Если вы хоть сколько-нибудь времени проводили в приложении Threads от Meta за последний год, то наверняка видели тех, кого я называю «ответчиками Mr Beast»: спам-аккаунты отвечают на популярные посты бессмысленной фразой и некачественным скриншотом британской газеты The Times с вымышленной историей о Mr Beast. Обычно там есть второе, казалось бы, случайное изображение — часто букет цветов с iPhone. У этой формулы есть небольшие вариации, но подобные посты встречаются буквально повсюду.
Как и подавляющее большинство спама в социальных сетях, это часть масштабной схемы криптомошенничества.
Согласно анализу Зака Эдвардса, штатного исследователя безопасности в Infoblox, человек или группа, стоящие за этими аккаунтами, управляют более чем 10 000 вредоносных сайтов «криптоказино». Издание Engadget выявило десятки аккаунтов, публикующих спам-ответы с Mr Beast в Threads, некоторые из которых набрали сотни тысяч просмотров за последние 30 дней. Все эти аккаунты рекламировали сайты, которые Эдвардс идентифицировал как часть одной и той же сети.
Хотя мошенники постоянно используют новые тактики, чтобы заманить людей в финансовые аферы, по словам Эдвардса и Марка Бира, руководителя отдела по работе с потребителями платформы по выявлению мошенничества Malwarebytes, то, как эти посты работают в Threads, необычно. Во-первых, в постах нет очевидных ссылок на рекламируемые мошеннические схемы. Даже странные фразы, появляющиеся рядом с изображениями, вроде «стружка от карандаша завивается как мысли», не похожи на типичный контент криптомошенников, обещающих быстрое обогащение, с которым часто сталкиваются пользователи соцсетей. Но если присмотреться к поддельным скриншотам, можно заметить, что каждое изображение ютубера в низком разрешении сопровождается фейковой новостью о том, что он запускает новый «проект» или «акцию» и раздает деньги, если вы посетите сомнительный сайт.
Скриншот из Threads
Эдвардс полагает, что причудливые привычки публикаций этих аккаунтов — это попытка как избежать обнаружения системами Meta, так и провести стресс-тест типов постов, которые с наибольшей вероятностью получат охват. «Эта сеть — монстр для A/B-тестирования», — сказал он Engadget, имея в виду их способность пробовать разные вариации одного и того же контента, чтобы определить, какой из них более эффективен. «Эти злоумышленники, вероятно, поняли, что их домены слишком быстро обнаруживаются, когда они вставляют их прямо в пост, поэтому они придумали этот странный процесс: прятать домен и заставлять человека чувствовать, будто он участвует в квесте. Если вы продвигаете просто изображение, а рядом находится малозаметная ссылка, многие системы [автоматического обнаружения на базе] ИИ могут ее пропустить».
Мошенники, использующие имя Mr Beast, по-видимому, также научились оптимизировать свой спам под уникальные особенности алгоритма Threads. Ответы на популярные посты — проверенная стратегия для получения видимости в Threads; в Meta заявляли, что половина просмотров в Threads приходится именно на ответы. Бессмысленные фразы и скриншоты в низком разрешении, которые часто требуют увеличения, чтобы рассмотреть их как следует, вероятно, заставляют пользователей дольше задерживаться на публикациях. Все это может стать рецептом для получения алгоритмического охвата.
«Они пытаются «кормить» алгоритм, а у каждой платформы он свой», — говорит Марк Бир из Malwarebytes. Хотя Бир отметил, что не знаком именно с этой конкретной сетью криптомошенников, его не удивила их зацикленность на Mr Beast. По его словам, Mr Beast сейчас является одной из самых вездесущих публичных фигур в мошеннических схемах: упоминания этого ютубера встречаются чаще, чем других часто используемых знаменитостей, например, Илона Маска.
Скриншот
Многие из этих мошеннических сайтов (как тот, что выше) представляют собой простые схемы с депозитами, говорит Эдвардс. Сайты обещают некое «бесплатное вознаграждение» или бонус за регистрацию, чтобы побудить людей создать аккаунты. Как только они регистрируются и получают свои бонусные кредиты — один из сайтов, посещенных Engadget, пометил их как «бесплатные деньги» — им предлагают множество онлайн-слотов и других простых игр. Сайты утверждают, что пользователи могут выводить и вносить средства в любое время, заманивая их предоставить данные кредитных карт или подключить криптокошельки.
После ввода предполагаемого промокода из спама Mr Beast на одном из таких сайтов мне сообщили, что я «среди победителей нашей акции $10M Bonus Event» и выиграл $3000. Для вывода этого выигрыша требовался только адрес кошелька или номер кредитной карты. Это соответствует схеме, описанной Эдвардсом.
«Обычно это выглядит так: зарегистрируйтесь, получите бонус на депозит, затем вам начинают показывать фальшивые доходы и подталкивают внести еще больше денег», — объясняет он. «Они не ищут долгосрочных отношений с жертвой, им нужны быстрые деньги».
Неясно, сколько людей попадаются на эти уловки. Анализ более чем 10 000 доменов, собранных Эдвардсом, показывает, что многие из этих предполагаемых криптоказино имеют крайне низкий трафик. Но в Threads несколько аккаунтов, публикующих спам-ответы с Mr Beast, получили почти миллион просмотров за последние 30 дней, согласно публичным метрикам просмотров Threads. Некоторые из этих аккаунтов, по всей видимости, были взломанными страницами обычных пользователей, в то время как другие были относительно новыми и, казалось, не имели иной цели, кроме продвижения сайтов казино. Некоторые из них также часто публиковали полусекундные порноролики со ссылками на Telegram-каналы, рекламирующие «Threads Hot Video 18+». (Интересно, что посты с порноклипами не отображаются в приложении Threads, хотя их можно увидеть на сайте threads.com).
Скриншот
Эдвардс, отслеживавший подобные кампании на других сайтах, подозревает, что мошенники активны не только в Threads. Посты в Threads имеют некоторые сходства с волной спама, которая атаковала Discord в прошлом году, и есть некоторое пересечение между вредоносными доменами, продвигаемыми на обеих платформах. Он также отметил, что многие из последних обнаруженных им сайтов содержат как рекламу X, так и Meta Pixel, который позволяет рекламодателям Facebook отслеживать действия пользователей на их сайтах. «Я уверен, что они тратят значительные суммы денег на рекламу», — говорит он.
Неясно, насколько в Meta осознают масштаб проблемы со спамом, связанным с Mr Beast. Хотя компания, по-видимому, удаляет некоторые аккаунты, связанные с этой группой, частота появления подобных постов вызывает вопросы об эффективности контроля.
Скриншоты поддельного раздела «Бизнес» газеты The Times появляются уже больше года. Это даже стало своего рода внутренним мемом на платформе. «Кто-нибудь еще считает, что ваш пост «добился успеха», когда под ним начинают появляться спам-комментарии с Mr Beast?», — написал один пользователь в апреле. «Детка, проснись! Новый спам с Mr Beast вышел», — написал кто-то в начале этого месяца, когда появилась новая вариация скриншота с Mr Beast — на этот раз с поддельной статьей CNN.
И Эдвардс, и Бир утверждают, что Meta должна быть способна обнаруживать подобные кампании, даже если мошенники используют скрытные методы для маскировки ссылок. Meta не предоставила комментариев Engadget на момент публикации этой статьи.
«У Meta отличные модели обнаружения ИИ, у них очень, очень хорошая модель для этого в Facebook», — говорит Бир. «Все сводится к вопросу приоритетов. Если эта тактика все еще работает и работает в течение долгого времени, значит… ее исправлению не отдали приоритет».