- 有一些信号会透露可疑的线索,顺着这些线索前进,直到暴露一个大的网络
欢迎回来!
如果您错过了前面的内容,可以在这里回顾:
在处理任何怀疑为信息战水军的协调性行动时,公民调查的一个关键问题是判断该行动的规模有多大,传播范围有多广。这与衡量一个行动的影响是不同的,后者也很重要:对于公民调查来说,就是要找到目标行动本身所运行的账户和网站。
调查人员的目标是在报告之前找到尽可能多的相关行动,因为一旦行动被报告,信息战行为者可能就会躲藏起来 — — 有可能通过删除或放弃其他资产。所以,调查要低调。
链条上的第一个环节
在任何调查中,第一条线索都是最难找到的。通常情况下,调查会从相关用户或(更罕见的是)社交媒体平台提供的线索开始。比如针对美国退伍军人的虚假信息战的调查始于美国越战老兵组织的一名成员发现其团体被一个Facebook页面冒充,该页面的粉丝数量是他们在平台上真实存在的两倍。
靠自己的资源来识别链条上的第一个环节,并没有唯一的规则。最有效的策略是寻找不协调的地方。它可能是一个表面上位于田纳西州的Twitter帐户,但注册的是一个俄罗斯手机号码;或者它可能是一个声称位于尼日尔的Facebook页面,但在塞内加尔和葡萄牙管理。它可能是一个拥有百万浏览量的 YouTube 账号,在2019年发布大量亲中国内容,但几乎所有浏览量都来自2016年上传的英国情景喜剧集。
它可能是一个关注美国外交政策的匿名网站,但注册地是俄罗斯联邦远东军区财务部。它可能是一个所谓的 “军情六处特工” 的采访,用呆板的、几乎是莎士比亚式的英语表述。它甚至可能是一个推特账号,在邀请访问色情网站时,夹杂着简·奥斯汀《理智与情感》中不完整的引文 ……
所有这些信号的诀窍是花时间去思考它们。公民调查人员经常会受到时间的压力,以至于很容易用 “这只是特例” 来否定不一致的信号,然后继续前进。通常情况下,如果某件事很奇怪,那肯定是有原因的。花时间想想为什么会这样,这可能是暴露新线索的第一步。
资产、行为、内容
一旦确定了最初的资产 — — 如账户或网站,下一步面临的挑战是找出它的方向。在这里,有三个问题是至关重要的:
- 关于该资产的初始信息有哪些?
- 该资产的行为如何?
- 它发布了什么内容?
第一步是尽可能多地收集关于初始资产的信息。如果它是一个网站,它是什么时候注册的,由谁注册的?它是否有任何可识别的功能,如 Google Analytics 代码或 AdSense,注册邮箱地址或电话号码是什么?这些问题可以通过参考WhoIs记录来检查,这些记录由 lookup.icann.com、domaintools.com、domainbigdata.com 或 spyonweb.com 等服务提供。
上图,自称 “青年分析团” 的网站 NBeneGroup.com 的网络注册信息,显示其注册地为俄罗斯联邦远东军区财务部,来自 lookup.icann.org。
网站信息可以用来搜索更多的资产。domaintools.com 和 spyonweb.com 都允许用户通过IP地址和谷歌分析代码等指标进行搜索,不过现在更精明的信息操作通常会将其注册隐藏在商业实体或隐私服务的背后,这就增加了难度。
如果初始资产是一个社交媒体账户,那么就适用于这里的分析方法《如何分辨:机器人、僵尸网络和 trolls》。查看该账户是何时创建的?它的名称是否与ID名一致?如果ID是 “@moniquegrieze”,而名字是 “Simmons Abigayle”,那么可能需要怀疑该账户是被劫持的,或者是大规模创建账户的一部分。
它是否提供了任何可验证的简历细节,或与同一平台或其他平台上的其他资产之间的关系?如果是 Facebook 页面或群组,谁在管理它,参与者都在哪里?它关注谁,谁关注它?Facebook 的 “页面透明度” 和 “群组成员” 设置通常可以提供有价值的线索,Twitter的个人资料功能,如加入日期和推文和点赞的总体数量也有线索价值。(在 Facebook 和 Instagram 上,无法看到账户创建的日期,但其第一张个人资料图片上传的日期提供了一个合理的替代线索)。
上图,假装成事实调查网站的 “C’est faux — Les fake news du Mali” 其实是来自马里的虚假信息网站,检查其网站注册和 Facebook 页面透明度,显示它声称由马里的一个学生团体运营,但实际上它是由来自葡萄牙和塞内加尔的人管理的。
一旦记录了资产的细节,下一步就是对其行为进行定性。这里的测试问题是:“这个资产最典型的行为特征是什么,可能对识别同一行动中的其他资产有用吗?”
这是一个范围很广的问题,可以有很多答案,其中一些可能只有在调查的后期阶段才会出现。例如,它可能包括YouTube频道,这些频道有西方人的名字和个人资料图片,但发布的是中文政治视频,其中夹杂着大量的TikTok短视频。它可能包括Facebook或Twitter账户网络,这些账户总是分享指向同一网站或同一网站集合的链接。它可能包括在其个人简介中使用相同措辞或接近相同措辞的账户。它可能包括没有可核实成分的简历细节,或提供的细节可被识别为虚假的 “记者” 角色。它可能包括那些从其他网站抄袭大部分内容的网站,只是偶尔插入一些党派、论战或欺骗性的文章 …… 它可能包括许多这样的因素。调查者面临的挑战是确定各种特征的组合,以便足够确认:“该资产是此次信息战行动的一部分。”
上图体现了行为模式:一篇文章最初发布在伊朗阿亚图拉·哈梅内伊的网站上,然后由 IUVMpress.com 和 britishleft.com 转载,未注明出处,这两个网站都在伊朗的宣传网络中。
有时候,缺乏可识别性特征本身也是一种识别特征。从俄罗斯发起的 “Secondary Infektion” 运动就是如此。它在不同的博客平台上使用了数百个账号,所有这些账号都只包含极少的个人履历,在创建的当天就发布了一篇文章,然后就被抛弃了,再也没有被使用过。这种行为模式在如此多的账号中非常一致,足够确认这是一场统一的行动。
上图,Reddit上一个名为 “McDownes” 的账号的资料,被Reddit归结为俄罗斯 “Secondary Infektion” 行动。该账号创建于2019年3月28日,创建后仅1分多钟就发布了一篇文章,然后就沉寂了。
内容线索也可以帮助识别属于同一信息战网络的资产。如果一个已知的资产分享了一张照片或meme,那么值得反向搜索该图片,看看它还在哪里被使用过。用于网络浏览器的 RevEye 插件是一个特别有用的工具,它可以跨平台进行反向图片搜索。使用多个搜索引擎总是值得的,因为它们经常提供不同的结果。
在本系列第1集中看到具体做法,以及其他方法《5个简单方法快速检测造假照片》。
如果一个资产共享一个文本,值得搜索该文本是否在其他地方出现。特别是对于较长的文本,最好从第三段或第四段,或者更后一段中选择一两句话进行搜索,因为这些信息战推手需要短时间内发布大量内容,于是它们经常彼此复制粘贴文本,仅做极少的编辑,以令调查者难以追踪,但不会全部重写。在谷歌搜索中用引号插入所选句子,会返回完全匹配的内容。“工具” 菜单还可以按日期对任何结果进行排序。
发布带有错字的文本内容的目标具有特别的价值,因为就其性质而言,错误比正确拼写的单词更不寻常。例如,一篇疑似俄罗斯情报行动的文章将俄罗斯前特工谢尔盖·斯克里帕尔被毒死的英国城市 Salisbury 写成了 “Solsbury”。这使得谷歌搜索的针对性更强,因此,它产生的重要发现比例要高得多。
有了内容线索,再继续看其他指标,比如行为模式,确认一个资产是否属于一个协调性信息战操作尤为重要。不知情的用户分享信息有很多合法的理由,这意味着分享被操纵的内容是一个弱信号;例如,许多用户分享了俄罗斯互联网研究机构的备忘录,因为这些备忘录具有真正的病毒式传播的品质。简单的内容分享本身并不足以定性信息战资产。
收集证据
对于调查者来说,比较令人沮丧的经历之一就是看到一个信息战资产集合在调查的中途消失。因此一个关键的分析规则是,当您发现它们时,就要随手记录它们,因为它们随时都会消失。
如果真的没来得及保存,还有一些补救的机会,使用这里的方法《如何快速找到你想要的东西:追踪数字证据的小技巧》;但快速保存总是最好的,见这里的方法《手慢无:如何抢在信息被遮挡、污染或完全消失之前捕获它们?》。
不同的研究人员对记录自己的发现有不同的偏好,不同的操作随着具体需求的不同发生变化。电子表格对于记录大量资产的基本信息很有用;共享云文件夹对于存储大量截图很有用。如果需要截图,立即给文件起一个可识别的名字至关重要,以方便您随后的查询。文本文件很适合记录混合信息,但如果信息量很大的话,很快就会变得杂乱无章,不堪重负。
不管是什么格式,有些信息总是应该被记录下来的。这些信息包括该资产是如何被发现的(一个基本点),它的名称和URL,它的创建日期(如果知道的话),以及追随者、关注者、点赞和/或浏览量。记录还需要包括对相关资产的基本描述,描述必需方便您的理解,在您看了100个其他资产后还能回过头来找到它。如果在一个团队中工作,分工是必要的,并记录下哪个团队成员专注于调查哪些信息战资产。
可以通过使用存档服务(如 Wayback Machine 或 archive.is)来保存链接,但要注意存档不要暴露真实用户,比如,如果一个转发者是真实用户,您的存档就不应该将该转发者包含进来;并确保存档链接保存了视觉效果,或者拍下截图作为备份。确保所有记录都存储在受保护的位置,如受密码保护的文件或加密存储。追踪谁有访问权,并定期检查访问情况。
最后,值得给可疑目标打一个信心分。信息战运营经常会找到不知情的用户来放大他们的内容:事实上这往往是重点 — — 您有多确定最新的资产是这次运营的一部分,为什么?信心度(高、中、低)应作为单独的条目标记,并将原因添加到注释中。
归属和信任
查明一项信息战行动的最大挑战在于如何将其归于一个具体的行为者。在许多情况下,准确的归属是开源调查无法做到的。最好的办法是在一定程度上确信某项行动可能是由某一特定行为者经营的,或者各种资产属于某一特定行动,但利用开源调查很少能够确定谁是行动的幕后主使。
网络注册、IP地址和电话号码等信息可以提供确定的归属,但除了社交媒体平台外,这些信息往往被掩盖。所以联系相关平台是调查工作的重要组成部分。这种时候利用地缘政治逻辑是有好处的,比如调查中国和俄罗斯的信息战组织时,寻求与美国巨头服务的合作;虽然反过来就无法进行了,因为其他国家的信息战行动不会使用中国和俄罗斯的平台。
内容线索也能起到一定的作用。例如,2019年10月在Instagram上曝光的一个行动发布的备忘录与俄罗斯互联网研究机构发布的备忘录几乎相同,但去掉了爱尔兰共和军的标记。这种试图掩盖爱尔兰共和军帖子来源的做法表明,其幕后人正是爱尔兰共和军。
同样,一个庞大的看似独立的网站网络反复张贴从伊朗政府来源复制的文章,但没有注明来源。这种模式如此反复,以至于成为这些网站的主要活动。因此,可以将这一行动归咎于亲伊朗的行为者,但无法进一步将其归咎于伊朗政府本身。
归根结底,归属是一个自我克制的问题。调查者必须想象这样一个问题:“你如何证明这次行动是由你所指控的人操作的?” 如果不能很有信心地回答这个问题,就应该避开提出指控。识别和揭露一个信息行动是一项艰难而重要的工作,如果做出一个证据不足或不准确的归因,就会破坏您的一切工作。以色列的调查就这样被内塔尼亚胡倒打一耙了。
在这里看到一个案例演示《追踪政府宣传战的内幕:跨平台网络分析的数字取证案例》。⚪️
—— 未完待续 ——