Un like nu te face postac

Sau mai pe romaneste de ce ar trebui Mandruta sa-i lase pe oamenii care stiu, sa faca investigatii online.

In cazul in care n-ati aflat inca, Lucian a publicat in colaborare cu un cunoscut de-al lui o asa zisa investigatie pentru a afla identitatea unora care folosind profile false de Facebook publica constant continut de pe niste siteuri cel putin dubioase. Pana aici totul OK, doar ca asociaza treaba asta cu postacii politici si cu propaganda rusofila.

Am documentat si eu un articol in acest sens in urma cu ceva vreme, insa in “ancheta” facuta de mine am mers pana la aflarea identitatii din spatele siteurilor in cauza. La scurt timp dupa ce l-am documentat mi-am dat seama ca exista posibilitatea sa gresesc in interpretare fiindca relatia dintre politic si autorul siteului nu parea sa existe, insa n-am putut sa confirm nici lipsa ei deci am lasat-o in coada de peste expunand identitatea individului public.

Revenind la ancheta lui Lucian e oportun sa lamurim o serie de aspecte de la bun inceput.

In primul rand Lucian a plecat de la un profil de Facebook fictiv care dadea share unor postari si care pare de la o posta automatizat. Mergand pe fir a descoperit alte profile similare care dau share la continut aleatoriu si din cand in cand la postari de pe unul sau mai multe siteuri aparent relationate intre ele.

In al doilea rand o serie de supozitii de-ale lui Lucian prezentate ca fiind certitudini sunt incorecte pentru ca Lucian spune ca IP-ul siteurilor duce spre un server din California, doar ca toate siteurile in cauza folosesc Cloudflare pentru a-si masca locatia exacta ceea ce inseamna ca siteurile pot sa fie gazduite bine mersi in Romania. Apoi in acelasi registru Lucian spune ca in timp ce unul dintre domenii e inregistrat pe un nume fictiv, altul (sau altele) sunt inregistrare pe date din Panama, dar greseste din nou pentru ca datele alea din Panama reprezinta doar un whois privat de obicei asociat cu domenii inregistrate la InternetBS sau eNom.

Acum c-am lamurit pana aici sa incepem sa facem munca pe care n-a facut-o Lucian, nu pentru ca n-a putut ci fiindca n-a stiut cum s-o faca, dar s-a grabit sa arunce public o informatie partiala si irelevanta.

Primul site la care a facut referire articolul lui Lucian a fost jurnalista.net, un spamsite infect construit pe WordPress cu tema Newspaper. Cum informatiile din whois si de la nivel DNS nu ofera mare lucru urmatorul pas a fost investigarea sursei siteului care in primele linii de cod afiseaza un link de favicon cu denumirea de “junaluldenordvest.ro“:

<link rel=”icontype=”image/pnghref=”http://jurnalista.net/wp-content/uploads/2016/11/jurnaluldenordvest.ro_favicon.gif“>

Fara doar si poate faviconul in cauza poate sa fie ciordit, insa unul care a avut grija sa-si ascunda informatiile de whois si locatia serverului cu siguranta avea grija sa ascunda si faptul c-a ciordit un favicon de la un site oarecare nu?

O vizita pe siteul jurnaluldenordvest.ro la sectiunea contact arata aceeasi lipsa de transparenta ca si jurnalista.net, un punct comun si important in analiza. Totusi pagina de contact de pe jurnaluldenordvest.ro scapa un detaliu important deoarece embeduieste un fisier audio de pe SoundCloud ce e gazduit de un cont cu denumirea AdrianBilanici.ro:

AdrianBilanici.ro pare la randul lui un spamsite infect ce functioneaza ca un agregator de stiri cu linkuri de afiliat prin Profitshare si 2performant, dar din titlu si continut sugereaza faptul ca are legatura directa cu jurnaluldenordvest.ro, nu si cu jurnalista.net. Totusi ambele siteuri sunt gazduite la furnizori de hosting diferiti si nu-si trec IP-ul prin Cloudflare ceea ce le diferentiaza de jurnalista.net si alte siteuri de acest gen.

Sapand mai departe in sursa siteului am gasit o serie de profile de social media pentru jurnalista.net:

  • Google+: https://plus.google.com/+JurnalistaNet
  • Facebook: https://www.facebook.com/jurnalista.net
  • Youtube: http://www.youtube.com/Jurnalista1
  • Twitter: https://twitter.com/jurnalistanet

Am inceput cu Google+ si am aflat din profilul respectiv faptul ca cine detine jurnalista.net detine si devizitat.net, un alt spamsite cu tema identica. Evident ca nici siteul asta nu confera prea multe informatii public, insa sursa lui precum si sursa de la jurnalista.net confirma faptul ca se foloseste acelasi ID de AdSense: ca-pub-3470893899263172

O cautare pe Google dupa ID-ul asta ne confirma faptul ca un al treilea site e legat direct de jurnalista.net si devizitat.net si uite asa intra in scena si bacaustars.com:

Si de aici treaba incepe sa devina interesanta pentru ca bacaustars.com are un formular de contact ce da rateu la shortcodes si expune adresa de email a individului din spatele siteului:

O cautare pe Google ne duce catre un spamsite de whois ce a cachuit rezultate mai vechi si care confirma faptul ca emailul iionutfilip@gmail.com a fost asociat cu jurnalista.net inainte ca whoisul domeniului sa devina privat:

In acelasi timp tot Google ne indica faptul ca individul asta mai detine un spamsite deretinut.net unde tot asa are un formular de contact prost integrat ce-i expune adresa de email:

In momentul de fata nu mai exista niciun dubiu privind faptul ca iionutfilip@gmail.com e relationat cu jurnalista.net si cu restul de spamsiteuri construite cu aceeasi tema si pe acelasi pattern.

Sapand mai departe in rezultatele Google putem confirma faptul ca adresa de email iionutfilip@gmail.com aparea in whoisul siteului deretinut.net inainte ca whoisul sa fie trecut la privat si ca domeniul in cauza a fost inregistrat pe numele Elena Brasoveanu Condurache, iar numele asta e cel mai probabil fictiv. Totusi numele din adresa de email “Ionut Filip” are toate sansele sa fie un nume real.

L-am cautat pe Ionut Filip in continuare si am gasit o referinta cu acelasi username pe un site de blackhat SEO ce il plaseaza pe Ionut Filip in Portugalia:

Dar si pe un site de conversie Bitcoin unde acelasi Ionut Filip cu acelasi username vinde Bitcoins tot din Portugalia:

Fara sa fie vreo coincidenta, datele din whoisul cached pentru domeniul deretinut.net il plaseaza pe proprietarul domeniului tot in Portugalia, respectiv Lisabona.

Mergand mai departe pe fir am dat peste un profil de twitter care ne confirma identitatea lui Ionut Filip, ne confirma faptul ca e in Lisabona si ne arata si o poza (la rezolutie mica ce-i drept) cu el. Ba mai mult postarile de pe profilul de twitter confirma asocierea lui cu siteul deretinut.net si evident cu jurnalista.net:

 

Contul lui de twitter duce si la o pagina de Facebook unde Ionut Filip are postate mai multe poze si unde putem vedea mai bine cu cine avem de-a face:

Am sa ma opresc aici cu ancheta pentru ca scopul meu initial a fost sa dau cel putin un nume persoanei din spatele siteului jurnalista.net si dupa cum vedeti am facut mai mult decat atat. Totusi e important sa punctam la final o serie de idei demne de luat in calcul in asfel de cazuri:

  • In ultimii ani s-a umplut internetul de astfel de spamsiteuri al caror scop e sa genereze continut mizerabil si sa castige bani. Asta nu inseamna ca au vreo asociere cu Rusia sau ca fac parte din propaganda ruseasca. Pur si simplu e vorba de niste pustani care din lipsa de altceva mai bun de facut s-au trezit sa faca lucrul asta. Inteleg obsesia lui Lucian pentru Rusia, insa ma tem ca de data asta greseste pentru ca reteaua de siteuri a lui Ionut Filip nu pare sa aiba nicio legatura politica.
  • Orice specialist in securitate informatica, atunci cand e nevoit sa faca o ancheta stie ca regula de baza a anchetei e “follow the money”. Siteurile trebuie sa fie monetizate cumva si daca mergi pe firul banilor ai foarte mari sanse sa aflii identitatea persoanei din spatele lor indiferent cate masuri de precautie si-a luat. Fix pe acelasi principiu au picat si or sa mai pice in capcana atatea siteuri pirat.
  • Ionut Filip e un amator care i-a permis lui Lucian Mandruta, alt amator sa afle o serie de lucruri esentiale despre el. Ma rog, Lucian nu stie asta pentru ca inca n-a aflat faptul ca articolul sau mi-a ridicat mie o minge la fileu si am putut sa descos mai departe itele. Totusi cine vrea sa-si ascunda urmele intr-un mod profesionist trebuie sa foloseasca date unice si sa aiba grija ce date afiseaza si cum.
  • Un like dat unui spamsite nu te face postac pentru ca de multe ori poti sa dai like fara sa ai habar. Oamenii care fac spamsiteuri de multe ori integreaza in ele niste scripturi care fura likeuri si cam atat. Postac nu e nici macar ala care da share la vreo mizerie pentru ca aia care dau doar like si share sunt niste analfabeti functionali si cam atat. Postacul are un nivel mai elevat de inteligenta si mai e si platit ca sa fie postac si sa combata ideologic opinile sau postarile altora.

ACTUALIZARE: La cateva ore dupa ce am dat articolul asta profilele de twitter si Facebook ale lui Ionut Filip au disparut, dar spamsiteurile par sa fie inca in picioare.

Leave a Reply

Your email address will not be published. Required fields are marked *