挖掘网络水军的工具早已成为全球多数希望维护民主进程的国家的重点兴趣。这项工作的第一步就是要确定水军的身份,它们的幕后是什么人?它们的具体任务是什么?任何集中化的审查都不是解决方案,更何况这些审查的不透明和混乱状态找已严重威胁了言论自由。公民应该自己掌握一套方法来验证水军,这就是 OSINT 技术派上用场的一方面
2018 年6月,一个基本上不怎么活跃的 Twitter 帐户 @viepepere(存档链接)向 @_rabbindesbois_ 发送了一条威胁性信息(根据他最近出版的书。他是法国人,著名前暗网供应商)。这条信息是俄语的,“ Мы знаем, что вы делаете. Вы не должны были говорить. Глаза на вас. Руки скоро.”大概意思是“我们知道你在做什么。你不需要知道我们是谁。我们正在关注你,并会迅速做出反应”。根据一位讲俄语的朋友说,这句话的结构很奇怪,这可能意味着发布者不太了解俄语,使用的是谷歌翻译,或者来自前苏联国家。
仅这一点就可以把它变成另外一个故事,但让我们先专注于那个特定的帐户,一分钟。
对推特的 OSINT 调查
乍一看这个帐户挺普通的,我们看到一个年轻的法国女孩,显然居住在巴黎(封面图片显示的是艾菲尔铁塔夜景,个人资料图片的背景显示的奥斯曼建筑物也是可用的提示)。
仔细观察,简介上写着她是穆斯林,“反对墨守成规”,使用 #musulmans(#muslims),#Marine2017(极右候选人),#islamophobie,#islam 等主题标签。
到目前为止没有什么太奇怪的,不过我们都知道水军巨魔在这个社交网络上非常常见。
并且,对于她的个人资料图片来说,看起来有点不对。
使用反向谷歌图像搜索没有找到任何特别的内容,因此这很可能是一个私人图像(不是从网上挖的)?
没这么简单。
并不需要你是一个 Photoshop 专家才能看出,这个女孩的头部影像是被裁剪过的,可以注意到她的头发周围有一种奇怪毛刺效应。验证图片是否过修改,这非常容易(别急,文末我们会总结一个 IYP 曾经介绍过 OSINT 工具列表)。
她的背景图像确实是在巴黎。细心的观察者可能会认出左下方的 Pont d'Iéna 和背景中高大的 Grenelle 塔。
开启地理空间情报 GEOINT 。谷歌地图是一个很棒的工具,我们可以确定这张照片的确切位置:靠近巴黎10 Avenue d'Iéna 的香格里拉酒店。
我们可以确认背景是从香格里拉酒店的套房露台位置拍摄的照片。
现在·你需要注意的不是建筑物那种不能动的东西,而是天空中的云。显然,原始图像在某种程度上被调整大小/修改/旋转,处理过了(可能作为保护,以避免被反向搜索检测)。这证明了个人资料图片是假的,并经过了精心的编辑,使其看起来特别像真的。
你可能会问,后来这个帐户的内容怎么样?好吧,它充斥着针对法国极右翼的仇恨消息:
当一个反法西斯主义者和右翼活动家成为“朋友”
被提及和转发最多的用户之一是 @oummoriste(存档链接),与 @viepepere 角色完全相反。这个“oummoriste”帐户似乎是一个极右翼的同情者,还有一些伊斯兰恐惧症的推文(“ISLAM GO TO HELL!”)。
那么他们之间是否有联系呢,是否由同一团体/个人操作?看看我们知道什么:
他们都使用小写的 screen_name,但所有大写的名称都显示为“ISLAM,MON AMOUR” 和 “VIVE MARINE”;
两个账户分别于2016年10月1日和10月2日连续创建;
两者都只使用 Twitter Web 客户端(从元数据中可以看出);
两者都在发送有关法国选举主题的信息,例如(主要是)移民和伊斯兰教;
他俩互相关注;
两者都以一种奇怪而令人尴尬的方式相互交流;
他们有着相同的活动日历(见下文);
两者都使用类似的电子邮件地址 loCon@gmail.com:
互动和活动
这两个角色最能相互影响,但也跟随了很多 alt-right 主义者和极右翼活动家(法语中的“fachosphère”) - 现在很多账户被暂停(@AigleDissident,@ corsica_lena,@ JeremPatriote,... )他们都与大约相同数量的账户进行交互(@viepepere 和 @oummoriste 分别为 93个和88个),这可能意味着他们在这个宣传任务中的工作量相同。
两个帐户有着很多大致相同的主题标签
#IslamHorsDEurope (23, 5%)
#Marine2017 (17, 3%)
#Sarkozy (15, 3%)
#Paris (14, 3%)
#Presidentielle2017 (11, 2%)
#Primaire2016 (10, 2%)
#folloback (10, 2%)
#Juppe (10, 2%)
#CCIF (10, 2%)
#Hollande (9, 1%)
活动分析
我们可以大致推测活动可以与 UTC + 3 时区相匹配,活动开始于 UTC 时间 06:00 左右(当地时间上午9点)、中午和当地时间的午休时间。
通过上图你能看到,这些账户在法国大选初选阶段非常活跃(2016 年10月13日的第一次公开辩论)。在2017年4月23日(第一轮)总统选举前几周再次活跃起来。请注意 2016 年10月至 2017 年4月期间的长时间休眠状态,这对任何类型的普通账户来说都是不正常的。
隐蔽的 PSYOPS 在行动
机器人或虚假账户可以采用几种方法来操纵大众:伪装基层、传播假消息、挑衅他人(为什么我们称之为“tolls”)和各种社交工程技术。这些角色假装成法国人,把法国选民推向极端化。
移民是一个热门话题,而且一直都是。考虑到法国的政治格局,难怪这是一个激进叙事的黄金话题。我们看到极右翼在整个欧洲获得了更多选票,而且我们都知道这些极右翼政党希望退出欧洲。毕竟,脱欧运动可能是俄罗斯的第一场胜利。虚弱的和分裂的欧洲可能意味着更强大的俄罗斯。
梳理
到目前为止我们都得到了哪些情报数据?
俄语推文最近的账户活动是在一年前 [事实];
匹配的 UTC + 3(莫斯科)时区 [中等信度];
尽管使用了俚语,但还是出现了一些不同寻常的法语语义错误。奇怪的是,很多推文都是英文的(大约 14%)。这可能意味着一个外国人正在写法语信息 [低信度];
一种非常零星的活动状态,其模式与法国政治日历相匹配 [高信度];
精心设计的个人资料图片,可能是为了避免被怀疑并使其看起来合法 [高信度];
账户创建于2016年10月,法国“选举期”的宣传活动时段 [事实];
人物角色严重依赖主题标签来提高他们的推文的可见性 [高信度];
帐户被用来激发和挑衅极端主义者(针对极左翼和极右翼活动家)[高信度];
帐户语言(lang属性)设置为 fr 或 en(法语或英语)[事实];
都是仅使用 Twitter Web 客户端的帐户(即通过网络浏览器使用 www.twitter.com),可以很容易与“匿名”工具结合使用,例如 Tor 或 VPN /代理 [低信度];
总的来说,我们可以高度自信地宣称这个特定的网络至少由两个被远程操作的假人物组成,目的是煽动种族或宗教仇恨。
在集中化社交媒体状态下,宣传和心理战已经被很多国家所钟爱,对俄罗斯来说它是外交政策的关键力量,特别是或多或少地公开使用 trolling。克里姆林宫试图通过制造混乱、引发恐惧和削弱对民主的信任来实现政策瘫痪。
俄罗斯有可能是头号嫌疑人,但我们先考虑下其他选项。现在知道 Rabbin des Bois(最初的威胁信息接收者)是犹太人,并且在以色列有许多讲俄语的犹太人。于是我们也很容易怀疑是以色列(该国同样匹配 UTC + 3 时区)。
再看看这里行动的明确目的,是使目标国家的极化。我们注意到在美国发生了同样的事,其中明显使用针对两个对立政党的 Facebook 广告,并且大量使用 memes 试图使信息更容易被传播。
一个彻底两极分化的国家会变得麻木、无法改变或采取任何重要的政治决定。推特水军制造分化实际上是一个非常高效的长期战略,以推动一些对手的政治议程。
这种新型的网络战可不仅仅是一场软战。它还可以通过改变少数人的思想来影响整个国家的议程,然后慢慢地征服其余部分,直到达到临界点。通过挑衅来自对立派系的双方,你正在为火灾添加燃料。
影响评估
两个被检测到的“巨魔”帐户相对低调,几乎没有追随者、只有极少数的转推。在这个特定的网络中,我会说他们影响力很小,但很难给出任何有价值的指标。大多数推文都没有被转发,这意味着整体可见度可能很低。我个人并不认为这个特定的网络在影响人们方面有任何成功。
但是,如果在法国和整个欧洲都有成百上千个这种小型的人物角色激发极左翼和极右翼,可能会是什么样的结果?
需要想到,你能看见的有可能只是一片树叶,而它的背后是整个森林。于是你可能还需要更多的追踪工作。
附:IYP 的 OSINT 资源、工具和调查演示资源列表(一直在不断补充中)
《开源调查工具库》
另,
IYP 的资源和能力都非常有限,我们对中国的了解程度也非常低。但是我们有技术,有想法,这些技术和想法在全球都是通用的。我们一直致力于将这些技术贡献给中国的朋友,那些对中国最了解的人们。非常期待能看到来自中国的优秀调查报告。捍卫真相!民主需要知情。◾️
感谢帮助 iYouPort!
PayPal 捐赠渠道已开通 https://paypal.me/iyouport