Что делать, когда бизнес подвергается интернет-атаке? (анализ и выводы на основе реального нападения)

В начале июня Приватбанк подвергся своеобразной интернет-атаке. Нападение заключалась в рассылке электронного письма с информацией о проблемах банка. Можно предположить, что цель злоумышленников заключалась в том, чтобы «достучаться» до журналистов онлайн-СМИ, а затем, возможно, до печатных изданий и телевидения.

Оставив в стороне в стороне рассуждения о мотивах атакующих, я хочу проанализировать пути и характер распространения подобных слухов в Интернете. Подобное исследование может оказаться полезным при прогнозировании аналогичных событий в будущем, а также для выработки рекомендаций о том, как противостоять дезинформации в случае, если акция приобретает масштабный характер.

Хронология интернет-атаки

Как уже было сказано, отправной точкой стало распространение письма по электронной почте с информацией о банкротстве банка, вызванном манипуляциями со счетами банка. По данным из некоторых источников вторым каналом появления слуха была рассылка сообщения в ICQ.

11 июня в 8:10 информационный ресурс Delo.ua опубликовал новость под заголовком «ПриватБанк атаковали интернет-хулиганы» с комментарием пресс-секретаря ПриватБанка Олега Серги.

Несколько позже эта заметка была перепечатана на страницах «Украины Криминальной», УкрРудПрома и Корреспондента. Также заметку скопировал Ukrbiz.net, но уже со ссылкой на Корреспондент.

Затем новость появилась на сайтах news.tut.kiev.ua, Теsted.TV, ITnews, Uabanker.net. В качестве источника фигурировали разные сайты, хотя все новостные заметки были копией новости с веб-сайта Delo.ua.

Второй точкой входа новости в сетевое информационное пространство послужил "Новый Регион – Киев".

Заметка на этом веб-ресурсе была опубликована в 10:08. Не исключено, что журналистка Нового Региона воодушевилась новостью из Delo.ua. Однако автор новости провела собственный анализ событий. Материал содержит цитату из письма, разосланного злоумышленниками, а также комментарии советника председателя правления «Приватбанка» Виктора Лисицкого. Впоследствии именно этот материал был подхвачен большим количеством сайтов, среди которых веб-ресуры с высокой посещаемостью: Alloy новости, Заvтра, КИД (zadonbass.org).

Кроме того, «Новый Регион» разослал заметку подписчикам своих электронных рассылок и опубликовал ее информации в дневнике на livejournal.com. Распространению новости также способствовала трансляция на порталах news.meta.ua, news.a.ua, redtram.ru, uaport.net.

Свою версию событий представили информационные агентства NOHCHI.VU, HITech.Expert, а также авторы нескольких независимых блогов.

Масштабы интернет-атаки

Новость была подхвачена более чем 30 веб-ресурсами, из которых у 5 порталов посещаемость более 10 тыс. посетителей в день. Как минимум у 10 порталов ежедневная посещаемость составляет от 2 до 10 тыс. посетителей.

На сайтах онлайн-СМИ каждому посетителю достается только кусочек информационного потока. Точный расчет аудитории, которую охватила рассматриваемая информационная волна, невозможен. Тем не менее, можно сделать приблизительную оценку на основании публичных данных рейтинга bigmir.net на 11 июня, статистической информации и собственных наблюдениях о распространении новостных материалах в украинском сегменте Интернета.

По моим выводам объем аудитории, прочитавших новость 11 июня, составляет от 3 до 6 тыс. человек.

Продолжительность жизни новости в Интернете составляет 2 дня. При этом процент просмотров новости на второй день составляет в среднем 20% от просмотров первого дня.

Таким образом, примерное кол-во человек, прочитавших новость за два дня 11 и 12 июня, составляет 3600 – 7200 человек.

Гений рекламного бизнеса Дэвид Огилви писал, что людей, читающих только заголовки, в 5 раз больше, чем тех, кто читает тексты. Эта информация подтверждается статистикой. Таким образом, можно полагать, что заголовок видело более 18 тыс. интернет-пользователей.

Особенности интернет-атаки

Одним из интересных явлений распространения слуха с участием интернет-СМИ является трансформация информации от сайта к сайту.

В рассматриваемом случае текст новости на большинстве сайтов перепечатывался без особых изменений, но при этом варьировались заголовки. Законы журналистики таковы, что заголовки должны быть "привлекательными" для читателей. Заметка в Delo.ua, послужившая источником первой волны распространения слуха, имеет осторожный описательный заголовок: «ПриватБанк атаковали интернет-хулиганы». Спустя два с половиной часа журналисты Корреспондента дали тот же материал с заглавием «ПриватБанк или ограбили или оклеветали». Это заглавие уже нельзя назвать нейтральным, так как в нем содержится явное подозрение – а вдруг Приватбанк действительно ограбили.

Назначение заголовка в том, чтобы кратко информировать о содержании материала. Поэтому закономерно, что у читателей выработана привычка делать выводы о содержании материала исключительно по его заголовку. Таким образом, заголовок типа "ПриватБанк или ограбили или оклеветали" может зародить сомнение. А сомнение зачастую и являются целью кампании по черному PR. Заголовок сайта Заvтра "Приватбанк – банкрот!" вообще не оставляет места для иной трактовки событий.

Заголовки можно условно разделить на 3 группы: позитивные, нейтральные и негативные.

Пример самого негативного заголовка "Приватбанк – банкрот!", нейтрального: "Над ПриватБанком пошутили интернет-хулиганы", позитивного: "Банкротство "Приватбанку" пока не грозит". В рассматриваемом случае около 20% заголовков имеют негативный характер, менее 10% — позитивный, остальные заголовки нейтральны.

В то же время, содержание всех статей является нейтральными либо позитивными, ни один сайт не дал заметку в духе оригинального письма злоумышленников.

В другой ситуации, при наличии существенного информационного повода, СМИ могли повести себя иначе.

Вторым аспектом воздействия подобной атаки является повторение статьи на разных веб-сайтах. Для читателя не является очевидным факт, что, по сути, мы имеем дело с незначительным количеством источников новости. При перепечатке статей с изменением заголовков может создаться впечатление, что все интернет-сайты "трубят" об одном и том же. Как отмечает известный психолог Н.И. Козлов: "Массы никогда не увлекаются логикой речи, но их впечатляют чувственные образы, которые рожают определенные слова и ассоциации слов. Их сосредоточенно произносят перед толпами, и немедленно на лицах появляется уважение, головы склоняются. Грамматика убеждения основывается на утверждении и повторении". В нашем случае имеет быть место как утверждение ("Банк — банкрот!") так и повторение новости на веб-страницах различных СМИ.

Гораздо больший резонанс вызывают новости, подхваченные не только интернет-СМИ, но также печатными изданиями и телевидением. В рассматриваемом случае новость, скорее всего, попала только в газету Дело (судя по ссылке на источник в статье).

Аналоги

Известно, что подобные информационные атаки случались в украинском сегменте и раньше. Доподлинно известна аналогичная атака на Приватбанк в марте 2004 года.

Как отмечает HITech.Expert: «В истории украинского Интернета только однажды информационная интернет-атака вызвала определенные проблемы у коммерческого банка «Мрия», подконтрольного на тот момент Петру Порошенко в 2004 году. Однако она начиналась с размещения провокационной новости о ликвидации банка на популярных новостийных информационных ресурсах, которая была оперативно подхвачена ТВ и СМИ.». По информации HITech.Expert объем изъятых вкладов из банка исчислялся несколькими десятками миллионов гривен».

Влияние информации, опубликованной в сети, может иметь для компании и более существенные последствия.

16 мая в англоязычном блоге Engadget была опубликована информация о том, что выпуск новых продуктов компании Apple будет задержан на несколько месяцев. Как сообщает автор блога, данная информация пришла в веб-редакцию в виде конфиденциального электронного послания, первоначально разосланного сотрудникам компании Apple.

Один из работников компании переслал электронное письмо журналистам ресурса. Как мы видим, завязка этой информационной атаки аналогична началу атаки на Приватбанк. Однако последствия публикации в Engadget значительно серьезнее.

В течении 6 минут после публикации заметки курс акций Apple рухнул на 3%. Акционеры компании начали паниковать и избавляться от акций, что привело к тому, что капитализация компании в считанные минуты уменьшилась на 4 млрд. долларов. Реакция компании в этой ситуации была достаточной быстрой: Apple связалась с редакцией блога и тест новости был изменен. Авторы заметки признали, что основывались на непроверенных данных. В результате устранения источника ложной информации, цена акций поднялась практически до первоначальной величины. К моменту закрытия биржи стоимость акции Apple практически соответствовала цене на акции на момент открытия биржи.

Существуют подозрения, что распространение фиктивного письма было спланированной акцией, которая помогла заинтересованной стороне совершить весьма выгодную сделку на фондовой бирже.

Данный пример показывает, с какой скоростью распространяется информация в интернет-среде и какие последствия может иметь дезинформация для компании.

Выводы

Ход развития рассматриваемой информационной атаки можно разделить на два этапа:

  1. Рассылка спама
  2. Копирование новости в онлайн-СМИ

О масштабности первого этапа известно мало, но очевидно, что распространение новости на сайтах информационных порталов позволило охватить существенно большую аудиторию.

Копирование новости продолжалось не больше шести часов. Всего несколько материалов появилось позже. Источников входов в информационное пространство всего 2: заметка сайта Delo.ua и новость в «Новом регионе».

По моему мнению, акция не могла иметь значительных последствий по следующим причинам:

  1. Информационный повод, придуманный злоумышленниками, неправдоподобен.
  2. С самого начала рассылка сообщения по электронной почте выглядела как спам. Оценка действий спамеров в обществе крайне негативна. Поэтому распространение письма, расцененного журналистами и читателями как спам, не могло быть воспринято серьезно.

Информационная волна охватила от 0,5 до 1% пользователей Уанета. Атаку можно признать мелкомасштабной и непрофессиональной. Действия Приватбанка в этой ситуации были абсолютно правильными. Если вы подверглись непрофессионально подготовленной информационной атаке, лучшей рекомендацией является простое игнорирование событий.

Но что делать, если за акцией стоят профессиональные специалисты?

Одной из немногих попыток проанализировать аналогичное событие было сделано Ярыной Ключковской в журнале Комп&ньон. Автор дает советы компаниям, подвергнувшимся информационной атаке. В частности, говорится о публикации официального опровержения на официальном веб-сайте компании и в печатных СМИ. Другой интересной рекомендацией является последующее за атакой проведение PR-кампании для того чтобы поддержать восстановить или поддержать имидж организации.

Возможность публикации официального опровержения следует рассматривать в каждом конкретном случае. Были примеры, когда оправдания компаний создавали еще больший резонанс и только вредили имиджу компаний.

К рекомендациям я добавлю, что на ход атаки можно целенаправленно влиять. Информационная волна распространяется очень быстро (в нашем случае всего 6 часов), поэтому отреагировать в самый разгар события очень сложно. Тем не менее, пострадавшая компания может обратиться к СМИ с просьбой заменить негативный заголовок на нейтральный. Если это сделать в течении первого дня атаки, то количество посетителей, на которых воздействует негатив, можно существенно уменьшить.

Весьма вероятно, что большинство СМИ прислушаются не только к просьбе поменять заголовок. Имеет смысл также дополнить заметку комментарием ответственного лица компании. При этом необязательно воздействовать на все сайты, так как заметка копируется ими практически без изменений. В нашем случае достаточно было обратиться к журналистам 3 порталов: Delo.ua, Корреспондент и «Новый регион» для того, чтобы атака приобрела совершенно другую окраску. При правильном понимании ситуации информационную атаку можно превратить в бесплатную и эффективную PR-акцию компании.

Как видно из текста опубликованных заметок журналисты охотно обращаются к представителям компаний для получения комментариев. Ответы на вопросы журналистов можно составить таким образом, что компания не только не пострадает от информационной атаки, но даже выиграет. В то же время, специалисты по PR не рекомендуют усердствовать с прямыми опровержениями, лучше всего дать внятный доходчивый комментарий и постараться перевести диалог в другое русло – например, сообщить о последних успехах компании.

Вполне достаточная аргументация прозвучала от советника председателя правления «Приватбанка» Виктора Лисицкого, который сообщил «Новому Региону», что суммы в 40 миллиардов долларов, о которой говорилось в рассылке злоумышленников, на балансе «Приватбанка» никогда не было и порекомендовал всем сомневающимся ознакомиться с соответствующим разделом на сайте банка. Также Витор Лисицкий заметил: «Если бы у них (тех, кто отправлял электронное письмо. Прим. авт.) были средства разослать это пенсионерам, бабушкам и дедушкам, как-то вложить им в уши, то оно может быть, еще сработало бы. А все остальные люди, которые пользуются Интернетом, то они этот бред либо пропускают, либо уточняют».

Действительно, информационная атака не сработала, но, в то же время не стоит приуменьшать возможности «сарафанного радио» по версии Интернета. Пример падения акций компании Apple демонстрирует, что верно спланированные действия злоумышленников могут дать колоссальный эффект.

Ярына Ключковская отмечает: «Интернет может быть очень мощным и эффективным каналом информации, который при минимальных финансовых затратах способен генерировать необходимую реакцию со стороны целевых групп. Даже в Украине, где превалирующее большинство населения не является пользователями Всемирной Сети, с помощью Интернета можно очень эффективно «обработать» целевую группу среднего управленческого звена — людей с уровнем достатка выше среднего, молодежь старшего школьного и студенческого возраста, продвинутую интеллектуальную элиту и другие сегменты пользователей. Лидеры мнений также в большинстве своем являются активными пользователями интернет-ресурсов, дающих им возможность находить интересующую информацию».

Большинство экспертов приходит к выводу, что роль онлайн-СМИ в ближайшие годы будет расти. Некоторые аналитики заявляют, что через 5-6 лет интернет-СМИ существенно потеснят печатные издания и вступят в конкуренцию с телевидением. Это означает, что влияние информационных атак будет только расти, и важно быть готовым противостоять им. Методы станут изощреннее и эффективнее, так что неподготовленная птица может запутаться в искусно сотканной паутине.

Комментарий HITech.Expert: готовы поддержать автора в оценках относительно охвата аудитории одной сенсационной новостью в интернете. По нашим  оценкам, если новость носит сенсационный или провокационный характер то уровень ее читаемости составляет порядка 100-150 человек (речь идет о специализированных, о деловых ресурсах или о ленте бизнес-новостей в рамках интернет-газеты). Таким образом, охват аудитории по 30 сайтам, которые прочитали новость о спамерах и Приватбанке,  составил порядка 3,0-4,5 тыс. человек в первый день размещения (а это немало, потому как например реальные тиражи некторых деловых изданий не превышают 10 тыс.читателей, из которых не факт, что все все читают от корки до корки.) Согласны с тезисом о том, что новость "завтра" практически никто не читает. По нашим наблюдениям новость актуальна для чтения в первые сутки размещения на 65% и на 35% в последующие 2 дня. Также автор подтвердил наши наблюдения о том, что "возраст"  эксклюзива в сети стремительно сокращается. если 4 года назад новость оставалась читаемой и эксклюзивной на протяжении нескольких дней без перепечатки, то с развитием новостных агрегаторов и RSS-каналов трансляции новостей "возраст" эксклюзивных новостей сократился до нескольких часов, и стремится к нулю. 🙂 

Простобанк