Методичка инфобойца - Игорь Юрьевич Нежданов

виде это вполне очевидно:

— Что произошло или происходит?

— Какова опасность происходящего или какие возможности дает?

— Что делать чтобы было не так больно или как воспользоваться ситуацией?

Если же говорить предметно, то обычно нужно выявлять угрозы и их изменение, открывающиеся возможности и их изменение. Что касается угроз, то они могут сильно отличаться в зависимости от сферы ваших интересов. Но одна угроза важна для всех — это угроза репутации. И в рамах работы с этой угрозой мониторинг и анализ должны дать аналитику возможность автоматизировать следующие процесс:

— Выявление подготовки к атаке на репутацию;

— Выявление самой атаки на репутацию;

— Исследование инцидентов с репутацией.

Для общего понимания происходящего можно использовать трёх-шаговую схему анализа, в ходе которой вы последовательно отвечаете на три вопроса по поводу новой информации или потока информационных сообщений:

— Что произошло или происходит;

— Какова опасность происходящего или какие возможности дает;

— Что делать чтобы было не так больно или как воспользоваться ситуацией.

Что произошло или происходит — Для понимания что происходит нам как минимум нужно разобраться в том, на сколько искусственен изучаемый информационный процесс распространения информации. Применительно к распространению негативной информации это понимание того, что информация распространяется реальными пользователями и процесс носит естественный характер или информация распространяется искусственно, а за процессом стоит заказчик, оплачивающий весь этот театр. В зависимости от этого набор применимых инструментов будет разный.

Какова опасность происходящего или какие возможности дает — Не менее важно вовремя оценить потенциальную опасность происходящего или примерные возможности, которые нам дает судьба. По сути своей это прогнозирование, но в нашем случае — прогнозирования влияние на аудиторию распространяемого контента. Это оценка влиятельности контента, пластичности аудитории и скорости распространения ударных материалов.

Что делать чтобы было не так больно или как воспользоваться ситуацией — И третьей задачей является выработка вариантов дальнейших действий в связи с выявленными процессами. Для негативных процессов — как уменьшить негативное влияние на аудиторию. Для позитивных — как усилить позитивное влияние.

Выявление информационной операции

Первая проблема, которую надо решить — понять есть информационная операция или нет. Ведь это умышленное действие по распространению информации, это искусственный процесс, а например, обсуждение пользователями интересной новости с вашим упоминанием это не атака, это естественный процесс. А для снижения нежелательного влияния в ситуации искусственного разгона ударного контента можно и нужно использовать технологии не приемлемые в ситуации, когда идет естественное распространение контента.

Для информационных операций характерны некоторые особые свойства, по сочетанию которых атаку можно идентифицировать. Эти признаки относятся к трем направлениям:

— Особенности оформления источника, осуществившего вброс;

— Особенности контента вбрасываемой информации;

— Особенности распространения вброшенного контента.

И именно анализ по всем этим направлениям дают возможность точнее определять наличие вбросов.

Детальное описание признаков информационной операции:

1. Особый первоисточник вброса:

1.1. Источник, имитирующий известное СМИ, новостное агентство и т. п.;

1.2. Недавно созданный источник, например аккаунт в соцсети;

1.3. Аккаунт, обладающий признаками бота;

2. Отсутствие первоисточника:

2.1. В публикациях нет ссылок на первоисточник;

2.2. Ссылка на первоисточник битая (первоисточника нет или он удалён);

2.3. Ссылка на первоисточник ведёт совсем не туда;

3. Искусственное продвижение:

3.1. Продвижение (репосты, комментарии, лайки…) осуществляют боты, тролли, агрегаторы компромата или сливные бачки;

3.2. Высокая скорость дублирования распространяемого контента вплоть до нескольких публикаций в секунду;

4. Специфичный контент — ударный контент:

4.1. Крайне эмоциональный контент;

4.2. Контент содержит призывы;

4.3. Контент обладает признаками манипулирования;

4.4. Контент вводит в заблуждение.

Особый первоисточник вброса

Площадка для первичной публикации ударного контента обычно выбирается из числа тех, которые некритично относятся к содержимому публикуемого материала. В противном случае злоумышленник рискует не осуществить задуманное. Таковыми являются следующие типы площадок:

— «Сливной бачек» сайт, готовый за деньги опубликовать что угодно;

— Только-что созданная площадка;

— Площадка, имитирующая известную (обычно известные СМИ);

— Боты в соцсетях.

Крайне редко для первичной публикации ударного контента используются известные, авторитетные площадки вплоть до сайтов крупных международных организаций или аккаунтов руководителей транс-национальных корпораций. Это происходит в следующих случаях:

— Сайт или аккаунт взломали и осуществили вброс;

— Договорились с админом ресурса, который без ведома владельца опубликовал.

Отсутствие первоисточника

Автор не указывает ссылку на первоисточник или ссылка не открывает ничего (ошибка 404) или ссылка открывает что-то не по теме. В ряде случаев это связано с тем, что страница первичной публикации ударного контента намеренно удаляется злоумышленником после осуществления первичного распространения для сокрытия следов.

Искусственное продвижение

Для достижения нужного эффекта злоумышленник предпринимает усилия по искусственному распространению ударного контента. Это подразумевает использование специфических технологий по распространению ударного контента уже вброшенного в медиа-пространство.

Такие усилия могут выражаться в:

— Использование специфических площадок для продвижения;

— Использование специфических методов продвижения ударного контента;

— Скорости распространения ударного контента.

— Специфические площадки — это особые площадки обычно используемые в таких ситуациях:

— Агрегаторы компромата, сливные бачки;

— Боты — аккаунты в соцсетях, управляемые софтом;

— Группы связанных источников — группы площадок, управляемых одним админом или группой админов.

Специфические методы продвижения ударного контента:

1. Посев — многократное дублирование одного контента:

1.1. Публикациями на сайтах СМИ, информ-агентств или на сайтах, имитирующих такие площадки;

1.2. Публикациями на страницах подконтрольных злоумышленнику аккаунтов в соцсетях;

1.3. Публикациями в лояльных группах в соцсетях (от одного или разных аккаунтов);

1.4. Комментариями, содержащими ударный контент под разными публикациями;

2. SMM:

2.1. Накрутка соц активности для продвигаемой публикации (лайки, репосты, комменты…);

2.2. Организация вовлекающего обсуждения для продвигаемой публикации, в результате чего в распространение вовлекаются реальные пользователи;

2.3. Популярные теги для продвигаемой публикации (работает технология для Твиттера, Инст…);

2.4. Использование рекламных механизмов для распространения ударного контента — платное распространение через официальный рекламный кабинет или через биржи рекламы.

Но в конечном счете продвижение сводится к многократному дублированию ударного контента. Именно по этой причине дублирование является одним из основных признаков продвижения контента.

Скорость распространения ударного контента подразумевает частоту его дублирования. В ряде случаев наблюдается такое дублирование с шагом в 1 секунду. Иными словами, каждую секунду появляется дубликат ударного контента на новой площадке (сайт, аккаунт, группа в сосцети и т. п..), а то и несколько.

Специфичность ударного контента подразумевает особенность самого материала, адаптированного именно для манипулирования аудиторией. При этом сам контент может быть как достоверным, так и не достоверным или частично достоверный.

Наиболее используемыми особенностями контента может быть:

— Ложь — материал является обманом частично или полностью;

— Правда в сочетании с особой подачей материала;

— Нарушение логики рассуждения или ее подмена идеологией;

— Отсылка к эмоциям;

Манипулирование может осуществляться с использованием любых типов контента:

— Текста;

— Изображения;

— Видео;

— Офисные документы (имитация утечки);

— Их сочетанием.

Как определить направление атаки

Вектор атаки в информационной