Group-IB представила анализ результатов голосования на CIPR Digital Awards 2021

Group-IB, один из ведущих разработчиков решений для детектирования и предотвращения кибератак, выявления мошенничества, расследования высокотехнологичных преступлений и защиты интеллектуальной собственности в сети, опубликовала отчет, посвященный анализу голосования на CIPR Digital Awards 2021, деловой премии в области цифровых технологий, которая в этом году впервые проводилась в рамках конференции ЦИПР 2021. Благодаря использованию комплексной системы Group-IB Fraud Hunting Platform (FHP), нацеленной на борьбу с мошенничеством, на финальном этапе голосования были зафиксированы масштабные накрутки, а также использование ботов. Эксперты Group-IB выявили более 70 000 «сомнительных» голосов, которые были исключены организаторами премии при подведении итогов голосования.

Подозрительная активность

Жалобы на возможное вмешательство в ход голосования CIPR Digital Awards появились еще во время первого этапа конкурса — он проходил с 8 по 13 июня 2021 года на сайте ЦИПРа. В связи с этим для защиты финального этапа голосования Оргкомитет привлек технологического партнера — компанию Group-IB, разработчика платформы для борьбы с мошенничеством Group-IB Fraud Hunting Platform (FHP), которая ежедневно защищает более 200 млн пользователей банков и интернет-ресурсов.

Второй этап голосования проходил с 17 по 21 июня этого года — всего на сайт ЦИПРа поступили 158 066 запросов с подачей голосов за номинантов. В первую очередь аналитики Group-IB выявили 37 420 подозрительных запросов: 24 705 из них не прошли CAPTCHA и еще у 12 715 запросов оказались признаки повторного голосования за одного кандидата с одних и тех же устройств, идентифицированных посредством файлов cookie. Оставшиеся 120 646 голосов, зафиксированных Fraud Hunting Platform, совпали с числом учтенных запросов на портале ЦИПРа, что исключало возможность вбросов.

Сомнительные голоса

В дальнейшем из оставшихся 120 646 голосов экспертами Group-IB были выделены 14 625 запросов, имевших признаки бот-активности — анализ показал, что клики и движения курсора мышки на странице кардинально отличались от действий пользователя и совершались программой, т.е. ботами.


На рис.1: траектория движения мыши — сравнение голосов бота и реального человека. Источник: Group-IB Fraud Hunting Platform»

Еще 10247 голосов имели признаки использования в онлайн-голосовании бот-сетей и ботов, которые были выявлены c помощью анализа дополнительных признаков: количество посещенных страниц во время сессии, продолжительность сессии, а также отсутствия кликов мыши — все это в совокупности с определенным пулом хостинг-провайдеров однозначно свидетельствовали о бот-активности. Анализируя эти IP-адреса при помощи системы Group-IB Threat Intelligence & Attribution, специалисты обнаружили их связь с форумом zismo.biz, где предлагают услуги по накрутке и продвижению. Часть IP-адресов, указанных в объявлениях, была замечена на сайте голосования ЦИПРа, а голоса, отданные с этих IP-адресов, ранее классифицированы как бот-активность.

Кроме того, внимание специалистов Group-IB привлекли те сессии голосования, где были выявлены аномально высокие уровни активности однотипных устройств с одного IP-адреса за одного и того же номинанта. Таких голос оказалось 9 625. С подобных IP-адресов подавались голоса только за одного определенного номинанта, активность с данных IP-адресов фиксировалась непрерывно, до нескольких часов и в остальное время отсутствовала. При этом несмотря на то что устройства имели якобы разные операционные системы, перезапущенный браузер или очищенные cookie, Group-IB FHP фиксировала, что цифровой отпечаток устройства оставался прежним.


На рис.2: Пример визуализации цифровых отпечатков устройств, гео-отпечатков и Global ID. Источник: Group-IB Fraud Hunting Platform

В итоге на заключительном этапе конкурса с помощью Group-IB Fraud Hunting Platform были выявлены накрутки в 28,6% от всех поступивших голосов, при чем у некоторых участников число накруток превысило показатель 50%. При составлении списка финалистов организаторы премии, опираясь на исследование Group-IB, исключили недостоверные данные из итогов голосования.

Командой Group-IB были выявлены и исследованы способы нечестной борьбы в голосовании CIPR Digital Awards 2021, а также продемонстрированы убедительные свидетельства того, что номинанты могли прибегать к сомнительным услугам, чтобы добиться победы. Учитывая наш опыт участия в защите различных онлайн-голосований, мы рекомендуем организаторам заранее позаботиться о проведении комплексного аудита защищенности систем голосования, а непосредственно во время голосования для технического анализа поступающих данных использовать решения, предназначенные для борьбы с мошенничеством, чтобы исключить использование накруток и ботов.

Павел Крылов, Руководитель направления по противодействию онлайн-мошенничеству Group-IB

Напомним, что в 2019 году Group-IB опубликовала аналитический отчет по итогам исследования зрительского голосования в финале 6-го сезона телевизионного шоу «Голос.Дети». Эксперты компании подтвердили выводы об использовании накруток голосов, а также выявили ряд аномалий, сопровождавших голосование. Основываясь на выводах экспертов Group-IB, Первый канал аннулировал результаты финала 6-го сезона проекта «Голос.Дети» и принял меры к усовершенствованию, и дополнительной защите механизма голосования. А в 2021 году Group-IB, как компания, обладающая самой полной экспертизой по проверке и защите онлайн-голосования, была привлечена для анализа базы результатов голосования по распределению главного приза — миллиарда рублей в рамках новогоднего розыгрыша «Русского лото».

Тематики: Безопасность

Ключевые слова: информационная безопасность, Group-IB