разбор

«Яндекс» заподозрили в продвижении сайтов-«ловушек» ФСБ для сбора данных о желающих воевать на стороне ВСУ. Спецслужбы правда используют такие приемы?

7 карточек
1

Что случилось?

Гражданские активисты, разработчики Артем Тамоян и Александр Литреев предположили, что несколько сайтов, похожих на сайты легиона «Свобода России» и «Русского добровольческого корпуса» (РДК), на самом деле являются «ловушками» ФСБ.

Из-за того, что эти сайты показывались вверху выдачи «Яндекса», не показывались в поисковой выдаче Google и при этом собирали данные тех, кто потенциально хотел бы вступить в организации, признанные в России террористическими, Тамоян и Литреев пришли к выводу, что «Яндекс» нарочно рекламирует фейковые сайты, которые могут быть связаны с российскими силовиками. Айтишники обвинили компанию в сотрудничестве с ФСБ и помощи в фабрикации уголовных дел об экстремизме и терроризме в отношении россиян.

В настоящее время фейковые сайты, который обнаружил Тамоян, недоступны, однако кэшированные версии все еще находятся на первой строке выдачи «Яндекса», убедилась «Медуза».

Поддельные сайты отличались от настоящих одной буквой в домене. Это типичный прием фишинговой атаки (как правило, ее применяют мошенники, чтобы украсть деньги или данные человека). Как отметил Литреев (он изучил сайты до того, как они были отключены), в отличие от настоящих, на них не были указаны реквизиты для пожертвований. Зато оба сайта имели форму для сбора данных — о поле, возрасте, контактах и местонахождении респондента. Предполагалось, что пользователь может сам отправить информацию через эти формы.

Отключил сайты регистратор (компания, предоставляющая хостинг и доменное имя) — после жалобы Литреева. В «Свободе России» подтвердили, что «Яндекс» показывал фейковый сайт, а не «зеркало» настоящего.

Впрочем, фейковый сайт РДК до сих пор есть в выдаче Bing (поисковик Microsoft) и DuckDuckGo (независимый поисковик, создатель которого в марте 2022 года обещал понижать в выдаче сайты, связанные с российской дезинформацией — правда, не уточнял как), удостоверилась «Медуза».

В отличие от «Яндекса», эти поисковики выдают как настоящий сайт РДК, так и фейковый, и оба они находятся не на первой строке выдачи. «Яндекс» же показывает только фейковый сайт — но первой строкой.

2

А эти «ловушки» точно расставила ФСБ?

Короткий ответ: мы не знаем. 

Очень часто невозможно достоверно сказать, кто именно создал или поддерживает какой-то сайт. Некоторые хостинг-провайдеры и регистраторы доменных имен позволяют скрывать эту информацию или, например, указывать рандомные адреса и номера телефона при регистрации хостинга. Поэтому даже если такие данные указаны, это не означает, что за сайтом стоит именно тот, кто по ним определяется. Более того, чаще всего провайдеры позволяют скрыть все контактные данные. При расследованиях киберпреступлений силовики для установления личности человека могут направлять запросы по постановлению суда напрямую провайдеру — и даже это не всегда помогает в раскрытии.

Что можно сказать достоверно, так это то, что фейковый сайт «Свободы России» был зарегистрирован в декабре 2023-го, а РДК — в августе того же года. При регистрации доменов все данные были скрыты. Регистратором и хостером выступила американская компания Namecheap.

И еще мы знаем, что спецслужбы разных стран действительно используют метод «ловли на живца», или «медовой ловушки» («ханипот» — от англ. honey pot, «горшочек с медом»; именно так фейковые страницы «Свободы России» и РДК назвали в своих постах Артем Тамоян и Александр Литреев), чтобы задерживать преступников или тех, кого они считают неугодными по политическим или иным мотивам. Поэтому ситуация, в которой ФСБ создала бы фейковый сайт и собирала данные тех, кто потенциально хотел бы вступить в подразделения ВСУ, состоящие из граждан РФ, вполне возможна.

3

А откуда вы знаете, что «медовые ловушки» не выдумка?

Этому есть множество примеров, причем как в авторитарных, так и во вполне демократических странах (с сильными спецслужбами).

Например, в Беларуси в начале 2024 года КГБ создал множество фальшивых сайтов, чтобы ловить уехавших граждан. В частности, такие порталы притворялись сайтами оппозиции. На одном из них можно было оставить заявление на получение паспорта Новой Беларуси, рассказывала белорусская служба «Радио Свобода». Проект оказался «успешным»: Следственный комитет Беларуси возбудил уголовное дело против более чем 100 представителей «народных посольств» и просто белорусов за рубежом — якобы те создали экстремистское сообщество. А пропагандист Игорь Тур в марте показал записи разговоров с теми, кто якобы подавали документы на получение документов. Также активистам приходили фишинговые письма о таких паспортах, писало «Зеркало».

Белорусские «Киберпартизаны», организация «Белпол» и другие активисты на протяжении последних лет также неоднократно замечали, что в телеграме появляются копии оппозиционных ботов, которые собирают данные «несогласных». Предполагается, что и за этим проектом стоят спецслужбы.

Расставляют «ханипоты» и на Западе. Одной из самых известных «ловушек» последних лет стала операция Trojan Shield. ФБР и спецслужбы других стран создали «защищенный» мессенджер ANOM. Его широко рекламировали в кругах киберпреступников, наркомафии и на подпольных хакерских форумах. Мессенджер должен был предоставлять пользователям конфиденциальность и защиту от перехвата сообщений. На самом же деле он перехватывал сообщения и передавал их спецслужбам. В рамках Trojan Shield были перехвачены миллионы сообщений. По результатам операции в 2021 году в 16 странах мира были задержаны более 800 подозреваемых.

Другой известный случай ловли киберпреступников с помощью фейкового сайта произошел в 2010 году. ФБР открыло форум Carder Profit, посвященный кардингу. На нем хакеры размещали объявления о продаже и покупке украденных банковских карт. В итоге ФБР собрало информацию о множестве преступников не только в США, но и в других странах мира. В результате были задержаны 24 человека.

Дискуссия о легальности использования «ханипотов» продолжается. Например, законы США и стран ЕС предполагают защиту частной переписки от чтения кем-либо посторонним — в том числе спецслужбами.

4

Но в России-то спецслужбам точно вряд ли кто-то что-то запретит. А что, кстати, вообще известно о «ханипотах» ФСБ?

О том, что ФСБ создает фальшивые сайты для выявления «неблагонадежных», ранее известно не было. Однако российские спецслужбы регулярно используют методы сомнительной легальности. Например, хотя по закону им нужно иметь какие-то подозрения в отношении человека и санкцию суда на прослушку, слежку и другие подобные действия, силовики просто пользуются ботами для «пробива» граждан, сбора информации и предварительного установления личности перед задержанием. В частности, такие меры применялись в отношении тех, кто писал «экстремистские» комментарии в открытых чатах в телеграме. Такие действия спецслужб трудно назвать легальными, однако о них нужно всегда помнить.

Известно также, что силовики используют провокации. Самая громкая — дело «Нового величия» — была устроена в 2018 году. Провокатор Руслан Данилов предложил группе молодых людей создать политическое движение, которое суд позже признал экстремистским сообществом и приговорил фигурантов к большим срокам. Хотя никакой анонимной вербовки через сайт тогда не было, да и само движение не существовало бы без провокатора — суть метода в случае фейковых сайтов может быть аналогичной.

ФСБ регулярно отчитывается о срыве диверсий легиона «Свобода России» и РДК и задержании их сторонников. Как именно силовики получают информацию о готовящихся акциях — и готовятся ли такие акции вообще (или это тоже провокации), — достоверно неизвестно.

5

В общем, такое возможно. А правда ли, что «Яндекс» специально поднимает «ловушки» в поисковой выдаче?

Этого мы тоже не знаем достоверно. Как и любой другой поисковик, «Яндекс» мог бы ответить, что дело всего лишь в том, что фейковый сайт лучше оптимизирован для поисковых целей, чем настоящий. На это указывали и некоторые пользователи твиттера, которые участвовали в обсуждении вскрытого Тамояном и Литреевым явления.

С другой стороны, РДК и «Свобода России» внесены в список террористических организаций, запрещенных на территории России, а их сайты заблокированы Роскомнадзором. Казалось, было бы логично, чтобы «Яндекс» не показывал сайты таких организаций в выдаче. Но на первых строках вместе с фейковыми поисковик выдает настоящие телеграм-каналы организаций. Как и сайты «Медузы» и «Новой газеты Европа», которые заблокированы в России. Правда, настоящие сайты «Яндекс» в выдаче все же не показывает.

А вот другие (не российские) поисковики показывают настоящий и фейковый сайты на соседних строках.

Литреев отметил также, что «ВКонтакте» удаляет запощенные ссылки на настоящие сайты организаций, но не удаляет ссылки на фейковые ресурсы.

6

А как вообще должно быть по закону? Поисковик разве может выдавать ссылки на запрещенные в России организации?

Нет. Еще в 2018 году в КоАП появилась статья 13.40, согласно которой «операторы поисковых систем» не могут выдавать пользователям ссылки на запрещенные сайты. В противном случае юридическое лицо ждет штраф от 500 до 700 тысяч рублей, а при повторном нарушении — от полутора до пяти миллионов.

7

Допустим, все описанное правда. Но что в этом плохого? ФСБ ведь ловит потенциальных солдат армии, с которой воюет…

Мы не беремся оценивать справедливость таких методов (и уж точно не призываем вас вступать в какие-либо вооруженные формирования). Тем более формально «ловля на живца», возможно, даже не незаконна.

Но тревожен сам факт обнаружения такой лазейки. Сегодня спецслужбы расставляют «ловушки» на потенциальных участников вооруженных формирований, но уже завтра их целями могут оказаться гражданские активисты и просто люди оппозиционных взглядов или читатели независимых СМИ, которые по невнимательности задонатят «нежелательной» организации через фейковый сайт. Это порочная практика, которая в теории угрожает широкому кругу «несогласных» внутри страны.

Поэтому всякий раз, когда вы вступаете с кем-то в диалоги на политически чувствительные темы или передаете свои данные, будьте максимально внимательны.

Дада Линделл

Magic link? Это волшебная ссылка: она открывает лайт-версию материала. Ее можно отправить тому, у кого «Медуза» заблокирована, — и все откроется! Будьте осторожны: «Медуза» в РФ — «нежелательная» организация. Не посылайте наши статьи людям, которым вы не доверяете.