РУССКИЙ
РУССКИЙ
ENGLISH
13.01.2021

Три кита атаки на репутацию

Как готовят информационные атаки и управляют ими
Игорь Нежданов
Руководитель департамента управления репутацией Group-IB
Как-то раз одна весьма известная международная компания захотела быстро увеличить свою долю рынка продуктов питания. Но на разработку, запуск и рекламу нового продукта тратиться не захотели — решили просто с помощью пары видеороликов потеснить своих конкурентов, создав у клиентов негативное отношение к их продукции. В первом ролике возмущенный покупатель эмоционально рассказывал, что нашел в дорогом и востребованном продукте песок. А другой покупатель обнаружил... мышиный хвостик. Ролики разместили в соцсетях, в группах «мамочек» , которые очень чувствительны к подобным темам. Драматизма добавили за счет купленных репостов, лайков и комментариев соответствующего содержания.

За одни сутки "вой" вокруг мышиного хвоста из соцсетей дошел до региональных СМИ, которые с удовольствием начали публиковать материалы на столь животрепещущую тему. Тут же появилось «расследование» никому не известного блогера, который якобы смог проникнуть на производство и зафиксировать факты антисанитарии, что и объясняло попадание посторонних "ингридиентов" в продукты питания. После того как тема вышла на федеральный уровень, правоохранительные органы инициировали проверку, информацию о которой с радостью распространили всё те же группы мамочек. Но проверка не обнаружила ни посторонних вкраплений в продуктах, ни нарушений санитарных норм на производстве. Но кому это уже было интересно? Информационная атака на конкурента свое дело сделала.
Цикл атаки
Как правило, информационная атака начинается с принятия решения о том, что необходимо провести активное мероприятие. Именно с планирования стартует полноценное автономное существование всего проекта. С этого момента мы и начнем.
1
На этапе планирования уточняется конечная цель мероприятия: что именно хочет получить заказчик, какой результат. При этом, конечно, нужно помнить, что цель манипулятора — вполне конкретные действия (или бездействие) целевой аудитории, а также нужно учитывать возможные приемлемые отклонения от основной цели. На основе конечной цели разрабатывается предварительный план ее достижения. Дальше этот план еще будет корректироваться. А на его основе производится расчет ресурсов, необходимых для реализации.
2
Затем начинается подготовка самого воздействия — второй большой этап. Сначала определяется и тщательно исследуется целевая аудитория воздействия. Определяются ее сильные стороны и уязвимости — те особенности, которые позволят манипулятору вызвать эмоциональную реакцию или расколоть аудиторию на тех, кто за, и тех, кто против. Гипотеза об аудитории обязательно проверяется на фокус-группах в офлайне и в онлайне.
3
Дальше создается инфраструктура, необходимая для воздействия на аудиторию. Это в первую очередь площадки, на которых будет распространяться ударный контент, и аккаунты, от лица которых он будет распространяться.
4
Следующий шаг — подготовка ударных материалов, то есть контента, с помощью которого будет осуществляться воздействие. Злоумышленник может создавать новый контент (тексты, изображения, видео и пр.) или адаптировать имеющийся. Подбираются исполнители: копирайтеры, дизайнеры, SMM-менеджеры.
5
Только после этого начинается активная фаза — собственно воздействие. Это распространение ударных материалов, их первичная публикация и разгон, вовлечение в процесс целевой аудитории. На этом этапе необходимо постоянно отслеживать реакцию аудитории и при необходимости вносить корректировки (когда аудитория реагирует не так, как нужно манипулятору). Также нужно отслеживать действия оппонента: увидел он угрозу или нет, начал противодействие или нет, насколько эффективно его противодействие и что нужно предпринять, чтобы активность оппонента не помешала манипулятору достичь поставленной цели. При значительном отклонении реализации от плана цикл повторяется: проводится корректировка цели, изменение самого плана, адаптация инфраструктуры под изменения и повторное воздействие. Поэтому данную деятельность мы и называем циклом.
Планирование
Начинается планирование с четкого определения цели всего мероприятия: чего злоумышленник хочет достичь в результате, лучше с конкретикой. Например, если конечная цель — потеснить конкурентов на рынке, то звучать она должна примерно так: занять 25% рынка (какого и к какому сроку) за счет массового отказа потребителей от продукции (точно указать какой) конкурентов 1, 2 и 3.

Теперь, когда есть четкие ориентиры, разрабатывается предварительный план. Именно предварительный: он еще будет уточняться, в основном — на этапе подготовки, когда будет изучена целевая аудитория и станет понятен сценарий воздействия на нее. Но, возможно, изменения будут вноситься и в ходе реализации мероприятия.

На данном шаге манипулятор планирует этапы, а не отдельные действия. И исходя из общего плана он примерно рассчитывает затраты на весь проект, тоже с учетом того, что в дальнейшем будут уточнения и изменения. Поэтому он оценивает скорее уровень затрат, а не подсчитывает точную сумму.
    Подготовка
    Подготовка начинается с точного определения целевой аудитории и ее особенностей. Ведь конечная цель подобных мероприятий — добиться нужных действий от определенной группы людей. Да, эта группа людей может состоять из сотен тысяч человек, а может — из одного вполне определенного человека. Но цель заключается в том, чтобы он или они что-то сделали: отказались от покупки определенного бренда, предпочли отдых в нужном отеле, поддержали определенную инициативу на совете директоров компании, поставили нужную резолюцию на каком-то документе (когда ЦА — один человек и это высокопоставленный чиновник).

    И только после того, как ЦА определена, начинается ее изучение, чтобы понять уязвимости аудитории и ее характеристики, влияющие на принятие решений. Уязвимости аудитории — это те особенности, которые позволят манипулятору вызвать эмоциональную реакцию: ценностные ориентиры, мнение по каким-то проблемам, отношение к определенной теме и т.п. В случае, когда ЦА состоит из двух и более человек, это может быть то, что позволит расколоть аудиторию на тех, кто за, и тех, кто против. Гипотеза об уязвимостях аудитории обязательно проверяется на фокус-группах в офлайне и в онлайне.

    Когда аудитория становится понятна, разрабатывается основная концепция ударных материалов — того контента, с помощью которого будет осуществляться воздействие. С идеей, которую нужно поселить в головах аудитории, определились на этапе планирования. Теперь, ориентируясь на особенности аудитории, определяем, с помощью какого типа контента это лучше сделать: текст, фото, видео, аудио и др.

    С помощью какой технологии злоумышленник будет преодолевать недоверие аудитории? Это то, как будет замаскирована атака и какой психологический прием будет использован. Для маскировки атаки чаще всего используют несколько технологий:
      1
      Имитация общения — когда ударный контент преподносится аудитории в ходе обсуждения чего-то. Например, в комментариях под публикацией в соцсети в профильной группе или под статьей на сайте СМИ.
      2
      Еще один способ маскировки — утечка данных. Например, почтовой переписки, в которую внедрен ударный контент в соответствующем формате.
      3
      Третий вариант маскировки — заявление авторитетного источника.
      4
      Наконец, эмуляция отзывов на соответствующих сервисах — тоже способ маскировки атаки.

      Психологических приёмов воздействия много, и они хорошо описаны в соответствующей литературе, но есть несколько, которые наиболее часто используются для усиления воздействия ударного контента:
        1
        Сарказм, юмор, высмеивание.
        2
        Привлечение внимания к проблеме за счет яркости, необычности, масштабности.
        3
        Сравнение объекта с аналогичными или похожими — конечно, не в пользу объекта атаки, вплоть до абсурда.
        4
        Реже используется информационная прививка, смысл которой в подготовке аудитории к основному вбросу ударного контента или закладывание якорей в сознание аудитории на случай ответных действий оппонента.
        Затем определяются каналы доставки ударного контента до аудитории и методы его разгона: из каких источников аудитория получает информацию, на каких площадках интернета общается, в каких группах состоит и т.п. Также злоумышленник определяет, каким способом поместить туда ударный контент и с помощью каких технологий увеличить число ознакомлений с ним.
          Тут нужно решить ряд технологических и технических вопросов:
          Какие площадки будет использованы
          Сколько аккаунтов нужно для реализации проекта на этих площадках
          Особенности «оформления» этих аккаунтов
          Как и с помощью чего будет происходить управление этими аккаунтами


          Только после этого злоумышленник начинает формирование инфраструктуры, необходимой для воздействия на аудиторию. Это в первую очередь площадки, на которых будет распространяться ударный контент, и аккаунты, от лица которых он будет распространяться. Параллельно идет подготовка самих ударных материалов — контента, с помощью которого будет осуществляться воздействие: это и создание нового контента (тексты, изображения, видео и пр.), и адаптация уже имеющегося. Подбираются исполнители: писатели, дизайнеры — те, кто будет создавать уникальный контент и адаптировать имеющийся.

          На этапе подготовки информационной атаки злоумышленник вынужден совершать действия, которые оставляют следы, в том числе в интернете. И эти следы можно обнаружить. В этом случае оппонент получает возможность спрогнозировать атаку до ее начала, а значит — получить время на подготовку к отражению. Это сильно усложняет задачу злоумышленнику, поэтому он тщательно скрывает не только планирование и подготовку атаки, но и вспомогательные процессы, о которых пойдет речь ниже.
          Например, чтобы воздействие на аудиторию было максимальным, а затраты на такое воздействие сводились к минимуму, необходимо понять уязвимости аудитории и темы, на которые она реагирует, определить, какие каналы доставки ударного контента наиболее эффективны для этой аудитории и кто является для нее авторитетным источником и пр. Частично ответы на эти вопросы получают в ходе кабинетных исследований, но не редко для уточнения приходится проводить дополнительные исследования. Как вариант — опросы, пусть необъемные, полушуточные или провокационные (как, например, «Самый уродливый памятник»). И такие действия, даже локальные, вполне можно выявлять, оценивать и формировать на основе этого соответствующие прогнозы.

          Еще одно перспективное направление — отслеживание активности вокруг защищаемого объекта на площадках, посвященных созданию и хранению демотиваторов, фотожаб, карикатур и другого визуального контента. Здесь, помимо выявления подготовки атаки, можно вовремя отследить зарождение негативного контента.
          Пример №1 (Все совпадения случайны)

          В 90-е два друга — назовем их Антон и Андрей — создали бизнес. Дела шли настолько успешно, что оба попали в топ-100 российского Forbes. Всё было отлично: контракты, дивиденды, уважение коллег и всё, что сопутствует успеху. Но в какой-то момент между партнерами пробежала черная кошка. Точно сказать, что именно произошло, смогут, наверное, только они. В результате бизнес поделили: с шумом, скандалами, взаимными обвинениями во всех смертных грехах и судами, некоторые из которых еще продолжаются.

          В результате этого раздела обе стороны возненавидели друг друга еще сильнее, а Андрей решил продолжить борьбу партизанскими методами. Начал с формирования негативного мнения о качестве жилых домов, которые строят компании Антона. В первую очередь были созданы группы «недовольных клиентов», которые по легенде купили квартиры и столкнулись с массой недоделок и хамским отношением застройщика. Затем их рассказы были опубликованы в агрегаторах отзывов. После этого начались публикации в соответствующих Telegram-каналах. Как только эта история приобрела значительные масштабы, нашлись несколько реальных покупателей, готовых за вознаграждение выступить заявителями, и от их имени подали исковые заявления. С этого момента шумиха перешла в федеральные СМИ, причем без какого-либо стимулирования.

          Разработка схемы распространения и ресурсов
          После проработки общего плана мероприятия злоумышленник планирует схему распространения контента: какой контент, когда, через какие ресурсы, с какой интенсивностью. По сути это создание медиаплана данного проекта.

          В ходе такого медиапланирования нужно определиться, по каким каналам можно наиболее эффективно доставлять контент до целевой аудитории. Тут нужно учитывать и особенности аудитории, и особенности ударного контента. Следующая задача — решить, сколько раз необходимо инициировать взаимодействие аудитории с ударным контентом, чтобы достичь эффекта. Здесь свои нюансы в зависимости от того, какие психологические приемы использует манипулятор.
          Финальное планирование
          В конце этапа подготовки происходит корректировка плана с учетом всех уточнений и изменений, выявленных на данном этапе. Теперь злоумышленник детально понимает, что и как он будет атаковать, но это еще не окончательный план. Далее ему нужно провести аудит плана на возможные отклонения (нештатные ситуации) и добавить в него шаги по выявлению этих отклонений и возвращению ситуации в удобное для него русло.

          Такое планирование осуществляется по давно известной и отработанной схеме. Смысл сводится к тому, что сначала все запланированные действия должны быть перечислены в виде последовательности простых шагов. Затем каждый шаг изучается на предмет того, какие факторы и как могут повлиять на него. В зависимости от вероятности их влияния строится предположение о возможных отклонениях следующего шага и описываются действия, необходимые для возврата к запланированной последовательности.

          В итоге злоумышленник получает пошаговый план действий с описанием возможных нештатных ситуаций и дополнительных действий и ресурсов, которые потребуются для решения отклонений. Но увы, чаще всего про этап планирования забывают и получается «как всегда».

          Например, возьмем простую, почти бытовую ситуацию: на каком-то мероприятии вам нужно получить номер телефона у незнакомого человека. На старте у вас есть две «точки»: начальная, когда вы не знаете номер телефона, и конечная — желаемое состояние, в нашем случае — номер мобильника. Далее вы пошагово описываете оптимальный по вашему мнению сценарий.
          Например, он состоит из 4 пунктов:
          1
          Поинтересоваться делами
          2
          Предложить помощь
          3
          Узнать, как связаться
          4
          Получить телефон для связи

          Далее определяем, что на каждом шаге может пойти не так под воздействием внешних или внутренних факторов. Например, на попытку поинтересоваться делами ваш визави сразу просит о помощи. Тогда вы, минуя шаг 2, сразу переходите к шагу 3. Или другой вариант — ваш собеседник из вежливости интересуется уже вашими делами. В этом случае вам нужно вернуть ситуацию в «основное» русло. Как это сделать? Например, вы говорите о массе свободного времени и возвращаете ситуацию в запланированное состояние, предложив помощь.

          Для продумывания таких отклонений поставьте себя на место вашего оппонента, посмотрите на происходящее в интернете его глазами. Вот оппонент видит какую-то вашу публикацию. Как он ее воспримет, как отреагирует, что может предпринять? Например, он увидел, что вышло интервью некоего эксперта в Forbes, где он делится достижениями и рассуждает о стагнации отрасли. Увидит ли оппонент подвох? А как он может среагировать? Что из интервью он может использовать для создания ответного материала? Именно взгляд на будущие события с такого ракурса и лежит в основе общего медиапланирования — а не только что, где, когда и за сколько разместить.
          Пример №2.
          Один известный и уважаемый бизнесмен как-то решил, что было бы хорошо, если бы все контракты профильного министерства шли через его структуры. Но вот незадача: министр никак не соглашался на такую замечательную схему. В конце концов бизнесмен посчитал, что проще поменять министра.

          Для начала он решил дискредитировать оппонента. И по всей стране с завидной периодичностью стали появляться сообщения о разных негативных событиях, связанных с подразделениями министерства и их проектами. Брались в основном реальные события, которые до этого были мало кому интересны, и раздували их до неприличных масштабов. После такой двухнедельной подготовки аудитории злоумышленники запустили основной ударный материал: в даркнете на одном из форумов опубликовали предложение купить архив личной почты министра. Для подтверждения честности предложения автор давал посмотреть несколько веток переписки, выбранных «случайным» образом. И неожиданно среди них оказалась та, в которой министр обсуждал со своим давним знакомым возможность монетизации некоего государственного проекта в свою пользу. Одновременно «неизвестный доброжелатель» обратил внимание нескольких журналистов на этот слив, а остальное уже сделали они.

          Когда материал попал в крупные СМИ, злоумышленник сделал дополнительный модулирующий вброс в виде статьи на крупном агрегаторе компромата. Основной вектор публикации сводился к тезису «министерство рушится, задачи президента не исполняются, а чиновник осваивает бюджет». Это еще сильнее подстегнуло журналистов-расследователей, и поток негатива стал неуправляемым. Никто не озаботился вопросом, была ли утечка почты на самом деле или эти несколько веток писем — лишь удачная подделка.

          Воздействие, или активная фаза
          Активная фаза (реализация запланированного мероприятия) — это не что иное, как распространение злоумышленником ударных материалов. На данном этапе он осуществляет намеченное воздействие на аудиторию, то есть демонстрирует нужной ЦА подготовленные ударные материалы, используя заранее определенные каналы доставки и методы разгона.

          Распространять контент злоумышленник может вручную через подконтрольные аккаунты, в том числе через запланированные публикации. Но для этого должны быть небольшие объемы контента и незначительная интенсивность распространения. Иначе в одиночку справиться с этим проблематично — придется нанимать исполнителей и управлять ими.

          Другой подход — арендовать чужие аккаунты в соцсетях, формируя соответствующие задания на специализированных биржах. Это позволяет не тратить время на поддержку аккаунтов и сводит к минимуму взаимодействие с исполнителями (операторами этих аккаунтов). Но нужно внимательно и осторожно формулировать задания для них.

          Иногда для управления распространением используют кросспостинговые сервисы. Эти сервисы упрощают взаимодействие с контентом, когда аккаунты манипулятора в нескольких соцсетях и переключение между ними отнимает время. В результате он получает возможность с «одного экрана» видеть, что и где ему написали, и без переключений отвечать с нужного аккаунта в нужной соцсети. Или планировать свои публикации в разных соцсетях.

          В ходе атаки злоумышленник будет внимательно наблюдать за тем, как аудитория реагирует на воздействие и какие шаги предпринимает объект атаки. Что касается реакции аудитории, то тут ему важно понимать, что воздействие достигло запланированной цели и аудитория начала разделять ту идею, которую злоумышленник хотел поселить в ее головах. Потому что, ориентируясь на эту идею, люди будут совершать действия, необходимые злоумышленнику — ради чего всё и затевалось.

          Если атакующий увидит, что его усилия не достигают запланированной цели, то он задействует «план Б», то есть начнет менять сценарий воздействия и воплощать в жизнь те самые планы реагирования на нештатные ситуации. Либо попробует кардинально пересмотреть стратегию.

          На практике злоумышленнику нужно с определенной регулярностью проводить мини-аудит своей кампании по распространению ударного контента. «Мини» — по причине того, что в этой ситуации его интересует не всё, а очень узкая область — то, как аудитория среагировала на ударный контент: ознакомилась или нет, разделила продвигаемую идею или нет. Вопрос непростой. В простом варианте это подсчет просмотров и реакций. Но ведь злоумышленнику нужна «правильная» картина, а не иллюзия. Поэтому из данных расчётов нужно как минимум убрать ботов и троллей, если таковые появились, а правильнее использовать другие метрики.
            Проверьте уровень защищенности вашей репутации и бренда от цифровых угроз