Информационный повод для атаки на компанию в смк

И самое главное — порушенная репутация несет за собой колоссальные потери, в том числе упущенную прибыль. Какую именно — рассчитывается разными методами, один из которых — расчет на основе частоты запросов, видимости ресурсов и процента принятия решения об отказе покупки.

Важно понимать, что недоброжелатели тщательно позаботятся о том, чтобы замаскировать свое участие. Но, возможно, удастся найти связи между аккаунтами и вычислить, кому была выгодна информационная атака на вас.

Открытость и готовность давать комментарии — позиция, которую тогда заняла компания PepsiCo. Это минимизировало негативный эффект. В таких случаях последствия в виде падения продаж быстро проходят, а лояльность к бренду восстанавливается. Большую роль здесь сыграл имидж компании.

Важно позаботиться о сохранении репутации заранее, то есть создать информационную репутационную подушку. Заранее проработать слабые стороны, предсказав мишени возможных вбросов и инфоповоды, которые могут использовать для атаки.

Информационную атаку важно предотвратить на начальном этапе. Для этого нужно не пропустить всплеск негативной информации. Лучше всего заранее подключить систему мониторинга инфополя.

С чем мы имеем дело в Рунете

Мы анализируем информационное поле брендов с помощью системы «Крибрум».

Она позволяет проверить все инфополе — все социальные сети, все виды контента (посты, комментарии, ссылки, шеры, лайки, подписи и видео к картинкам). С ее помощью можно отслеживать упоминания как персон, так и организаций, а также тональность, дубли и спам. В течение 15 секунд «Крибрум» выкачивает 75% сообщений ВК и Твиттера; еще 20% за час, остальные 5% — за три часа.

Однако нужно понимать, что поведение пользователей, их речь (и в том числе упоминания брендов) в социальных сетях отличаются от комментариев в СМИ и на тематических площадках. Там есть своя специфика, и работать с ней сложно.

В социальных сетях и мессенджерах действуют свой контекст. Необходимо учитывать сленг, смайлы, мемы и многое другое. Выявить и проанализировать тональность в этом хаосе гораздо сложнее, чем в традиционных СМИ. Особенно если учитывать количество контента, которое появляется ежедневно.

Сейчас в социальных медиа ежедневно публикуется 100 000 000 сообщений, и пользователи совершают несколько миллиардов действий — лайков, шеров и так далее. В секунду на пике информационного события публикуется несколько десятков тысяч сообщений и несколько сотен тысяч лайков. Контент разлетается невероятно быстро.

Мы живем в период контент-бума: количество информации растет, но объем потребления этой информации остается на прежнем уровне или падает.

Из-за этого разные компании, в том числе СМИ, начинают искать разные форматы взаимодействия с аудиторией. Это видеоролики, голосовые сообщения, звуковые дорожки, инфографика, мемы и так далее. И от этого количество информации и контента еще больше возрастает — как с точки зрения количества, так и с точки зрения форматов. По прогнозу, к 2020 году количество контента в Интернете увеличится в 200 раз — это будет гораздо больше, чем мы сможем когда-либо просмотреть.

Восприятие меняется

Сейчас меняется ландштафт контента. Происходит много вбросов, фейков, появляется много информации, от которой пользователи начинают уставать. Из-за этого продолжительность внимания, которое пользователь может сконцентрировать на какой-то новости, ощутимо снижается.

Если раньше новости оставались актуальными, и их продолжали обсуждать в течение нескольких недель, то сейчас они живут не больше 3-4 дней.  

Изменяется и то, как мы потребляем информацию. Пишущая и читающая аудитория мигрировала из ЖЖ в Facebook, а из него в мессенджеры. Теперь она привыкает к коротким репликам и эфемерным темам, вырабатывает клиповое сознание. Объем поста в фейсбуке в среднем в 5 раз меньше, чем в ЖЖ (630 против 3800 знаков). Средняя длина сообщений падает. При этом быстро растет инструментарий выражения эмоций без текста — смайлики, лайки.

Кроме того, в социальных сетях контент «тонет». Менее 5% сообщений оригинальны, 90-95% — шлак: спам, дубли, ретвиты, шеры и репосты даже без комментариев.  Очень сложно найти информацию, которая была опубликована в Facebook день назад, тем более — неделю. Среднее время жизни поста — 6 часов, и из-за этого можно многократно применять одни и те же сценарии и вбросы.

Из-за всех этих причин развивать фейковые новости очень удобно: их можно легко вбросить, а затем их растиражируют обычные пользователи. Контенту сейчас принято доверять, и многие репостят и лайкают, не проверяя информацию.  

Люди любят негатив

Негатива в сети намного больше, чем позитива. Пользователям он нравится больше.

Причина этого в том, что негатив дает чувство вседозволенности, безнаказанности, виртуальности, снятие барьеров приличий и вежливости. Сетевая публика ждет именно негативной информации, она вызывает наибольший отклик. Ее любят читать, публиковать, обсуждать. В среднем количество негативной информации появляется в Интернете в пропорции 2:1.

Самая негативная тема — это, конечно, политика. Самые хвалебные отрасли — это телевидение, шоу-бизнес, иногда — спорт. Соотношение ругани к похвале в них 2 к 3.

Повестку дня формируют не те, кто пишет контент

В современное медийное поле формируется не теми площадками, на которых создается контент. В первую очередь ее создают агрегаторы.

Какие ресурсы сейчас самые посещаемые, откуда вы в первую очередь узнаете новости? Это Яндекс.Новости и Яндекс.Дзен — агрегаторы новостей, которые фильтруют результат. Новости попадают к ним по специальным алгоритмам, но сами они, естественно, контент не создают.

Кроме того, люди читают и блогеров, аудитория которых зачастую намного больше, чем у рядовых СМИ. Но на вершине рейтингов блогеров — по количеству, по охвату и так далее — находятся те, у кого есть отдельная редакция, и те, кто занимается только переупаковкой новостей. Самой большой популярностью пользуются блогеры, которые ничего не производят, а просто выдают информацию по популярной теме.  

В условиях такого медийного пространства делать вбросы становится еще проще. Как только новость набирает достаточно много трафика — ее публикуют блогеры, новостные агрегаторы и группы, которым нужен охват. Факты никто не проверяет.

Все это приводит к тому, что информационных атак становится все больше. Давайте рассмотрим, что характерно для естественного медийного взрыва и информационной атаки, и чем они отличаются.

Естественный медийный взрыв

Естественное событие всегда привязано к определенному инфоповоду, который возник самостоятельно. Если целевой аудитории он интересен, люди начинает его расшаривать, лайкать, и возникает вирусный эффект.

В естественном инфоповоде есть очень много участников. Уникальная информация появляется в разных точках: от участников события, пострадавших, свидетелей. К событию подключаются и эксперты, у которых берут интервью, журналисты и так далее. Кроме того, это благодатная почва для желтых СМИ и блогеров, которые гонятся за трафиком. К волне могут присоединиться и недоброжелатели, и конкуренты.

Нормальный жизненный цикл новости колеблется от трех до пяти дней, максимум — неделю, с затуханием. Причем чаще всего проходит один-два дня, и от новости не остается никакого следа.

Но это происходит только в том случае, если новость не подогревают извне. Если нет никого, кто хотел бы ее специально продвигать и раскручивать дальше, как информационную атаку.  

Развитие событий естественного медийного события на графике выглядит примерно так:       

Всплески показывают, как увеличивается охват.

Точно такие же всплески возникают, когда происходит поворот в естественном событии. Таким поворотом может быть то, что выяснилось что-то новое, появились пострадавшие или еще одна сторона конфликта. Из-за изменения повестки инфоповод снова «взлетает» в охвате.

Как правило, у всех естественных новостей есть свои центры. Это крупные СМИ, известные блогеры с большим охватом — именно от них новость начинает разлетаться. Ее начинают перепощивать, и практически сразу появляется много других участников этого события. С их аккаунтов новость распространяется дальше — до следующего центра. И так расходится разная информация.

Таким образом, признаки естественного медийного события:

Распространение фейка

Распространение информационного вброса выглядит иначе.

В этом случае нет крупных центров. Новость появляется в небольших желтых СМИ и спящих аккаунтах. Неактивные пользователи подхватывают эту новость и начинают ее раскручивать. Таких всплесков активности достаточно много, но контент остается одним и тем же, без новых точек зрения.

Дальше пользователи могут подхватить и разнести информацию, но центры ее появления остаются небольшими.

Признаки фейка:

Распространение информационной атаки

Организационный цикл атаки включает:

Самое главное во время информационной атаки — попасть в целевую аудиторию. Если тема вброса интересна людям и важна для них — фейковую новость подхватят и распространят.

Например, если в группу путешественников кинуть информацию о том, что сотовый оператор обманывает на роуминге, она разойдется очень быстро. Особенно, если это будет история, вызывающая доверие — о том, как друг друга съездил за границу, и у него с карточки сняли много денег. Сразу найдутся люди, которые скажут: «Да, я тоже об этом слышал, у сестры моего друга тоже списались деньги». Или, возможно, у мамы, бабушки, у брата тоже это произошло. Как правило, ситуация происходит не у самого рассказчика, а у кого-то из его знакомых, или рассказчик об этом читал.

Это же может произойти в банковском секторе. Один из пользователей начинает рассказывать, что, например, он снимал деньги за границей и курс посчитали неправильно, а через десять дней списали дополнительные 10 000 рублей. Сразу же появится много тех, кто подтвердит историю.

Даже если придут представители компании или адвокаты бренда, им уже никто не поверит, потому что в ситуации уже не захотят разбираться. Слова о том, что вброс не соответствует истине, не сработают. Поэтому очень важно заранее подготовить доводы и объяснения.

Инструменты информационных атак

Как правило, вброс происходит через «сливные бачки», квази-СМИ. Могут выступить первоисточниками и платные блогеры и те интернет-СМИ, которые постят на заказ практически всё (с некоторыми идеологическими ограничениями).

Распространяют — платные тролли. Это сотни людей, которые пишут посты и комментарии на регулярной платной основе. Затем подключаются сети автоматических ботов — это автоматическое ПО, постящее комменты и твиты.

Дальше — системы усиления сигнала. Тысячи живых людей, перепощивающих лидеров мнений по доброй воле. Затем «традиционные» СМИ организуют цикл отмывки вбросов из Интернета. И наконец, сети квази-СМИ продвигают фейк в новостных агрегаторах и создают волну. Затем все повторяется.

Все это можно достаточно легко определить, если начать постепенно раступытывать клубок происходящего. Очень часто мы ищем первоисточник новости — и видим, что вброс произошел через какой-то «сливной бачок», через желтые СМИ, с которых статью уже удалили. Вброс произошел, статья разошлась, но первоисточника не осталось, и концов уже не найти.

Такая же ситуация происходит, если изначальная публикация была со «спящих» аккаунтов. Информация пришла с разных аккаунтов, но когда мы начинаем их искать — оказывается, что они уже удалены. Таким образом организаторы атаки отрезают возможности их найти.

Результаты информационной атаки

Если не подготовиться к атаке заранее и неумело ее отражать, результаты останутся надолго и будут достаточно болезненными. Вытеснение негатива на порядки труднее, дороже и дольше, чем его вброс.

На это есть причины:

• негатив популярнее. Негатив и клевету читают миллионы, опровержения — никто;

• клейкость. Клевета и репутационные пятна остаются и виснут годами;

• злопамятность сети. Поисковики помнят все, СМИ и сайты компромата им помогают;

• неконкретность. Никто не помнит деталей, «кто у кого украл», помнят только ощущение негатива.

Из Интернета, как мы знаем, ничего удалить нельзя. Нет кнопки «удалить» для определенного сайта или статьи.

Можно, конечно, писать в суд, если вброс — явная клевета. Можно и нужно работать с поисковой выдачей, вытесняя негатив. Можно и нужно выступать и подробно объяснять ситуацию, и делать это должны первые лица компании. Но все это достаточно сложно. Многим компаниям на это не хватает времени (потому что действовать нужно быстро) и ресурсов.

Как бороться с информационной атакой

Есть восемь основных принципов, которым нужно следовать, отражая информационную атаку.

Но самое главное — отследить атаку на начальном этапе. Поэтому крайне важно мониторить то, что говорят в Интернете о вашем бренде, компании и конкурентах, чтобы быстро отреагировать на происходящее.

По нашему опыту, 70-80% всего негатива, который говорят о компании, сконцентрировано на 5-10 темах. Это те болевые точки, по которым будут атаковать ваши конкуренты или недоброжелатели. Им гораздо проще воспользоваться тем, что уже обсуждает ваша целевая аудитория, тем, на что она хорошо отреагирует.

Поэтому необходимо заранее готовиться к тому, что в эти болевые точки будут атаковать, и защищаться от этого. Нужно обучать ваших клиентов, рассказывать им о том, как устроена ситуация на самом деле и в чем состоит правда. Если это будет сделано, если у вас уже будет  заранее подготовленный контент, то атака быстро сведется к нулю и вряд ли повторится. Информационная атака требует очень больших затрат, и вряд ли их будут повторно выделять в случае неуспеха.

Кейс от Игоря Ашманова. Информационная атака на  ГК Infowatch

В определенный момент мы обнаружили атаку на родственную «Ашманов и партнеры» компанию — Infowatch.

Клиенты, с которыми мы работаем по отбиванию атак и исправлению репутации в сети и мониторингу, обычно не разрешают об этом рассказывать. Infowatch — компания родственная, мы довольно открыто участвовали в компании по отбиванию атаки, поэтому мы можем поделиться кейсом. Это редкий случай.

Итак, в определенный момент — в апреле, год назад — мы обнаружили, что на компанию Infowatch (это компания моей жены, Натальи Касперской, которая занимается борьбой с утечками в корпорациях), началась информационная атака.

Временная шкала атаки была довольно плотной. Для атаки выбран некий «сливной бачок» — никому не известное СМИ об информационной безопасности. Туда было вброшено сообщение о том, что произошла утечка данных в компании Infowatch — хотя эта компания сама занимается борьбой с утечками.

Атака проходила так:

Из этой временной шкалы видно, что атака была подготовлена заранее. Это не просто сообщение одного человека. Почему мы решили, что это именно атака, а не просто действия свободы слова в социальных сетях?

На это было много причин:

• продолжительность обсуждения. Естественное событие живет 3-5 дней, после этого блогеры и СМИ теряют интерес. А факт возможной утечки активно обсуждался около двух недель.

• схема распространения. На первом этапе об утечке рассказывали только мелкие блогеры, которые репостили одни и те же новости. Оригинал был один.

• детальность и подготовленность. Перед появлением первой «информации об утечке» на SecureNews недоброжелатели произвели три разных рассылки: СМИ, клиентам и конкурентам InfoWatch. Такая рассылка требует планирования, сбора адресов, схемы скрытия обратных адресов;

• скорость исполнения. От первых писем до публикации на SecureNews прошло 6 часов, а уже через 12 часов начался веерный обзвон клиентов InfoWatch, в основном по контактам, которых не было в обсуждаемой «базе».

• перевод фокуса внимания. Организаторы атаки вбросили тему «обиженного сотрудника», которому якобы не заплатили денег, и указали как источник бывшего исполнительного директора InfoWatch Всеволода Иванова. При этом конфликтов из-за выплат нет ни с ним, ни с другими бывшими или действующими сотрудниками.   

Если бы это было обычное, естественное событие, оно бы продлилось три дня,  и закончилось. В этом случае атака подогревалась. У нее была схема «колбасы вброса», передвигавшейся по социальным сетям, а не естественного события.

Кроме того, мы обнаружили, что атака была очень детально подготовлена. Но те, кто это организовал, были непрофессионалами, и все было сделано очень топорно. Они начали вести атаку слишком быстро, а по таймингу обычно видно, что все действия заранее подготовлены, и нельзя реагировать так быстро на обычные, естественные новости. Также более-менее сразу стало ясно, кто организовал атаку.

База данных

В качестве доказательства утечки к письмам предлагалась ссылка на облачный сервис, где можно было скачать «базу данных»:

• 5 коммерческих предложений на бланках InfoWatch. Файлы представляли собой спецификации с позициями и ценами. Заказчики или партнерские скидки не указывались. Три из пяти КП были идентичны.

• Excel-файл «Отчет Полный список контактов». Файл был оформлен как выгрузка из CRM и содержал 4896 контактов, сгруппированных по видам деятельности организаций. Были указаны имена и фамилии, а также частично — названия организаций, должности, адреса электронной почты и телефоны. Отсутствовали комментарии, пометки и намеки на коммерческие показатели. На InfoWatch указывали только контакты 200 действующих или бывших сотрудников.

• Документ датирован 20.08.2016 года, но метаданные говорят, что файл был создан 10.04.2017.

Эта база была изначально сфабрикована. То есть, бывший сотрудник InfoWatch, которого уволили еще года полтора назад, передал конкуренту что-то похожее на базу своих клиентов. К ней добавили клиентов с сайта InfoWatch, еще что-то — и стали выдавать это за современную, актуальную утечку.

Организация атаки и расследование

У события были все признаки информационной атаки:

• Спам. Письма с «информацией об утере базы», отправлялись с анонимного почтового адреса с заходом в веб-интерфейс почтового ящика через «темный Интернет» — сеть TOR;

• Старый материал. Многие контакты, указанные в «базе данных», были устаревшими. Нового материала у конкурента не было;

• Легенда. Для отвода глаз в качестве основной выдвигалась версия мести бывшего «обиженного» сотрудника;

• Контакт с клиентами. Одновременно с этим с корпоративных адресов @searchinform.ru производилась рассылка писем с рассказом об «утечке» и с предложением сменить поставщика. Также из колл-центра, сотрудники которого представлялись SearchInform, проводился обзвон с предложениями сменить поставщика. При этом обзвон прошел очень быстро и со ссылками на материал, который был заложен в  в этот «сливной бачок», и потом разослан по всем СМИ;

• Подогрев в соцсетях. При снижении интереса тему «подогревали» посты владельца SearchInform льва Матвеева в Facebook. Он всячески убеждал в важности «утекшей информации». К нему какое-то время подцеплялись более мелкие мелкие конкуренты.

Мы провели свое расследование. Оно заняло не очень много времени.

Как выяснилось:

• SearchInform горячо участвует в атаке. На это указывали бурные действия сотрудников SearchInform в соцсетях, рассылка писем и звонки клиентам, «подогревание темы» и генерация смыслов атаки лично владельцем SearchInform. Кроме того, «сливной бачок» — СМИ бывших сотрудников SearchInform.

• SearchInform действует быстро. Найм колл-центра, написание скриптов с раскруткой атаки и предложением перейти на продукт SearchInform, организация массовой рассылки по поводу «утечки» — все это заняло часы после атаки, то есть, готовилось заранее.

• нет других участников и «бенефициаров» атаки. Обиженные сотрудники, которым якобы не заплатили денег, никак себя не проявляют и не предъявляют требований. Никто из конкурентов, кроме SearchInform, не проводил массовых рассылок и обзвонов.

Все, что было слышно в сети,  происходило от конкурента. Таким образом было совершенно очевидно, кто это делает. Информационную атаку на компанию InfoWatch организовал конкурент по рынку информационной безопасности — компания SearchInform.

Алгоритм действий и результаты

Первое, что мы сделали в ответ на атаку — начали открыто обсуждать ситуацию. Мы пришли во все социальные медиа, где происходило обсуждение и стали объяснять, что на самом деле происходит. Мы прямо говорили с отраслью и клиентами. Не оправдывались и не игнорировали, не скрывали подробности информационной атаки.

Расследовали атаку: изучили файл с «базой» и обратные адреса рассылок, проанализировали мотивы участников инцидента. Нашли источник и подробно описали, почему в нем уверены, выложили доказательства.

Взяли дружественное СМИ — это был Roem, СМИ для программистов и владельцев информационного бизнеса. Опубликовали подробное расследование со всеми доказательствами.

Использовали это СМИ как склад ссылок. Дело в том, что довольно много клиентов, да и конкурентов были готовы нас поддержать. Но им нужны были материалы, на которые они могли бы ссылаться в дискуссиях. Вот для этого нужно создавать такой склад для ссылок, склад контента, который нужно было постоянно обновлять. Высказываний о том, что атака не основана на правде, недостаточно. Нужно иметь больше контента, чем есть в атаке, и он должен быть более убедительным.

Кроме того, поскольку реагировать нужно в реальном времени, мы договорились с главредом этого СМИ, и создали ленту событий. В ней мы показывали все изменения этой ситуации и все действия конкурентов. Причем делали это по возможности с шутками, прибаутками, подначками. То есть, со стебом в адрес этого конкурента.

Что произошло в результате? Атака довольно быстро прекратилась. Конкурент начал оправдываться, угрожать подать на нас в суд за то, чтобы мы якобы его оклеветали, когда назвали организатором атаки. Конкуренты, которые не участвовали в атаке, но подцепились к ней, начали расползаться, видя, что здесь выводят на чистую воду.

Атака закончилась через две недели. Конкурент обещал подать в суд через несколько месяцев, но ничего не получилось. Суд не принял обвинения. На этом все закончилось.

О чем это говорит? Во-первых, нужно обязательно реагировать открыто. Во-вторых, заставлять говорить главных лиц (в этом случае рассказывала об атаке гендиректор компании Infowatch Наталья Касперская, и я рассказывал, что происходит). Нужно обязательно создавать склад контента, где можно многократно ссылаться на то, что уже расследовано. Обязательно нужно указать источник и вскрыть его мотивы. Тогда удастся быстро завершить атаку и выйти из нее без потерь.

Из этого материала вы узнаете:

• Цели любой информационной атаки
• Правила, которые нужно помнить, если вас атакуют
• Пошаговая инструкция по отражению информационной атаки
• Способы профилактики информационных атак

• Шаблон расчета эффективности бизнеса по 8 показателям

  Скачать бесплатно

Вопрос о том, как отразить информационную атаку, должен подниматься своевременно, в идеале еще до того, как бизнес обрастет крупными конкурентами или совершит ошибки. В этом деле, как и в медицине, профилактика – лучшее средство, ведь рабочий план может пригодиться один раз, но для этого он должен быть разработан заранее.

Чаще всего информационная атака становится неожиданностью, но и в этом случае вам помогут несложные правила. В нашей статье мы расскажем, как отразить информационную атаку, какие правила в компании необходимо принять до ее возникновения, а также поговорим о методах профилактики таких угроз.

Три кита атаки на репутацию

Однажды одна весьма известная международная компания захотела быстро увеличить свою долю на рынке продуктов питания. Но на разработку, запуск и рекламу нового продукта тратиться не захотели — решили просто с помощью пары видеороликов потеснить своих конкурентов, создав у клиентов негативное отношение к их продукции. Сняли видео: в первом ролике возмущенный покупатель эмоционально рассказывал, что нашел в дорогом и востребованном продукте песок. А другой покупатель обнаружил… мышиный хвостик. Ролики разместили в соцсетях, в группах «мамочек», которые очень чувствительны к подобным темам. Драматизма добавили за счет купленных репостов, лайков и комментариев соответствующего содержания.

За одни сутки «вой» вокруг мышиного хвоста из соцсетей дошел до региональных СМИ, которые с удовольствием начали публиковать материалы на столь животрепещущую тему. Тут же появилось «расследование» никому не известного блогера, который якобы смог проникнуть на производство и зафиксировать факты антисанитарии, что и объясняло попадание посторонних «ингридиентов» в продукты питания. После того как тема вышла на федеральный уровень, правоохранительные органы инициировали проверку, информацию о которой с радостью распространили всё те же группы мамочек. Проверка не обнаружила ни посторонних вкраплений в продуктах, ни нарушений санитарных норм на производстве. Кому это уже было интересно? Информационная атака на конкурента свое дело сделала. В этом блоге мы подробно расскажем о том, как злоумышленники готовят и управляют подобными мероприятиями. Статья основана на исследовании реальных кейсов, которые попали в поле зрения специалистов Group-IB за последние 5 лет.

Цикл атаки

Планирование

Подготовка

Имитация общения — когда ударный контент преподносится аудитории в ходе обсуждения чего-то. Например, в комментариях под публикацией в соцсети в профильной группе или под статьей на сайте СМИ.

Еще один способ маскировки — утечка данных. Например, почтовой переписки, в которую внедрен ударный контент в соответствующем формате.

Третий вариант маскировки — заявление авторитетного источника.

Наконец, эмуляция отзывов на соответствующих сервисах — тоже способ маскировки атаки.

Психологических приёмов воздействия много, и они хорошо описаны в соответствующей литературе, но есть несколько, которые наиболее часто используются для усиления воздействия ударного контента:

Сарказм, юмор, высмеивание.

Привлечение внимания к проблеме за счет яркости, необычности, масштабности.

Сравнение объекта с аналогичными или похожими — конечно, не в пользу объекта атаки, вплоть до абсурда.

Реже используется «информационная прививка», смысл которой в подготовке аудитории к основному вбросу ударного контента или закладывание якорей в сознание аудитории на случай ответных действий оппонента.

Затем определяются каналы доставки ударного контента до аудитории и методы его разгона: из каких источников аудитория получает информацию, на каких площадках интернета общается, в каких группах состоит и т.п. Также злоумышленник определяет, каким способом поместить туда ударный контент и с помощью каких технологий увеличить число ознакомлений с ним.

Только после этого злоумышленник начинает формирование инфраструктуры, необходимой для воздействия на аудиторию. Это в первую очередь площадки, на которых будет публиковаться ударный контент, и аккаунты, от лица которых он будет распространяться. Параллельно идет подготовка самих ударных материалов — сообщения, с помощью которых будет осуществляться воздействие: это и создание нового контента (тексты, изображения, видео и пр.), и адаптация уже имеющегося. Злоумышленники формируют команду: подбираются исполнители —»писатели», дизайнеры — те, кто будет создавать уникальный контент и адаптировать имеющийся.

На этапе подготовки информационной атаки злоумышленник вынужден совершать действия, которые оставляют следы, в том числе в интернете. И эти следы можно обнаружить. Забегая вперед, можно сказать, что при расследовании или реагировании на инцидент, которым является и информационная атака, именно эти «цифровые следы» помогают установить исполнителей и, что сложнее, возможных заказчиков. Этим в Group-IB занимается Департамент расследований высокотехнологичных преступлений. В этом случае оппонент получает возможность спрогнозировать атаку до ее начала, а значит — получить время на подготовку к отражению. Это сильно усложняет задачу злоумышленнику, поэтому он тщательно скрывает не только планирование и подготовку атаки, но и вспомогательные процессы, о которых пойдет речь ниже.

Например, чтобы воздействие на аудиторию было максимальным, а затраты на такое воздействие сводились к минимуму, необходимо понять уязвимости аудитории и темы, на которые она реагирует, определить, какие каналы доставки ударного контента наиболее эффективны для этой аудитории и кто является для нее авторитетным источником и пр. Частично ответы на эти вопросы получают в ходе кабинетных исследований, но не редко для уточнения приходится проводить дополнительные «полевые работы». Как вариант — опросы, пусть необъемные, полушуточные или провокационные (как, например, «Самый уродливый памятник»). И такие действия, даже локальные, вполне можно выявлять, оценивать и формировать на основе этого соответствующие прогнозы.

Еще одно перспективное направление в противодействии информационным атакам — отслеживание активности вокруг защищаемого объекта на площадках, посвященных созданию и хранению демотиваторов, фотожаб, карикатур и другого визуального контента. Здесь, помимо выявления подготовки атаки, можно вовремя отследить зарождение негативного контента.

Пример информационной атаки — кейс №1 (Все совпадения случайны)

В 90-е два друга — назовем их Антон и Андрей — создали бизнес. Дела шли настолько успешно, что оба попали в топ-100 российского Forbes. Всё было отлично: контракты, дивиденды, уважение коллег и всё, что сопутствует успеху. Но в какой-то момент между партнерами пробежала черная кошка. Точно сказать, что именно произошло, смогут, наверное, только они. В результате бизнес поделили: с шумом, скандалами, взаимными обвинениями во всех смертных грехах и судами, некоторые из которых еще продолжаются.

В результате этого раздела обе стороны возненавидели друг друга еще сильнее, а Андрей решил продолжить борьбу партизанскими методами. Начал с формирования негативного мнения о качестве жилых домов, которые строят компании Антона. В первую очередь были созданы группы «недовольных клиентов», которые по легенде купили квартиры и столкнулись с массой недоделок и хамским отношением застройщика. Затем их рассказы были опубликованы в агрегаторах отзывов. После этого начались публикации в соответствующих Telegram-каналах. Как только эта история приобрела значительные масштабы, нашлись несколько реальных покупателей, готовых за вознаграждение выступить заявителями, и от их имени подали исковые заявления. С этого момента шумиха перешла в федеральные СМИ, причем без какого-либо стимулирования.

Финальное планирование

Далее определяем, что на каждом шаге может пойти не так под воздействием внешних или внутренних факторов. Например, на попытку поинтересоваться делами ваш визави сразу просит о помощи. Тогда вы, минуя шаг 2, сразу переходите к шагу 3. Или другой вариант — ваш собеседник из вежливости интересуется уже вашими делами. В этом случае вам нужно вернуть ситуацию в «основное» русло. Как это сделать? Например, вы говорите о массе свободного времени и возвращаете ситуацию в запланированное состояние, предложив помощь.

Для продумывания таких отклонений поставьте себя на место вашего оппонента, посмотрите на происходящее в интернете его глазами. Вот оппонент видит какую-то вашу публикацию. Как он ее воспримет, как отреагирует, что может предпринять? Например, он увидел, что вышло интервью некоего эксперта в Forbes, где он делится достижениями и рассуждает о стагнации отрасли. Увидит ли оппонент подвох? А как он может среагировать? Что из интервью он может использовать для создания ответного материала? Именно взгляд на будущие события с такого ракурса и лежит в основе общего медиапланирования — а не только что, где, когда и за сколько разместить.

Пример информационной атаки №2.
Один известный и уважаемый бизнесмен как-то решил, что было бы хорошо, если бы все контракты профильного министерства шли через его структуры. Но вот незадача: министр никак не соглашался на такую замечательную схему. В конце концов бизнесмен посчитал, что проще поменять министра.

Для начала он решил дискредитировать оппонента. И по всей стране с завидной периодичностью стали появляться сообщения о разных негативных событиях, связанных с подразделениями министерства и их проектами. Брались в основном реальные события, которые до этого были мало кому интересны, и раздували их до неприличных масштабов. После такой двухнедельной подготовки аудитории злоумышленники запустили основной ударный материал: в даркнете на одном из форумов опубликовали предложение купить архив личной почты министра. Для подтверждения честности предложения автор давал посмотреть несколько веток переписки, выбранных «случайным» образом. И неожиданно среди них оказалась та, в которой министр обсуждал со своим давним знакомым возможность монетизации некоего государственного проекта в свою пользу. Одновременно «неизвестный доброжелатель» обратил внимание нескольких журналистов на этот слив, а остальное уже сделали они.

Когда материал попал в крупные СМИ, злоумышленник сделал дополнительный модулирующий вброс в виде статьи на крупном агрегаторе компромата. Основной вектор публикации сводился к тезису «министерство рушится, задачи президента не исполняются, а чиновник осваивает бюджет». Это еще сильнее подстегнуло журналистов-расследователей, и поток негатива стал неуправляемым. Никто не озаботился вопросом, была ли утечка почты на самом деле или эти несколько веток писем — лишь удачная подделка.

Проверьте уровень защищенности вашей репутации и бренда от цифровых угроз

Фото: ИЗВЕСТИЯ/Константин Кокошкин

Фото: ТАСС/NEWS.ru/Сергей Булкин

Фото: ИЗВЕСТИЯ/Алексей Майшев

Фото: ТАСС/Гавриил Григоров