает, что использует его в следующем порнопосте. А ведь «приманки» часто используют порнолинки, чтобы заманивать жертв. Парень блокирует профиль Amandine, но Мехди не успокаивается и возвращается к дискуссии уже под ником Léa Pierné — это еще один фейковый аккаунт сети. После блокировки оказывается, что у Мехди есть доступ к еще одному фейку — Isabelle Bekaert. Понятно, что по крайней мере, в сентябре 2016 года он контролировал минимум три крупных фейковых аккаунта — ключевых для сети. Он даже признался в публикации порноконтента.
Банда из Марселя
Все стало еще интересней, когда мы поискали Мехди в Google. Его имя не раз всплывало на геймерских форумах Франции. Еще с 2012 года пользователи форума хотели, чтобы его заблокировали в Facebook — по причине того, что он постит украденные фото девушек. В этих старых постах на форуме фигурирует также парень, представляющийся партнером Мехди. Назовем его «Пабло». Он дружит с теми пользователями, которые вовлечены в работу сети. Пабло и Мехди — родом из южной Франции, живут в районе Марселя.
Порывшись в интернете еще немного, я наткнулся на два рекламных объявления — от Пабло и от Мехди, опубликованные на сайте Webfrance в апреле 2015 года. В обоих случаях они пытаются продать одну и ту же Facebook-страницу, ныне уже недоступную, на тот момент — с 280 000 подписчиков. В комментариях некто жалуется, что уже «три раза пострадал от мошенничества Пабло», который пытался продать ему фейковые аккаунты.
Во втором объявлении Пабло рассказывает о том, что хочет уйти из соцсетей, чтобы жить реальной жизнью. Он продает три страницы, с 280 000, 129 000 и 70 000 активных пользователей, при этом адрес почты включает имя Мехди.
Здесь у истории намечается неожиданный поворот. Пока я искал Пабло в Facebook, я наткнулся на очень странный профиль — от его имени, с его фотографией. 10 июля 2013 года этот аккаунт опубликовал альбом с 373 фото, в общем доступе. Фото выглядят как скриншоты с компьютеров и мобильных телефонов. На этих скриншотах видна «внутренняя кухня» этой сети.
Здесь есть фото девушек, созданных для завлекания пользователей, статистика фейковых профилей, статистика вовлечения, скриншот чата, где Мехди просит друга сделать его администратором страницы. «Хочу облапошить чувака, и только что сказал ему, что я — админ». Спустя пару минут он уже хвастается, что обман удался. В этом же альбоме — платеж по PayPal на сумму в 500 евро. Есть скриншоты того, как собственно проходит sextortion-мошенничество — в процессе используются порнографические видео, чтобы вынудить пользователя перейти к более решительным действиям, сам же мошенник занят записью доказательств для дальнейшего шантажа.
«Пабло» и «Мехди» проигнорировали наши попытки с ними связаться. Однако моя коллега Мари-Эва пообщалась с двумя реальными молодыми женщинами, которые участвовали в работе сети, перепощивая посты с фейковых-аккаунтов. Обе подтвердили, что таким образом зарабатывают деньги. По словам одной из них, за репосты она заработала около 10 000 евро в месяц. Обе женщины сначала согласились на детальное интервью, потом внезапно исчезли. После этого стали исчезать и фейковые профили.
Мы также проанализировали коды мошеннических страниц, линки на которые публиковала сеть. Оказалось, что сеть использует один из CPA-сервисов. Исходя из данных на сайте, которая управляет CPA, сеть может зарабатывать до 28 евро каждый раз, когда пользователь, переходя по линку, авторизуется на сайте. Учитывая сотни тысяч подписчиков этой сети, она должна зарабатывать более, чем достаточно денег.
Возможно, сеть передает своих пользователей мошенникам за долю в прибыли. Или же мошенники выявили, что внутри сети их ожидают идеальные охотничьи угодья. Что мы знаем точно — так это то, что в целом процесс отлажен почти безупречно.
А что же случилось с Беатрис? Мы не выяснили, кто стоит за ее профилем. Но недавно она перестала публиковать сексуальные фото и вернулась к старой практике — фото больных людей или людей с инвалидностью.