Проверка на факти: Международна мрежа от "кликбейт" сайтове и Фейсбук страници таргетира потребители в България


Проверка на факти: Международна мрежа от "кликбейт" сайтове и Фейсбук страници таргетира потребители в България

Публикувано петък 9 август 2024 11:45

b695a04e8b5f8c3ff26b3d4f8e7ad67b.png

Мая Димитрова

Съдържанието в сайтовете е от типа "кликбейт", историите са напълно измислени, а списъците с уязвими последователи могат да се използват при дезинформационна кампания.

Международна мрежа от сайтове и свързани с тях страници във Фейсбук събира само за няколко седмици десетки хиляди последователи в няколко европейски държави, включително България. 

Разследването на БНТ установи, че управлението на мрежата е свързано с Армения

Съдържанието в сайтовете е емоционално натоварено, от типа "кликбейт" - сантиментални и драматични истории, които обаче са напълно измислени и често крадени от други съмнителни сайтове. Разчита се на силната емоционална реакция на читателя и липсата му на критичност

БНТ установи, че Фейсбук страниците към тези сайтове активно набират последователи, включително чрез използването на рекламни кампании, които са сходни като съдържание и период на действие в различните държави. Това сочи към координираност на дейността между отделните страници

Подобни списъци с хиляди последователи в социалните мрежи могат да се използват и за таргетиране при развитието на конкретна дезинформационна кампания. Аргумент в тази посока е фактът, че държавите, в които тази мрежа се развива (основно България, Унгария, Чехия, Полша, Украйна) са сред основните цели на проруската пропаганда

Сайтовете имитират дейността на т.нар. "кликбейт" ферми и на практика са превърнати в платформи за фалшиви реклами. По този начин, освен приходи от рекламодатели, платформата осигурява и възможност да се събира информация за профили в социалните мрежи и лични данни на потребители.

Сериозният ръст на последователи в отделните държави създава условия за по-лесен подбор на профили, които са податливи на подобен тип измами и манипулации.

Голяма част от сайтовете използват идентични темплейти - шаблони, които визуализират сайта. Съдържанието в тях е сходно и се разпространява по сходен начин.

Всичко това води към извода, че става въпрос за координирана международна мрежа, която таргетира потребители в различни държави за финансова изгода.  

https://bntnews.bg/f/news/b/1286/ea60ac0a436f4a0e40ec6fd68154bfd4.jpeghttps://bntnews.bg/f/news/b/1286/11ed3e77bb5964c2887d6c643ddaa23a.jpeg

Каква е икономическата изгода на мрежата от сайтове?

Сред целите на този мащабен проект е да отведе максимален брой потребители до линковете на десетки "сенчести" сайтове, в които са публикувани "нелегални" реклами (например реклами на продукти, които според закона не може да се продават по този начин, както и на несъществуващи услуги и стоки).

Тази схема се използва за финансови измами, кражба на лични и банкови данни, нелегални "продажби". Линковете към рекламите са разположени в сайтовете, до които потребителят достига чрез Фейсбук страниците.

Всяка интеракция с подобен сайт изисква потребителят да предостави своите данни и да изпрати пари, за да "получи" определена услуга или продукт. 

Често "сенчестите" сайтове имитират официални страници на институции или организации, за да бъдат по-лесно подведени потребителите: 

2620a94d085e80bd58ef6b59c1c43eb6.jpeg

 

cf798a0998594bc16711cf2ae1a04791.jpeg

 

Как установихме съществуването на мрежата?

Разследването ни установи, че подобен тип сайтове са създадени за потребители в България, Унгария, Чехия, Полша, Украйна, Гърция и Франция.

В тях има вградени рекламен софтуеър, който следи поведението на потребителите, както и MGID code - идентификационен номер на рекламна платформа:

ba6522c555760d7e1147bcb7cb8b00d1.png

 

aa5bc21d5165e85577dc0b6fbddff6eb.png

 

13 от сайтовете и Фейсбук страниците към тях споделят общи имейл, IP адрес и администратор с местоположение в Армения

0e748b533806288169450124c5210750.png

 

Други 13 сайта са регистрирани на същия IP адрес, както посочените по-горе. Данните за имейла, на който са регистрирани обаче, не са достъпни публично. Повече от тези сайтове нямат свързана към тях Фейсбук страница, но тези, които имат, отново са администрирани от Армения. Това не означава, че статиите им не се споделят в социалните мрежи, просто на сайта липсва връзка към такава страница. 

8250f82edeb918adb5b516ed06fd5c75.png

 

Идентифицирахме и десетки сайтове на украински език с подобно неавтентично съдържание. Те съществуват от най-дълго време. Към тях има действащи Фейсбук страници, като във времето се сменят сайтовете, от които се споделят масирано линкове. Администраторите отново се локализират в Армения. Това са някои от тях:

c1df57610dbe21b2b952871b1afc7c17.png

 

Тази фейсбук страница на български език е пример как само за няколко седмици се натрупват почти 10 000 последователи и над 8 000 харесвания. Създадена е в началото на юни 2024 г. 

40171d8673965c0b406aa42829056fbf.png

 

Това се постига чрез публикуването на неавтентични истории, които обаче са достатъчно сантиментални и драматични, така че да привлекат подходящата публика, която не може да разграничи кое е истина и кое не.  

72a118ad35b11e645426cc633c65fde2.jpeg

 

3eb40a5cf308443a60fa2828950c965e.jpeg

 

При една значителна част от страниците на съответния език (основно за България, Унгария, Чехия и Полша) е посочен идентичен имейл адрес за връзка. Същевременно липсват други данни коя е компанията, организацията или екипът, които стоят зад проекта. В раздел "За нас" пише, че компанията Masters Blogging е основана през 2019 г. Не открихме данни за съществуването на такава компания.

36b0afaad43e406de2043c56dfd42385.jpeg

 

f4d79177202c1f74a1cb2e4692143aaf.jpeg

 

a499435877f74c74203d9a883ebd50ce.jpeg

 

797fbd6e7348031bcbfd37641140167d.jpeg

 

ea235fceeb370423a24470766cebba3f.jpeg

 

Установихме, че на един IP адрес (виртуален адрес) има регистрирани близо 30 сайта на различни езици с подобен профил. Това са сайтове-клонинги, които са на един и същи сървър. В случая адресът е в Германия, но това не означава, че собственикът/собствениците на сайтовете са реално там. Това разминаване на реалното местоположение може да се постигне например чрез използването на VPN мрежа или прокси сървър.

479aa400926e6261e0ae36c6c3b08e83.jpeg

 

Това са сайтовете, които се управляват през този IP адрес (основно сайтове на полски, унгарски, български, френски и гръцки език):

4233e10c464645dc62078ffe4f712a24.jpeg

 

Прави впечатление, че имената на сайтовете нямат нищо общо със съдържанието в тях. Това са рециклирани домейни - продават се на търгове, след като им изтече валидността. 

Сайтовете на украински език са на различен виртуален адрес. Много от статиите в българските версии са идентични на публикуваните там. 

18e393f6c9012735fc4f046466d9c652.jpeg

 

Как работи схемата?

  • ПЪРВИ ЕТАП - създаване на сайт и Фейсбук страница към него. Това е моделът, по който работи платформата през последната една година. Преди това често липсват данни за създавани Фейсбук страници. Всяка статия от сайта се качва във Фейсбук, това са около пет-десет статии на ден. Те разказват трогателни лични истории, които предизвикват силен интерес в определен тип публика. Чрез Фейсбук се осигурява необходимият трафик към домейните.

Открихме четири сайта и три Фейсбук страници на български език, които съществуват от няколко месеца - "Кристален вълк", "Свобода на истината", "Истории от живота" и "Вашият дневник"

Домейните и на трите сайта звучат нетипично за българското онлайн пространство - universidy.com, traveloupe.com, divilay.com и afaqhotel.com. 

Домейнът на "Вашият дневник" през 2021 година е бил собственост на хотел в Пакистан. 

84e7d074e718f5af66a68dfecb833f3a.jpeg

 

Архивираното копие на домейна на "Кристален вълк" през 2021 г представлява страница на руски сървър.  

08d288916ec910287a79cdc9f6183d7a.jpeg

 

"Свобода на истината" през 2022 г. е бил сайт на украински език с името "Слава на Украйна". През 2023 г. се превръща в сайт на френски език - Chat Blanc, който вече е идентичен като структура с другите по-стари сайтове клонинги. 

b938824098ddfb62fb0bb6e796c4c867.jpeg

 

807dc7fb3be2574dd8ea67afeecf3a11.jpeg

 

Домейнът на "Истории от живота" на 16 юли тази година носи името "Кристален вълк" - друг сайт на български от същата мрежа (това говори за клониране на структурата му):

cc9b97adc3e339679220134d79784fbf.jpeg

 

При отварянето на "Кристален вълк" няколко елемента правят впечатление:

  • Адресът на компанията/организацията, който е посочен във Фейсбук, е фалшив;
  • Изображението на вълка на сайта е безплатна снимка от банка за снимки, което за професионален сайт, каквито претенции се заявяват, е съмнителна практика;
  • В раздел "Политика за поверителност" се забелязват няколко сериозни грешки - името на сайта е "Кристален вълк", в заглавието на страницата пише "Свобода на истината", а в самия текст се посочва чешкия сайт "Svoboda Pravdy" (част от същата мрежа сайтове). Това показва, че всички сайтове са правени с помощта на машинен превод

bdb54a6b9d749b59cba0c6b1bd762afb.jpeg

 

cf2ccc8d32fca3cd38e96f1f9369e2a2.jpeg

 

  • Фалшив е адресът, посочен и във Фейсбук страниците "Истории от живота" и "Вашият дневник". Той е един и същ.

8b7ebff545c0e30cd67e012647108c24.jpeg

 

f5870a9d0d2f053dc75a6052b1c4a25c.jpeg

 

  • ВТОРИ ЕТАП - набиране на последователи.

В първите дни след създаването на Фейсбук страница към някои от сайтовете се стартира рекламна кампания, чиято цел е да събере последователи. И трите Фейсбук страници на български имат идентична рекламна кампания. Снимка с Исус Христос и текст към нея - "Ако и вие сте горди Българин и Християнин Кликнете на страницата". Текстът не звучи добре на български, не е и граматически издържан. Отново явно е използван машинен превод.

Същата снимка с текст на съответния чужд език е използвана и при рекламните кампании в други страни. 

Според правилата на Фейсбук, тъй като не става въпрос за социална или политическа реклама, липсва информация за това колко струва и към кого е била насочена кампанията. Рекламите в "Кристален вълк" и "Истории от живота" според информацията са платени от La Louche и от Fioletowy. Връзката към тези профили обаче е неактивна. 

9c4e4823ac9c6719c00da2a6694599d7.jpeg

 

1e05e26a10cb08fe77590078729adc50.jpeg

 

d6f7497e55a7fc6afe242732e9990301.jpeg

 

2d9164a36893f1ba1c8cfbcdb86056e6.jpeg

 

eadc6220672e5ab628f4ed2b6018ce91.jpeg

 

Това е Фейсбук страницата към един от сайтовете на украински език с над 300 000 последователи. Създадена е още през 2021 година.

Във всяка от държавите, в които тази мрежа е разпространена, се наблюдава бърз ръст на последователите във Фейсбук.

90b125ee6d3008509f3ee62a23901e33.jpeg

 

  • ТРЕТИ ЕТАП - платформата препраща към фалшивите рекламни сайтове. Това е част от бизнес модела им - при отваряне на статия потребителят попада на стотици линкове - за продажба на фалшиви хранителни добавки, за покупка на талисмани, за инвестиране в биткойн и т.н. Обещават се невероятни резултати и отстъпки, ако се кликне на колелото на късмета или бутона за поръчка. Съдържанието в тези съмнителни линкове също е "кликбейт -  информацията е под формата на сантиментален личен разказ, за да се привлече същата публика. Рекламите често изглеждат като част от оригиналния сайт, който потребителят е отворил, затова при кликане върху тях може и да не разбере, че е попаднал в друг сайт. 
  • Това са "сенчести" сайтове - обикновено наподобяват сайт с голяма структура, но на практика всички линкове водят до определено място на единствената страница. Тези сайтове изискват доброволно да предоставите данни за себе си. При интеракция с такъв сайт е възможно да бъде активиран зловреден софтуеър и през него компютърът да стане уязвим за хакери. 

ef05753d5cf779505bf08ca104d72e87.jpeg

 

Направихме експеримент - опитахме да скролнем до края на публикуваните връзки към "сенчести" сайтове под една статия - отне ни повече от минута. 

4e1f51e563915b7c3e4f112ddc1d7690.jpeg

 

f8c4236a8fcb03930a5941d6a3003c2d.jpeg

 

Под тази статия, в която се предлага купуване на биткойн, има публикувани мнения на "клиенти", като визията наподобява Фейсбук коментари. Нито един от линковете в името им обаче не води до Фейсбук профил, а до други подобни страници или към самата статия, под която е поставен: 

5677b12e881e8c65ff3f31ecbb8c3a43.jpeg

 

На този сайт видимо има несъответствие между снимките на мъже и женските имена, които стоят срещу тях: 

50099b97165143626b346d492073a7f2.jpeg

 

c9e7d96e80f396eb813d9fd6fab88a08.jpeg

 

Една от статиите в подобен сайт само за пет дни е отваряна над 27 хиляди пъти - поне така пише на самия сайт. Снимката на жената, която разказва личната си история и как закупуването на амулет й е донесло приходи, е редактирана стокова снимка от банка за снимки - сменена е главата на жената. Няма съмнение, че цялата история за внезапно забогатяване е напълно фалшифицирана. Тя обаче наподобява личните истории, които са довели потребителя до този линк, и след като той не е бил достатъчно критичен първия път, е вероятно това са се повтори. На това разчитат и създателите на платформата. 

Тези страници не публикуват телефон за връзка. Винаги обаче изискват потребителя да предостави своя номер

db98a7154020c3f5fa93819d3a8eec6b.jpeg

 

dd4f638c0511f980c0a2906d0c05c33f.jpeg

 

b893501cb75fe21a16c5ec443836476d.jpeg

 

e865fb4657d94e5885cc08e0479fa87d.jpeg

 

https://bntnews.bg/f/news/b/1286/063f110ad939dab9eaee3f831cd758b2.jpeghttps://bntnews.bg/f/news/b/1286/b93b659b32034be00896105e6cd311a3.jpeg

Защо подобен тип реклами са опасни?

Освен очевидната възможност да "купите" некачествен продукт, има и по-сериозна опасност:

  • Зловреден софтуер: чрез първото щракване върху фалшивата реклама може да се осъществи атака със злонамерен вграден код, който автоматично наводнява системата на потребителя със зловреден софтуер. 
  • Фишинг измами: потребителят се насочва към връзка за регистрация или имейл, за да бъде открадната личната му информация.
  • Искане на откуп: Възможността за искане на откуп от хакери, за да се отблокира заразен компютър, може също да се вгради в кода на фалшивата реклама. Въпреки че подобни кибератаки са насочени към корпорации и правителствени организации, те могат да заразят и операционната система на обикновен потребител. 

Кой стои зад тази международна мрежа от сайтове?

Всяка от десетките Фейсбук страници на различни езици е администрирана от хора, посочили Армения като свое местоположение. Например администраторите на "българската" страница "Кристален вълк" са двама. 

fde0f4a117b60ee0710b2c399b2e5271.jpeg

 

Сайтът "Свобода на истината" е свързан с Фейсбук страница на френски. Отново администраторите са двама души с местоположение в Армения.  

fcfe80b6d7d7271ac809a024d224bf85.jpeg

 

bb00e4085e85bbf77e38c5fe040a7c62.png

 

f6f0979e270fb91dc8f6c493abe891c2.png

 

В някои от случаите като платец и бенефициент на рекламите във Фейсбук има посочени имена. През рекламната библиотека установихме тези три арменски имена, които са извършвали плащания - Artur Sahakyan, Aida Purtoyan и Nune Bayramyan. 

539209c11e8de40eb505f26f338f1e04.jpeg

 

2b2b9d5b13cd6fdac9a251d356c85013.jpeg

 

f56b1848ef3dd06a52fcbdd67c1dc711.jpeg

 

С всички сайтове-клонинги е свързан профил в LinkedIn. Той обаче няма нищо общо с домейна на сайта, а рекламира арменска компания, която според написаното в социалната мрежа работи в областта на технологиите, информацията и интернет.

При отваряне на сайта на компанията обаче става ясно, че това е фирма, която се занимава с архитектурни проекти. Освен това още в първите изречение на единствената страница е посочено името на друга компания - Etudes

Същевременно сайтът е недовършен, липсват данни за контакт със самата компания и на него пише - Sample page - примерна страница. 

Профилът на тази фирма в LinkedIn е свързан с един служител - IT специалист. Той е посочил, че е от Ереван, Армения. Работи във фирмата от септември 2022 година. 

d898ac108f20facea7738ceea4bcacf3.jpeg

 

a9227202f259f16a527919feb74c0c95.jpeg

 

bcd2ca696f1cef91a60e78a518e3545e.png

 

Сайтовете са свързани и с профил в  X (бивш Туитър). Той обаче е празен - няма публикации, никой не го следва. 

ee20c026095cd08b23d3c63a3317f148.jpeg

 

Профилът в Инстаграм също е празен. Един от 8те последователи е Nune Bayramyan - едно от лицата, посочени като платец на рекламата. 

94554001935b02cc494e7c3ba10fa957.jpeg

 

На повечето сайтове-клонинги има снимка на екипа, който стои зад проекта. Тя обаче е от банка за снимки - използва се от още десетки сайтове за онагледяване на публикациите им.  

25b526ea555d3667f039ffa320ecebff.jpeg

 

19dc0533acf53f07d3a392414c365b28.jpeg

 

Руската връзка

При проверка на кода на един от тези "сенчести" сайтове на български език, на мястото, до което водят всички линкове на сайта (колелото на късмета), има надпис на руски - ОБЯЗАТЕЛЬНО! из GET запроса.

afeab0eab0a02c18ba1651ae9403eb87.jpeg

 

e507ebffe84c09afa94cfaeb3325c8ab.jpeg

 

24f6347e06b5b21b9e9d7887ce21dcad.jpeg

 

Останки от версия на руски език се откриват и в други сайтове:

43b7c0bccb9ec27b629f93b3b0ab6e5f.jpeg

 

3c9abe6b4815c1247b2a738ffbafe656.jpeg

 

В сайта на български "Вашият дневник" на 26 юли 2024 г. е публикувана трогателна семейна история. Откриваме същата история в сайт на украински език с дата на публикуване 10 октомври 2023 г. HTML кодът обаче показва, че в структурата на сайта има останки от руски език

a38f7cec880ede8ff53232c8f9f119ed.jpeg

 

f1eb4a48ef6dc2cb065203c628a261ad.jpeg

 

2f842c52d9be1684fe519684c785be32.jpeg

 

70b7ed7b3f54bfe4008b0b6daab8364a.jpeg

 

В сайтовете на български език съдържанието на статиите основно идва от руски източници. Имената, които се споменават са Дима, Юри, Александър Михайлович, Оксанка, Тамила, Игор и т.н.

0081f1684ba5212adc10ea748dca0164.jpeg

 

Използват се крадени снимки от руската социална мрежа Vkontakte. Например снимката на младежа от статията по-долу е публикувана от него там през януари 2012 година и както сам е посочил е роден през 1975 година. Тази година ще навърши 49 години, докато според статията е на 33. 

079dd61c86708d3cf5d002f5a3f7a889.jpeg

 

d8cdeaa548cdc63a35738c62007b6365.jpeg

 

Отново в HTML кода на сайтовете на украински език има останки от руски език

8a7e642fdc1362c372b8e47da10178e5.jpeg

 

d8d02895fb76c7b33b6e2aec2a411d65.jpeg

 

96e01c42ec14fe4e950fa49708623f92.jpeg

 

През 2022 година международната организация за борба с дезинформацията DFRLab публикува разследването на Роман Осадчук на друга мрежа от Фейсбук страници и сайтове, която действа локално на територията на Украйна и също се ръководи от Армения. В този период тези сайтове на украински публикуват предимно сантиментални военни истории, за да набират последователи. 

Установихме, че двете мрежи - тази в Украйна и тази в Централна и Източна Европа, която БНТ разкри, имат твърде сходен начин на действие. 

Тази проверка е публикувана също от BNT.

BROD

Последвайте ни