«Непредвзятые» отзовики

Ситуация:

В рунете есть сетка сайтов с отзывами о товарах, работодателях и компаниях. Сайты следующие: pravda-sotrudnikov.ru, ne-beri.ru, people-archive.ru, rosmanager.ru, facecollection.ru, book-face.ru, pravda-klientov.ru, viberi-verno.ru, mnenie-sotrudnikov.ru, pro-firmy.ru, forum-otzyvov.ru, runetbook.ru, mebel-reviews.ru, rus-otzyv.com, about-job.ru.

Соль, собственно, в чем. На этих сайтах периодически появляются заказные отзывы, как положительные, так и отрицательные, причем в довольно большом количестве. Говорить о том, как это может навредить бизнесу, на мой взгляд, не имеет смысла. Все довольно очевидно.

Зато имеет смысл поговорить о том, как это влияет на рынок услуг защиты репутации и на бизнес в принципе.

Вместо мониторинга реальных негативных отзывов, обработки негатива, выявления слабостей в обслуживании клиентов, предприниматели и специалисты SERM озабочены занесением нужной суммы владельцам этой сетки. Поэтому мы решили помочь фирмам защитить их законные интересы.

Проблема заключалась в том, что все сайты записаны на островной офшор Spider Services Inc. (Mahe, Eden Island, Tehacy 10, Marina House). Как вы понимаете, подавать на такую компанию в суд смысла практически нет. А заказуху убирать как-то надо.

Посему мне и компании Интернет-Розыск необходимо было обнаружить реальных владельцев сетки сайтов с отзывами.

Для начала мы стали собирать информацию о хостинге, дате регистрации, IP-адресах выделенных сайтов. Получили такую картину:

Созданы плюс-минус в одно время, принадлежат офшору, о котором я уже писал выше, хостятся в одном месте.

Собрали с сайтов контакты администраторов, все почты являлись по сути почтами на Яндекс.Почте, что могло косвенно указывать на наличие одного владельца.

На данные почты можно было отправить IP-логгеры (ссылка или файл, устанавливающий IP устройства при открытии или переходе по ссылке) или использовать ADINT — поиск информации при помощи рекламных кабинетов гигантов типа Google или Яндекс. Оба пути не самые надежные и довольно трудоемкие, поэтому мы оставили их на потом и отправились дальше.

Следующим шагом мы проверили сайты на наличие следящих рекламных модулей типа пикселей ВК и Яндекс.Метрики. Сделать это можно вручную (открыв код страницы и проанализировав его) или воспользовавшись общедоступным инструментарием:

https://themarkup.org/blacklight

https://urlscan.io/

Если на сайте нашлись популярные коды слежки (Pub-, UA-, &tag=, pubid), то можно попробовать воспользоваться сервисом https://spyonweb.com/, чтобы поискать по ним совпадения.

В нашем случае все сайты имели встроенный код Яндекс.Метрики. Ее идентификаторы можно найти в коде каждого из сайтов. Например:

на view-source:http://pravda-sotrudnikov.ru/ нашли строку https://mc.yandex.ru/watch/... цифры далее - это код его Яндекс Метрики: 29075250.

Если Метрика открыта для внешних пользователей, то она будет доступна по ссылке: https://metrika.yandex.ru/dashboard?id=29075250

В нашем случае Метрика была закрыта, поэтому нам были доступны лишь общие данные: https://counter.yadro.ru/values?site=pravda-sotrudnikov.ru

Установленные нами идентификаторы Яндекс.Метрики довольно важны — в случае судебного разбирательства представители истца могут отправить в Яндекс запросы для установления личности владельца идентификатора.

На одном из сайтов были ссылки на официальные страницы в соцсетях:

https://vk.com/pravda_sotrudnikov, администратор https://vk.com/id583968235 (эти данные также позволяют сделать официальный запрос в соцсеть)

Собрав все возможное с сайтов, стали искать предложения по работе с репутацией и SERM, где фигурировал бы момент с созданием большого количества отзывов, дабы установить потенциальных владельцев сетки.

Составили список лиц и стали смотреть их страницы в соцсетях, искать их почты и номера телефонов. Возможно, что-то из этих идентификаторов помогло бы нам.

Зацепились за Кирилла Крутова, владельца компании K-Reputation. На своем сайте он открыто предлагал «Написание положительных отзывов и размещение их от лица агентов влияния (с подменой IP-адресов и прочего, по заданным параметрам)»

Затруднительно было доказать его связь с сайтами, ведь все они официально принадлежали Spider Services, Inc, или, грубо говоря, офшорной компании.

Мы нашли почту Кирилла Крутова off_sprint@list.ru по его странице в ВК.

Именно на эту почту регистрировался домен Rus-otzyv.com

Сайт rus-otzyv.com хостится по адресу 91.240.84.170

Просканировав айпи-адрес с помощью бесплатного инструмента SpiderfootFX, мы узнали, что на этом же адресе находился сайт mebel-reviews.ru, принадлежащий...

Spider Services, Inc!

Вдобавок к этому, на всех сайтах стоит Яндекс.Метрика. Почты для контакта с администрацией хостятся на Яндекс.Почте, а во владельцах сайтов значится все тот же Spider Services, Inc.

Такие дела.

Авторы: @irozysk и @osint_club_channel