Nicolae Ţîbrigan, despre atacul clonelor pe Facebook – noua tehnică de clickbait, atac cibernetic și discreditare politică

Nicolae Ţîbrigan, despre atacul clonelor pe Facebook – noua tehnică de clickbait, atac cibernetic și discreditare politică

2020-07-09 Off By M9

Începând cu 27 iunie, Facebook-ul fusese practic inundat de anunțuri de donații gratuite „pentru a ajuta oamenii deoarece epidemia de virus CORONA (sic!) a împiedicat multe persoane să lucreze”. Acestea au început să fie distribuite inițial de pe trei pagini de Facebook (inactive), apoi de alte două (lansate pe 2 iulie) – toate fiind clone de pe pagina oficială a Maiei Sandu – lidera Partidului Acțiune și Solidaritate (PAS), scrie Nicolae Ţîbrigan, expert asociat LID, în studiul său care demască eforturile de clickbait ale unor entități obscure.

Astfel, utilizatorii erau îndemnați să participe, chipurile, la o tombolă online unde se vor da bani gratis, fiind de ajuns doar un comentariu cu indicarea sumei dorite sau mesajul „particip, etichetarea unui prieten și/sau distribuirea mesajului în 5-10 alte grupuri” (pe post de factor multiplicator) pentru a crea o adevărată rețea neuronală a campaniei.

Cei care au pus la cale campania au utilizat numele oficial „Maia Sandu”, dar cu diverse variații ale acestuia: Mala Saandu (inactiv), -a (inactiv), Maia Sanddu (activ), Maiia-Sanddu (inactiv) și Sandu (activ), inclusiv pozele oficiale ale politicianei (mai ales cele apărute în presă).

 

În cadrul analizei, am reușit să identific și un pattern comun al acestor clone:

  • Paginile au fost create cu câțiva ani în urmă (din 2017 sau 2018), având cu totul alte denumiri și alte destinații (de exemplu: GBS Indevendent sau Gvghh) – ceea ce ne face să credem că au fost cumpărate recent. Or, schimbarea denumirii paginii coincide exact cu data lansării campaniei pe Facebook (vezi captura);
  • Paginile nu reușesc să depășească 500 de aprecieri și urmăritori. Acestea sunt închise la scurt timp de administratori sau ajung să fie blocate de Facebook după câteva zile;
  • Niciuna din aceste pagini-clonă nu rulează reclame, bazându-se exclusiv pe distribuirile și comentariile utilizatorilor;
  • Textul redactat conține erori gramaticale și de semantică, ceea ce indică faptul că scriptul a fost prelucrat prin Google Translate;
  • Toate paginile rulează același script pe Messenger unde utilizatorul, odată interacționând cu pagina-clonă, primește automat un mesaj că ar fi câștigat o sumă cash și că ar trebui acum doar să se înregistreze pe un site obscur creat pe platforma me (mascat sub denumirea www.maiasandu.com) pentru a primi mult așteptatul „CASH MONEY!”.

Capturi după mesajul pe Messenger în urma interacțiunii cu pagina clonă și site-ul fantomă

Conform datelor platformei de înregistrare a domeniilor Whois, este vorba despre o platformă generatoare de site-uri (SITE 123) cu domeniul înregistrat în 2015 și cu servere în Statele Unite ale Americii (Free Website Builder 100% Off | Create a Free Website – SITE123). Astfel, contra unei sume de bani, oricine își poate face un astfel de site.

Site-ul nu afișează date de identificare, dar în codul paginii vedem că cele două butoane cu ÎNREGISTREAZĂ-TE ACUM și WWW.MAIASANDU.COM trimit către un alt site-capcană (folosit pentru clickbait și redirecționare) ca să descarci automat extensiile StreamAllSearch sau VideozSearch.

 

Ambele extensii reprezintă așa-numite „browsere hijacker”, despre care specialiștii în securitate cibernetică avertizează că pot schimba setările browserului instalat și să te redirecționeze automat către un motor de căutare fals. Mai mult, prin astfel de extensii sunt colectate date de navigare (inclusiv plățile bancare) ale utilizatorului pentru a fi folosite ulterior de diverse terțe părți. De multe ori, astfel de programe pot fi descărcate și instalate pe calculatoarele noastre fără să ne dăm seama. Pentru a scăpa de acești „viruși” maligni, odată ce vi s-a infectat calculatorul, vă recomand să vedeți AICI câteva recomandări ale specialiștilor.

Întreaga anliză o puteţi citi pe stopfals.md.