В январе 2024 года на почту редакции Factcheck.kz стали поступать многочисленные письма якобы от обеспокоенных пользователей с запросами о проверке различных фейковых сообщений, в основном, от кремлёвской пропаганды, которые касались войны в Украине, экономической ситуации в Европе, позже предстоящих Олимпийских игр в Париже, а затем и выборов в США.
Несмотря на то, что мы часто получаем запросы от читателей, эти письма сразу же вызвали у нас сомнения. Все они написаны на английском языке и исходят от иностранных пользователей, тогда как большинство нашей аудитории говорит на казахском и русском. Обращений много и приходят они исключительно на почту, хотя всё взаимодействие с читателями мы обычно ведём в социальных сетях. До января к нам на почту практически не поступало запросов. После — пошёл стабильный поток, порой по несколько писем в день.
В июне финская исследовательская компания CheckFirst опубликовала отчёт (с последующим дополнением в сентябре) о крупной операции “Overload” (рус — «Перегрузка»), направленной на дестабилизацию работы журналистов, фактчекеров, исследователей и манипулирование общественным мнением. Согласно расследованию, дезинформаторы рассылают сообщения российской пропаганды на электронные почты организаций с просьбами о проверке, чтобы спровоцировать перегрузку специалистов и дискредитировать их, подталкивая проверять однообразный контент.
Кроме того, ложные утверждения циркулировали и в социальных сетях, становясь доступными для любого пользователя. Эксперты CheckFirst подробно рассказали о том, как выглядит такая волна дезинформации, какие темы затрагивает, и на что она направлена. Редакция Factcheck.kz кратко пересказывает содержимое исследования.
“Overload”, «Матрёшка» и “Doppelgänger”
Операция “Overload” далеко не первая попытка распространения ложной информации, и в ней есть элементы некоторых предыдущих кампаний. Так CheckFirst обращает внимание, что их исследование началось с разоблачения сети «Матрёшка», действующей в социальной сети Х (бывший Twitter), расследователем @antibot4navalny. Ранее мы также делились информацией о «Матрёшке».
«Матрёшка» — кампания по дезинформации, в которой участвуют многочисленные аккаунты. Одна группа профилей массово распространяет фейковую информацию в социальных сетях (расследование @antibot4navalny в основном касалось Х), другая же просит её проверить.
Эксперты CheckFirst отмечают, что тактика «Матрёшка» схожа с системой, которая применялась ещё при Советском союзе: агенты предоставляли казалось бы полезную информацию для проверки, однако на самом деле их целью были подрыв доверия и манипуляция.
Помимо «Матрёшки» эксперты увидели и некоторые компоненты кампании “Doppelgänger” (Двойник).
“Doppelgänger” — схема распространения фальшивых статей, видеороликов, фото, социологических опросов и так далее, выдавая их за публикации авторитетных источников. Для создания правдивой картинки дезинформаторы «клонировали» целые веб-сайты различных влиятельных организаций, а затем интегрировали туда фейковые материалы.
Подробнее о проекте “Doppelgänger” и его связях с Россией можно прочитать здесь.
При «Overload» схема “Doppelgänger” была значительно упрощена. Здесь дезинформаторы ограничиваются фейковым брендированием ложного контента, не теряя время на клонирование целых сайтов.
Изучив стратегию новой кампании, аналитики CheckFirst выделили основные её аспекты:
- Атака электронных почт редакций и организаций, занимающихся проверкой фактов. В основном для отправки используется Gmail и редко Outlook или Hotmail. Как правило, адрес создаётся по шаблону имя+фамилия+номер@gmail.com. Скорей всего учётные записи были зарегистрированы специально для участия в кампании по дезинформации.
- Усиленное распространение фейкового контента в социальных сетях.
- Ключевую роль в распространении играет Telegram.
- Проявление CIB (Coordinated inauthentic behavior) в Х.
CIB (Coordinated inauthentic behavior) — термин, обозначенный Meta в 2018 году. Означает «скоординированное неаутентичное поведение», которое Meta определяет как действия, согласовано предпринимаемые группой аккаунтов, для манипулирования общественным мнением. Зачастую профили-участники создают поддельные личности, которые могли бы вызывать больше доверия.
Помимо Telegram и Х встречаются ссылки на довольно известные домены, распространяющие нарративы, выгодные Кремлю (например, крупная сетка псевдоиностранных веб-страниц Pravda).
Виды контента
Аналитики CheckFirst подчёркивают, что особую роль в кампаниях по распространению фейковой информации играет визуал. В отчёте об операции “Overload” они выделили четыре распространённых вида контента:
- Манипулятивные видеоролики, брендированные логотипами авторитетных СМИ или организаций. Обычно они короткие (до 2-х минут) и сопровождаются субтитрами на разных языках (чаще английском, немецком и французском). Их собирают из стоковых кадров, а также фрагментов ранее публиковавшихся видеороликов, естественно меняя контекст.
- Фейковые фото «граффити», которые наложены при помощи графических редакторов на реальные фото местности (чаще всего в Германии и Франции).
- Манипулятивные фото и видео, имитирующие истории в Instagram публичных личностей.
- Манипулятивные «скриншоты» статей, которые выдают за публикации авторитетных новостных изданий.
QR коды, как способ усилить достоверность
В сентябрьском дополнении к отчёту появилась информация о QR кодах, при помощи которых дезинформаторы пытаются усилить достоверность, а также подчеркнуть вовлечённость официальных источников информации. Так изначально аудитория, переходящая по QR коду, направлялась на me-qr.com — сервис, предлагающий создание динамичных кодов. Сам сайт переполнен рекламными баннерами, но самое интересно, что затем пользователи перенаправлялись на веб-сайт французского правительственного агентства VIGINUM — законного органа, ответственного за защиту от онлайн-вмешательства со стороны иностранных государственных субъектов.
В CheckFirst также отмечают, что в любой момент дезинформаторы могут заменить ссылки, встроенные в код, на, например, вредоносные сайты.
Причастность России к “Overload”
После изучения контента с QR кодами эксперты пришли к выводу, что они, скорее всего, были созданы ещё в 2022 году лицом, причастным к российскому маркетинговому агентству Otri.
Помимо этого, недавно расследователи получили доступ к данным учётных записей, участвовавших в рассылке электронных писем. Один из профилей, активных в августе 2024 года, вёл свою деятельность с российского IP-адреса
Основные темы и привязка к реальности
Исследуя ситуацию, эксперты заметили необычную особенность в поведении дезинформаторов: их мало волнует ответ на вопрос «фейк ли это?», но они заинтересованы в том, чтобы проверка была проведена и опубликована. С подобным в феврале 2024 года столкнулась редакция немецкого издания CORRECTIV: журналисты выслали проверку информации к обратившемуся пользователю личным сообщением и получили отзыв с просьбой сделать так, чтобы эту работу увидело как можно больше людей.
Аналитики CheckFirst подчёркивают, что “Overload” — сложная и тонкая операция. Дезинформаторы чётко улавливают тенденции и создают ложные нарративы, опираясь на реальность. Таким образом, стирается граница между вымыслом и происходящим на самом деле.
Бо́льшая часть манипулятивного контента по прежнему направлена на Украину. Но при этом к основному нарративу вокруг войны «цепляются» и свежие темы: смерть Алексея Навального, Олимпийский игры во Франции, предстоящие выборы в США. Использование фрагментов реальности позволяет акцентировать внимание на негативе и помогает посеять сомнение среди аудитории.
Цель операции “Overload”
Исследователи CheckFirst считают, что основной целью “Overload” являются фактчекеры, исследователи и журналисты. Дезинформаторы рассчитывали затормозить работу, а также дискредитировать специалистов по проверке информации тем, что они обращают внимание на бесконечный однообразный контент. Одновременно с этим ложные сообщения должны были привлечь дополнительное внимание, появляясь в материалах для разбора.
Для того что бы оставить комментарий необходимо авторизоваться.