Анализ информационных кампаний: выявление скоординированных действий, ботов и вбросов

Анализ информационных кампаний: выявление скоординированных действий, ботов и вбросов

Отдельные фейковые новости и манипуляции — это лишь вершина айсберга. В современном информационном пространстве дезинформация часто распространяется в рамках скоординированных кампаний — организованных действий групп аккаунтов, ботов, троллей и медиаресурсов, направленных на формирование определенного общественного мнения. Данная статья посвящена методам выявления, анализа и документирования таких кампаний.

Что такое скоординированная информационная кампания?

Скоординированная кампания — это использование множества аккаунтов, страниц, сайтов и других ресурсов для продвижения определенного нарратива, часто с нарушением правил платформ и использованием неаутентичного поведения.

Признаки скоординированной кампании:

Внезапный всплеск активности

Резкий рост числа постов на определенную тему в короткий промежуток времени

Однотипный контент

Множество аккаунтов публикуют идентичные или очень похожие сообщения

Синхронные действия

Аккаунты начинают и прекращают активность одновременно

Аномальные сетевые связи

Подписки, репосты, лайки между аккаунтами образуют плотный кластер

Общие шаблоны (написанные фразы, хэштеги)

Повторяющиеся формулировки, ошибки, хэштеги

Аномальное поведение аккаунта

Созданы недавно, мало личного контента, накрученные подписчики

Типы неаутентичных аккаунтов

Бот (автоматический)

Управляется скриптом, публикует по расписанию, репостит

Тролль / пропагандист

Реальный человек, оплачиваемый для продвижения определенных нарративов

Спящий аккаунт

Создан давно, не использовался, затем активирован для кампании

Клон

Почти идентичный аккаунт (зеркало)

Ферма аккаунтов

Сеть из сотен аккаунтов, управляемая одной группой

Методология выявления скоординированных кампаний

Этап 1: Обнаружение аномальной активности

Что мониторить:

• Платформы: Twitter, Facebook, Instagram, VK, Telegram, TikTok.
• Ключевые слова, хэштеги, темы.

Инструменты для обнаружения всплесков:

• CrowdTangle: Анализ распространения постов в Facebook/Instagram.
• TweetDeck + search operators: Мониторинг Twitter в реальном времени.
• Telegram Analytics (TGStat, Telemetr): Динамика упоминаний.
• Google Trends: Общая популярность темы.

Этап 2: Выявление подозрительных аккаунтов

После обнаружения всплеска — сбор подозрительных аккаунтов, участвующих в нем.

Критерии отбора:

• Дата создания: Большинство аккаунтов создано недавно (дни, недели).
• Имена / юзернеймы: Сгенерированные (СлучайноеИмя123).
• Аватар: Отсутствует, стоковый, или украденный (обратный поиск).
• Активность: Только репосты (оригинального контента нет), нет личных постов.
• Содержание: Только на одну тему, копипаста.
• Взаимодействия: Подозрительные репосты и лайки.

Этап 3: Анализ сетевых связей (социальный граф)

Построение визуализации связей между подозрительными аккаунтами.

Типы связей:

• Подписки (следуют друг за другом).
• Репосты / ретвиты.
• Лайки.
• Упоминания (@).
• Ответы.

Аномалии в графе:

• Звездообразный кластер: Один аккаунт (центр) — источник, остальные (периферия) репостят.
• Полносвязный кластер: Аккаунты подписаны друг на друга (неестественно).
• Изолированный кластер: Не взаимодействует с обычными пользователями.

Этап 4: Анализ контента и лингвистики

Что анализировать:

• Повторяющиеся фразы: Одинаковые формулировки, хэштеги.
• Синтаксические конструкции, ошибки: Однотипные ошибки указывают на один источник.
• Средняя длина сообщений: Неестественная краткость или одинаковость.

Инструменты:

• Python + NLTK / spaCy: Частотный анализ, кластеризация текстов.
• LSTM / BERT (продвинутый уровень): Классификация авторства, выявление одного автора.

Этап 5: Анализ временных паттернов

Построение временной шкалы активности.

Аномалии:

• Синхронный старт / финиш: Аккаунты начинают постить одновременно (поработали 2 дня и замолкли).
• Периодичность: Публикация через равные промежутки (бот).
• Регулярное «дежурство»: Активность в одни и те же часы (рабочие часы троллей).

Этап 6: Анализ распространения в медиасреде

Что отслеживать:

• Первоисточник (источник утечки/вброса). Откуда пошла тема?
• Сайты-подсайты: Созданные специально для кампании (список).
• Репост другими СМИ: Кто подхватил, на каком уровне эскалации?
• Нарратив (история, смысл): Как меняется со временем?

Этап 7: Документирование кампании

Фиксация данных для анализа и возможного использования.

Что документировать:

• Список аккаунтов (ID, дата создания, имя, юзернейм, URL).
• Скриншоты (с адресной строкой браузера, датой).
• Список публикаций.
• Даты начала/пика/затухания кампании.

Практические методики

Методика 1: Поиск ботов по шаблону имени

Боты часто используют шаблонные имена: «Имя_Фамилия_число», «Слово + число».

Алгоритм:

1. Собрать 100+ подозрительных аккаунтов.
2. Найти общие шаблоны в именах.
3. Поискать другие аккаунты с такими же шаблонами.
4. Проанализировать их активность (та же тематика, одновременный старт).

Методика 2: Анализ сетевых связей (Gephi)

1. Собрать 200+ аккаунтов (подозрительных и обычных).
2. Внести данные в Gephi (таблицы: ID, связи «подписан на», репостнул у»).
3. Визуализировать граф (алгоритм Force Atlas 2).
4. Найти кластеры с высокой плотностью связей (неестественную).
5. Изучить их (те же даты создания, те же формулировки).

Методика 3: Временной анализ активности

1. Собрать таймстампы публикаций подозрительных аккаунтов.
2. Построить гистограмму активности по часам.
3. Сравнить с нормальным распределением (обычные аккаунты).
4. Обнаружить пики в нехарактерное время (ночью).
5. Обнаружить повторяющиеся интервалы (каждые 4 часа).

Методика 4: Проверка на предмет связи с известными фермами троллей

Существуют базы известных тролль-ферм (например, IRA — Internet Research Agency, Агентство интернет-исследований, АНО «Диалог» — российские, ЦИПсО — украинские, Trolls from Rwanda — наемные).

Что проверять:

• IP-адреса (если есть доступ). Совпадают ли с IP известных ферм?
• Языковые особенности (орфография, сленг) — характерные для конкретного региона.
• Время активности (рабочее время часового пояса).

Кейс: Выявление бот-фермы в поддержку корпорации
Задача: Внезапно тысячи постов в соцсетях хвалят корпорацию N (на фоне скандала). Выявить ботов.

1. Сбор данных: Через Twitter API (или парсинг) собраны аккаунты, упоминавшие корпорацию N за 48 часов (5000 аккаунтов).
2. Выявление подозрительных:
• 3000 аккаунтов созданы в течение последнего месяца.
• Имена: user_1234, client_5678.
• Аватары: геометрические фигуры, отсутствуют.
3. Анализ контента:
• 2500 из 3000 написали один из 10 шаблонных текстов («N — лучшая!», «Я люблю N!»).
• Ошибки: одинаковые («лучшая» написано как «лучшаяя»).
4. Временной анализ:
• Начали постить в 2 часа ночи по местному времени, остановились к утру. Нечеловеческий паттерн.
5. Анализ сети:
• Все подозрительные аккаунты подписаны на @Official_N (аккаунт корпорации) и друг на друга. Искусственная связка.
6. Триангуляция: Независимых обзоров, положительных отзывов от реальных пользователей нет. Официального заявления — нет.
7. Вывод: Бот-ферма (или скоординированные неаутентичные действия). Искусственная поддержка. Тысячи аккаунтов созданы для этой кампании.

Инструменты для анализа кампаний

CrowdTangle

Анализ распространения в Facebook/Instagram

TweetDeck

Мониторинг Twitter (реалтайм)

Gephi

Визуализация сетевых связей

Botometer

Оценка вероятности бота (Twitter)

SparkToro

Анализ аудитории соцсетей

Hoaxy

Визуализация распространения (Twitter)

Telegram Analytics (TGStat, Telemetr)

Анализ каналов

Python (pandas, networkx, matplotlib)

Автоматизация анализа

Этические и правовые аспекты

1. Аккаунты реальных людей: Не все активные сторонники — боты. Осторожно: обвинение реального человека.
2. Правила платформ: Некоторые методы (массовый сбор данных) нарушают правила.
3. Атрибуция: Даже доказанная скоординированная кампания может не доказывать, кто за ней стоит. Осторожно с обвинениями конкретного правительства, организации без прямых улик.

Выявление скоординированных кампаний — это детективная работа, сочетающая сбор данных, сетевой анализ, лингвистику и временной анализ. Боты, тролли и фермы аккаунтов оставляют множественные цифровые следы: паттерны регистрации, шаблонный контент, синхронную активность, аномальные сетевые связи. Комбинация инструментов (CrowdTangle для соцсетей, Gephi для графов, Botometer для проверки ботов) и аналитического мышления позволяет выявить искусственную активность и понять реальные масштабы информационной операции.