Як розпізнати бота у Twitter — інтерв’ю з експертом

Вас і ваших колег атакували в Інтернеті ті, кого можна назвати «армією ботів». Отже, головне питання: що таке бот? І що таке бот-мережа?

У цьому контексті бот — це обліковий запис у Twitter, який керується комп’ютерною програмою, а не людиною. Тому публікує матеріали сам — нікому не треба натискати клавіші. Це трохи нагадує літак на автопілоті.

Бот-мережа, або ботнет — це мережа сотень, тисяч або десятків тисяч облікових записів, які можуть бути запрограмовані виконувати одне і те ж саме одночасно.

Позаяк усі ці мікроблоги підписані лише на інших ботів, їхні ретвіти звичайний користувач не побачить. Що відбувається з постом, який ретвітять? Приміром, ціллю став я. Щойно я написав пост, мої сповіщення у Twitter затоплюють буквально сотні нових ретвітів.

Відповідно, я не можу використовувати сповіщення так, як зазвичай це роблю. Отже, це форма переслідування за допомогою дуже великих мереж автоматичних облікових записів, щоби заспамити конкретних людей.

Раніше ви виявили, як проросійські боти та ботнети реагують на протести й теракти в Шарлоттсвілі, штат Вірджинія. Що саме ви побачили?

Був певний наратив, який використовувався ультраправими коментаторами та правими ботнетами в США. Головною лінією було звинувачення американських політиків у тому, що вони засуджують неонацистів у Шарлоттсвіллі, водночас, цитую, «підтримують неонацистів у Києві».

Було дивно чути подібне від правих у США. Натомість саме це  з березня 2014 року транслює Кремль. Тому ми почали спостерігати, як розповідь про українських та американських нацистів поширювалася з Кремля на крайніх правих у Сполучених Штатах.

ЧИТАЙТЕ ТАКОЖ «Інтернет нарешті ідеальний для кібервійни» — дослідниця медіа Світлана Матвієнко

Ми виявили кілька фейкових облікових записів — ботів, які розповсюджували це повідомлення. Наш звіт підхопило  американське видання ProPublica.

А тоді це видання у Twitter атакував великий ботнет. Саме тому, що вони цитували наше дослідження. Редактори зв’язалися з нами та попросили з’ясувати щось про цей ботнет.

Ми виявили, це — той самий ботнет, що використовувався наприкінці липня проти журналістки Джулії Девіс, яка писала про обстріли України російськими військами. Так ми визначили, що це була мережа, яку раніше використовували для атаки на тих, хто писав про Росію.

Член «Атлантичної ради» інформаційної оборони Бен Німмо (ліворуч) на міжнародній конференції «360/OS Open Source Summit» Фото: DFRLab

Яка була мета цих ботів? Наскільки ефективними вони були для досягнення цієї мети?

Схоже, метою було залякування. Якщо ви — власник мікроблогу у Twitter, на який відбувається атака, то несподівано бачите, що ваші власні сповіщення буквально казяться. Щомиті ви отримуєте повідомлення, що чергові 200 користувачів ретвітнули вас.

Коли таке трапляється з вами вперше, це приголомшує. Це також заважає працювати, адже сповіщення надходять надто швидко. Це виглядає як залякування.

Бот-мережі наче гукають: «Подивіться, скільки нас. Подивіться, наскільки ми сильні». Саме це, до речі, часто кажуть люди, які керують такою мережею. Утім, атаки не були надто ефективним. Передивляючись усі твіти, ми виявили в них ключові слова. Якщо ввести певну комбінацію слів, це призведе до запуску цієї бот-мережі, й вона почне вас ретвітити.

Тоді ми написали інший пост із цими ж ключовими словами, але з посиланням на команду підтримки Twitter — і бот-мережі почали ретвітити цей твіт.

Отже, фактично кожен обліковий запис, який поширив допис, також відмітив себе в мережі техпідтримки Twitter. Відтак ми виявили та видалили понад 50 тисяч ботів.

Під час атак на вас і «Атлантичну раду»​ сталися деякі дуже яскраві, я б сказав, події. Могли б ви розповісти про них?

Хтось створив кілька фейкових облікових записів у Twitter. Один із них викрав зображення з мого мікроблогу, водночас не намагався видати себе за мене, а кепкував, стверджував, що мені нібито платить ФСБ, а я працюю на Кремль. Це було безглуздо, несерйозно, наче хтось просто грався.

ЧИТАЙТЕ ТАКОЖ «Система кіберзахисту в нас відсутня» — голова комітету з інформатизації та зв’язку

Але тоді вони створили обліковий запис, який був точною копією мікроблогу мого боса, й почали розповсюджувати повідомлення нібито я помер. Це було вже не так смішно.

Оскільки це був фейковий обліковий запис, він проіснував не надто довго.

Ви та «Атлантична рада»​ не єдині, хто пише про дезінформацію в Інтернеті, і точно не єдині, хто пише про ботів — чому саме ваша організація стала ціллю? 

Схоже, що це стало відповіддю на дописи ProPublica про Шарлотсвілль, а також на нашу першу статтю про бот-мережі. Наразі про те, що сталося, можна зробити лише проміжні висновки.

Ми зрозуміли, що ботнет, націлений на ProPublica, був тим самим ботнетом, який раніше атакував журналістку Джулію Девіс. В обох випадках ми викрили, як вони працювали, і виявили їхні мотиви.

Порівнявши ці випадки, ми визначили, що це — єдина бот-мережа. Ми пройшли всі етапи ідентифікації, і тепер можемо сказати: імовірно, її керівники — проросійські. Але бот-мережа ідентифікована, викрита, і її вимкнуть.

Не виключено, що вони намагатимуться завдати удару у відповідь. Та насправді це дозволить нам завантажити більше даних про їхню мережу, а відтак закрити більше фейкових мікроблогів.

Член «Атлантичної ради» інформаційної оборони Бен Німмо (ліворуч) на міжнародній конференції «360/OS Open Source Summit» Фото: DFRLab

Ви казали, що атака не була ефективною, позаяк дозволила більше дізнатися про ботів і видалити їх. Які ще висновки ви зробили?

Ми виявили масштаб деяких бот-мереж. Схоже, існує ціла низка мереж із різними стилями, які працюють разом. Один колективний обліковий запис мав сотні, якщо не тисячі ботів. Профілі були досить ретельно зроблені, приміром, у кожного було цілком реальне ім’я. Заразом вони мали кілька тисяч облікових записів, але тільки сотню фото. Тому багато різних мікроблогів були з однаковими  світлинами, що ненавмисне їх викрило.

ЧИТАЙТЕ ТАКОЖ Чи з’являться в Україні кіберкордони

У деяких мікроблогах публікуються ретвіти англійською, російською, арабською, малайською, індонезійською, французькою, іспанською та турецькою мовами — навряд чи це робила людина. Можна бути абсолютно впевненим, що це фальшивка.

Ми  демонструємо, скільки є різних методів ідентифікації ботів та ідентифікації фейкових облікових записів.

Тож, по суті, будь-який користувач Twitter, володіючи цією інформацією, може виявити ботів?

Саме так. Не всі боти мають один і той же стиль, деякі маскуються краще за інших. Але, використовуючи наші підказки, будь-який користувач Twitter зможе виявити бота.

Приміром, я виділяю три класичні показники: активність, анонімність та підсилення меседжу. Усе, що потрібно зробити — подивитися на дату створення профілю та кількість опублікованих твітів. Так можна визначити, як часто відбуваються публікації. Є  боти, які твітять 800 або тисячу разів на день. Це просто нелюдська модель поведінки.

Зверніть увагу, скільки в них постів та ретвітів. Є боти, які постять тисячі повідомлень в день, але все це — ретвіти. Якщо з облікового запису постять так часто, натомість не дають жодної особистої інформації — це бот.

Член «Атлантичної ради» інформаційної оборони Бен Німмо (ліворуч) на міжнародній конференції «360/OS Open Source Summit» Фото: DFRLab

Підписуйтесь на наш канал у Telegram