Прогнозирование информационных атак

Сразу скажу это не просто, не быстро и не так однозначно как хотелось-бы, но вполне возможно. И мы это уже опробовали.

Только начать нужно с цикла информационной атаки. Именно из понимания данных процессов выросло понимание того, что и где нужно отслеживать. При этом речь идёт о масштабных и долгосрочных проектах, когда атакующий рассчитывает на сотни миллионов выгоды, а мишень может потерять аналогичные объемы. Или о политических проектах. В разовых и не дорогих акциях об этом не вспоминают по разным причинам от незнания об этих тонкостях исполнителем или заказчиком до отсутствия необходимости выстраивания стратегии.

Итак, цикл информационной атаки это последовательность действий, которая в случае необходимости повторяется с возможной корректировкой вплоть до достижения цели. Собственно поэтому и называется циклом.

Что интересно, данный цикл работает и при информационной атаке и при защите от атаки, и прои формировании позитивной репутации и при формировании негативной.

Планирование

Начинается такая «работа» с планирования. На этапе планирования уточняется конечная цель мероприятия – что хотим получить в результате проекта, разрабатывается примерный план и проводится примерный расчет необходимых ресурсов на основе этого плана. В последствии и план уточняется, и расчет затрат и иногда кардинально уточняется.

Подготовка инфраструктуры

Затем начинается подготовка воздействия, что выражается в определении «уязвимостей» и сильных сторон объекта и аудитории, в создании необходимой инфраструктуры для осуществления воздействия и в подготовке ударных материалов – контента, с помощью которого будет осуществляться воздействие.

Распространение

И только после этого начинается активная фаза – собственно воздействие. Это распространение ударных материалов, отслеживание реакции аудитории и внесение корректировки в воздействие при необходимости (когда аудитория реагирует не так как нужно манипулятору).

Так вот, если смотреть на процесс со стороны защищающегося, то обычно всё начинается с выявления атаки, но выявление атаки это уже опоздание и необходимость бороться с последствиями, хотя чаще всего именно выявление атаки является началом хоть каких-то действий со стороны обороняющегося. Но ведь гораздо важнее выявить подготовку к нападению. В этом случае у вас появляется время на подготовку, на адаптацию своей инфраструктуры под особенности предполагаемой атаки. И тут главное понять, по каким признакам можно определить, что идет подготовка к информационной атаке.

Выявление на этапе планирования

Выявить работу оппонента на этапе «Планирования» можно только агентурными методами, прослушкой, в общем тем, чего в нашем арсенале нет. Да и гражданским структурам такая деятельность крайне противопоказана по правовым причинам. А потому не будем на ней останавливаться. Хотя наблюдение (в интернете) за действиями ключевых фигур вероятного противника, так или иначе могущих быть причастными к подготовке информационной войны, и может дать возможность обнаружить изменения, свойственные принятию или обсуждению решений об информ-агрессии.

Выявление на этапе подготовки

На этапе подготовки информационной атаки противник вынужден совершать некоторые предварительные действия оставляющие следы. И если вам удается их обнаружить, то вы имеет возможность спрогнозировать атаку до ее начала, а значит получить время на подготовку к отражению. Например, чтобы воздействие на аудиторию было максимальным, а затраты на такое воздействие свести к минимуму, необходимо понять уязвимости этой аудитории, выявить те темы, на которые аудитория реагирует, определить какие каналы доставки ударного контента наиболее эффективны для этой аудитории, кто для этой аудитории является авторитетным источником и т.п.. Частично ответы на эти вопросы получают в ходе кабинетных исследований, но для проверки гипотезы приходится проводить локальные полевые испытания. Как вариант – опросы, пусть не объемные, пусть полушуточные или провокационные (как например «Самый уродливый памятник»). И такие действия, даже локальные, вполне можно выявлять, оценивать и формировать на основе оценки соответствующие прогнозы.

Другой пример – при создании инфраструктуры часто используют фрилансеров для решения локальных задач. Создать небольшой скрипт для отслеживания активности аккаунта/паблика/группы, или для информирования о чем-то небольшой группы пользователей. Иногда встречаются откровенные предложения помочь в организации ddos-атаки, дать аккаунт в аренду, наставить дизлайков и т.п.. И всё это на площадках фрилансеров.

Так вот отслеживание подобных объявлений и их правильная интерпретация помогает выявить подготовку атаки. Еще вариант – когда собирают группу единомышленников для организации совместной атаки на бренд под видом обиженного клиента, которого кинули на много денег. Сложность лишь в том, что таких площадок много и наиболее интересные расположены в даркнете. Тем-ни менее мы научились такое отслеживать и интерпретировать.

Не менее интересны предложения по распространению какого-то контента на соответствующих биржах. Такие предложения содержат прямое указание на цель, преследуемую пользователем их разместившим. Надеюсь вы понимаете о каких биржах идёт речь.

Еще одно перспективное направление – отслеживание активности вокруг защищаемого объекта на площадках, посвященных созданию и хранению демотиваторов, фотожаб, карикатур и т.п. визуального контента. Здесь, помимо выявления подготовки атаки, можно вовремя выявить зарождение негативного контента.

Предположим теперь вы осознали, что важно не только вовремя видеть упоминания вашего объекта в СМИ и соцсетях, но и выявлять его упоминания на довольно специфических площадках. Сразу замахиваться на все такие площадки не стоит. Во первых их много, во вторых часть из них требует авторизации и определенного уровня доступа, в третьих часть из таких площадок, при чем наиболее ценная часть, находится в Даркнете. Но всё-же большая их часть открыта, доступна и не требует сложных механизмов для скачивания. Вот с них и нужно начинать. Ниже приведены несколько таких типов источников, но далеко не все.

Видеохостинги

Роль видео в манипулировании общественным мнением неуклонно возрастает, что делает этот вид источников важным. В данном случае имеется ввиду выдача видеохостингов (Ютуб, Ру-Туб и иных), а также выдача глобальных поисковиков по видео-контенту ( Яндекс-Видео и т.п..) по наименованию защищаемого Объекта. Это направление вполне освоили мониторинговые сервисы.

Но помимо «больших» сервисов нельзя забывать и о специфических, локальных, нишевых. Именно на них зарождается большинство трендов, а манипуляторы их используют для создания ударного контента и его тестирования перед началом горячей фазы. А ведь именно это нам и нужно для прогнозирования. Примеры наиболее известных из них, но не всех: coub.com , flickr.com , metacafe.com, dailymotion.ru, livestream.com, no-clip.com, photobucket.com, rutube.ru, Smotri.com, smotretvidos.ru, Twitch.tv, Ustream, Vevo, vimeo.com, Vine, YouTube

Соцсети

С соцсетями сложнее. Тут нужно рассматривать несколько направлений. Первое и очевидное это сообщения/комментарии пользователей об Объекте исследования. Это направление мониторинговые сервисы так-же хорошо освоили. Но нам нужно больше.

Второе направление это наличие/появление групп, «брендированных» под Объект исследования. Обычно такие группы создают чтобы выплеснуть негатив или мошенники, которые хотят воспользоваться известностью бренда. И тогда становится важно не только наличие таких объединений, но и их активность, влиятельность.

Третье направление это наличие/появление аккаунтов с именем Объекта. Это могут быть персональные странички или паблики. Их роль в распространении негатива чуть шире чем просто вбросы. Нередко такие аккаунты используют и для подставы.

Отдельно нужно отметить, что соцсетей много. Помимо топовых есть куча более мелких или узкоспециализированных. Вот примеры только микроблогов помимо всем известного Твиттера: bestpersons.ru, chikchirik.ru , identi.ca . jot-it.ru, juick.com, mastodon.social, myspace.com, status.net, plurk.com, tumblr.com

Специфические изображения

Еще одна группа площадок, на которую важно обращать внимание это сайты, специализирующиеся на создании и публикации мемов, фотожаб, демотиваторов и карикатур. Часто именно на них первым выплескивается креативный негатив и начинается планомерная атака на репутацию через высмеивание. Манипуляторы также используют такие площадки для создания ударного контента и его тестирования перед началом горячей фазы. А ведь именно это нам и нужно для прогнозирования.

Несколько примеров сайтов для мемов и демотиваторов: 1001mem.ru, admem.ru, mem.lt, mem.ru, memok.net, memesmix.net, memoteka.com, mr-mem.ru и сайтов для демотиваторов6 ademotivatory.ru, demotions.ru, demotivatori.net, demotivatory.net, demotivators.in, demotivators.cc, demotivators.to, demotivatorium.ru, demotivs.ru, demotiviruy.ru, demotos.ru, rusdemotivator.ru

Сервисы вопросов и ответов

В случае работы с репутацией политиков нужно брать под контроль такие источники как сервисы вопросов и ответов и сайты правозащитных организаций. Для этой группы объектов именно данные площадки являются местом зарождения негативных трендов и тестирования ударного контента.

Несколько примеров сервисов вопросов: akak.ru, askguru.ru, domotvetov.ru , genon.ru, manual.ru, mirsovetov.ru , otvetin.ru, otvetof.org , ph4.ru, shkolazhizni.ru, superotvet.ru , thequestion.ru, tonnavoprosov.ru, vorum.ru, wikiotvet.ru, znaikak.ru

А это примеры сайтов правозащитных организаций: agora.legal, antirasizm.ru, civitas.ru, idc-europe.org, hro.org, gdf.ru, golosinfo.org, ksmrus.ru, memo.ru , mhg.ru, npar.ru, otcydeti.ru, pravorf.org, pytkam.net, stop-ham.com, raipon.info, team29.org, zdravomyslie.info