Информационная атака начинается с принятия решения о том, что необходимо провести активное мероприятие. Именно с планирования стартует полноценное автономное существование всего проекта. С этого момента мы и начнем.

Начинается планирование с четкого определения цели всего мероприятия: чего злоумышленник хочет достичь в результате, лучше с конкретикой. Например, если конечная цель — потеснить конкурентов на рынке, то звучать она должна примерно так: занять 25% рынка (какого и к какому сроку) за счет массового отказа потребителей от продукции (точно указать какой) конкурентов 1, 2 и 3.

Теперь, когда есть четкие ориентиры, разрабатывается предварительный план. Именно предварительный: он еще будет уточняться, в основном — на этапе подготовки, когда будет изучена целевая аудитория и станет понятен сценарий воздействия на нее. Но, возможно, изменения будут вноситься и в ходе реализации мероприятия.

На данном шаге злоумышленник планирует этапы, а не отдельные действия. И исходя из общего плана он примерно рассчитывает затраты на весь проект, тоже с учетом того, что в дальнейшем будут уточнения и изменения. Поэтому он оценивает скорее уровень затрат, а не подсчитывает точную сумму.

Подготовка начинается с точного определения целевой аудитории и ее особенностей. Ведь конечная цель подобных мероприятий — добиться нужных действий от определенной группы людей. Да, эта группа людей может состоять из сотен тысяч человек, а может — из одного вполне определенного человека. Но цель заключается в том, чтобы он или они что-то сделали: отказались от покупки определенного бренда, предпочли отдых в нужном отеле, поддержали определенную инициативу на совете директоров компании, поставили нужную резолюцию на каком-то документе (например, когда ЦА — один человек и это высокопоставленный чиновник).

И только после того, как ЦА определена, начинается ее изучение, чтобы понять уязвимости аудитории и ее характеристики, влияющие на принятие решений. Уязвимости аудитории — это те особенности, которые позволят злоумышленнику вызвать эмоциональную реакцию: ценностные ориентиры, мнение по каким-то проблемам, отношение к определенной теме и т.п. В случае, когда ЦА состоит из двух и более человек, это может быть то, что позволит расколоть аудиторию на тех, кто за, и тех, кто против. Как мы упоминали об этом ранее, гипотеза об уязвимостях аудитории обязательно проверяется на фокус-группах в офлайне и в онлайне.

Когда аудитория становится понятна, разрабатывается основная концепция ударных материалов — того контента, с помощью которого будет осуществляться воздействие злоумышленником. С идеей, которую нужно поселить в головах аудитории, определились на этапе планирования. Теперь, ориентируясь на особенности аудитории, определяем, с помощью какого типа контента это лучше сделать: текст, фото, видео, аудио и др.

С помощью какой технологии злоумышленник будет преодолевать недоверие аудитории? Это то, как будет замаскирована атака и какой психологический прием будет использован. Для маскировки атаки чаще всего используют несколько технологий:

Психологических приёмов воздействия много, и они хорошо описаны в соответствующей литературе, но есть несколько, которые наиболее часто используются для усиления воздействия ударного контента:

Затем определяются каналы доставки ударного контента до аудитории и методы его разгона: из каких источников аудитория получает информацию, на каких площадках интернета общается, в каких группах состоит и т.п. Также злоумышленник определяет, каким способом поместить туда ударный контент и с помощью каких технологий увеличить число ознакомлений с ним.

Только после этого злоумышленник начинает формирование инфраструктуры, необходимой для воздействия на аудиторию. Это в первую очередь площадки, на которых будет публиковаться ударный контент, и аккаунты, от лица которых он будет распространяться. Параллельно идет подготовка самих ударных материалов — сообщения, с помощью которых будет осуществляться воздействие: это и создание нового контента (тексты, изображения, видео и пр.), и адаптация уже имеющегося. Злоумышленники формируют команду: подбираются исполнители —"писатели", дизайнеры — те, кто будет создавать уникальный контент и адаптировать имеющийся.

На этапе подготовки информационной атаки злоумышленник вынужден совершать действия, которые оставляют следы, в том числе в интернете. И эти следы можно обнаружить. Забегая вперед, можно сказать, что при расследовании или реагировании на инцидент, которым является и информационная атака, именно эти "цифровые следы" помогают установить исполнителей и, что сложнее, возможных заказчиков. Этим в Group-IB занимается Департамент расследований высокотехнологичных преступлений. В этом случае оппонент получает возможность спрогнозировать атаку до ее начала, а значит — получить время на подготовку к отражению. Это сильно усложняет задачу злоумышленнику, поэтому он тщательно скрывает не только планирование и подготовку атаки, но и вспомогательные процессы, о которых пойдет речь ниже.

Например, чтобы воздействие на аудиторию было максимальным, а затраты на такое воздействие сводились к минимуму, необходимо понять уязвимости аудитории и темы, на которые она реагирует, определить, какие каналы доставки ударного контента наиболее эффективны для этой аудитории и кто является для нее авторитетным источником и пр. Частично ответы на эти вопросы получают в ходе кабинетных исследований, но не редко для уточнения приходится проводить дополнительные "полевые работы". Как вариант — опросы, пусть необъемные, полушуточные или провокационные (как, например, «Самый уродливый памятник»). И такие действия, даже локальные, вполне можно выявлять, оценивать и формировать на основе этого соответствующие прогнозы.

Еще одно перспективное направление в противодействии информационным атакам — отслеживание активности вокруг защищаемого объекта на площадках, посвященных созданию и хранению демотиваторов, фотожаб, карикатур и другого визуального контента. Здесь, помимо выявления подготовки атаки, можно вовремя отследить зарождение негативного контента.

После проработки общего плана мероприятия злоумышленник планирует схему распространения контента: какой контент, когда, через какие ресурсы, с какой интенсивностью. По сути это создание медиаплана данного проекта.

В ходе такого медиапланирования нужно определиться, по каким каналам можно наиболее эффективно доставлять контент до целевой аудитории. Тут нужно учитывать и особенности аудитории, и особенности ударного контента. Следующая задача — решить, сколько раз необходимо инициировать взаимодействие аудитории с ударным контентом, чтобы достичь эффекта. Здесь свои нюансы в зависимости от того, какие психологические приемы использует атакующий.

В конце этапа подготовки происходит корректировка плана с учетом всех уточнений и изменений, выявленных на данном этапе. Теперь злоумышленник детально понимает, что и как он будет атаковать, но это еще не окончательный план. Далее ему нужно провести аудит плана на возможные отклонения (нештатные ситуации) и добавить в него шаги по выявлению этих отклонений и возвращению ситуации в удобное для него русло.

Такое планирование осуществляется по давно известной и отработанной схеме. Смысл сводится к тому, что сначала все запланированные действия должны быть перечислены в виде последовательности простых шагов. Затем каждый шаг изучается на предмет того, какие факторы и как могут повлиять на него. В зависимости от вероятности их влияния строится предположение о возможных отклонениях следующего шага и описываются действия, необходимые для возврата к запланированной последовательности.

В итоге злоумышленник получает пошаговый план действий с описанием возможных нештатных ситуаций и дополнительных действий и ресурсов, которые потребуются для решения отклонений. Но увы, чаще всего про этап планирования забывают и получается «как всегда».

Например, возьмем простую, почти бытовую ситуацию: на каком-то мероприятии вам нужно получить номер телефона у незнакомого человека. На старте у вас есть две «точки»: начальная, когда вы не знаете номер телефона, и конечная — желаемое состояние, в нашем случае — номер мобильника. Далее вы пошагово описываете оптимальный по вашему мнению сценарий.

Далее определяем, что на каждом шаге может пойти не так под воздействием внешних или внутренних факторов. Например, на попытку поинтересоваться делами ваш визави сразу просит о помощи. Тогда вы, минуя шаг 2, сразу переходите к шагу 3. Или другой вариант — ваш собеседник из вежливости интересуется уже вашими делами. В этом случае вам нужно вернуть ситуацию в «основное» русло. Как это сделать? Например, вы говорите о массе свободного времени и возвращаете ситуацию в запланированное состояние, предложив помощь.

Для продумывания таких отклонений поставьте себя на место вашего оппонента, посмотрите на происходящее в интернете его глазами. Вот оппонент видит какую-то вашу публикацию. Как он ее воспримет, как отреагирует, что может предпринять? Например, он увидел, что вышло интервью некоего эксперта в Forbes, где он делится достижениями и рассуждает о стагнации отрасли. Увидит ли оппонент подвох? А как он может среагировать? Что из интервью он может использовать для создания ответного материала? Именно взгляд на будущие события с такого ракурса и лежит в основе общего медиапланирования — а не только что, где, когда и за сколько разместить.

Активная фаза (реализация запланированного мероприятия) — это не что иное, как распространение злоумышленником ударных материалов. На данном этапе он осуществляет намеченное воздействие на аудиторию, то есть демонстрирует нужной ЦА подготовленные ударные материалы, используя заранее определенные каналы доставки и методы разгона.

Распространять контент злоумышленник может вручную через подконтрольные аккаунты, в том числе через запланированные публикации. Но для этого должны быть небольшие объемы контента и незначительная интенсивность распространения. Иначе в одиночку справиться с этим проблематично — придется нанимать исполнителей и управлять ими.

Другой подход — арендовать чужие аккаунты в соцсетях, формируя соответствующие задания на специализированных биржах. Это позволяет не тратить время на поддержку аккаунтов и сводит к минимуму взаимодействие с исполнителями (операторами этих аккаунтов). Но нужно внимательно и осторожно формулировать задания для них.

Иногда для управления распространением используют кросспостинговые сервисы. Эти сервисы упрощают взаимодействие с контентом, когда аккаунты манипулятора в нескольких соцсетях и переключение между ними отнимает время. В результате он получает возможность с «одного экрана» видеть, что и где ему написали, и без переключений отвечать с нужного аккаунта в нужной соцсети. Или планировать свои публикации в разных соцсетях.

В ходе атаки злоумышленник будет внимательно наблюдать за тем, как аудитория реагирует на воздействие и какие шаги предпринимает объект атаки. Что касается реакции аудитории, то тут ему важно понимать, что воздействие достигло запланированной цели и аудитория начала разделять ту идею, которую злоумышленник хотел поселить в ее головах. Потому что, ориентируясь на эту идею, люди будут совершать действия, необходимые злоумышленнику — ради чего всё и затевалось.

Если атакующий увидит, что его усилия не достигают запланированной цели, то он задействует «план Б», то есть начнет менять сценарий воздействия и воплощать в жизнь те самые планы реагирования на нештатные ситуации. Либо попробует кардинально пересмотреть стратегию.

На практике злоумышленнику нужно с определенной регулярностью проводить мини-аудит своей кампании по распространению ударного контента. «Мини» — по причине того, что в этой ситуации его интересует не всё, а очень узкая область — то, как аудитория среагировала на ударный контент: ознакомилась или нет, разделила продвигаемую идею или нет. Вопрос неоднозначный. Обычно это подсчет просмотров и реакций. Но ведь злоумышленнику нужна «правильная» картина, а не иллюзия. Поэтому из данных расчётов нужно как минимум убрать ботов и троллей, если таковые появились, а правильнее использовать другие метрики.