Nós removemos diversas Páginas, Grupos e contas devido a comportamentos inautênticos coordenados no Facebook e no Instagram. Algumas dessas atividades originaram-se no Irã; outras, na Rússia. Foram casos distintos e nós não identificamos qualquer relação ou coordenação entre eles. No entanto, ambas as atividades usaram táticas similares ao criarem redes de contas para enganar as pessoas sobre quem eram ou o que estavam fazendo.
Nós banimos esse tipo de comportamento, porque queremos que as pessoas confiem nas conexões que elas fazem no Facebook. E embora estejamos progredindo no esforço para remover este tipo de abuso da plataforma, trata-se de um desafio permanente, uma vez que as pessoas por trás de tais atividades são determinadas e bem financiadas. Nós temos que melhorar constantemente para estar à frente delas. Isso significa desenvolver uma tecnologia melhor, contratar mais pessoas e trabalhar mais perto de autoridades, especialistas em segurança e outras empresas. Tal colaboração foi fundamental para a nossa investigação, já que nenhuma empresa pode realizar este combate sozinha.
Há sempre uma tensão entre tirar rapidamente estes maus atores da plataforma e melhorar nossos mecanismos de defesa no longo prazo. Se os removermos muito cedo, será mais difícil entender a maneira como eles agem e a extensão de suas redes. Isso também limita a nossa capacidade de trabalhar em coordenação com autoridades, que muitas vezes estão conduzindo suas próprias investigações. É por isso que investigamos algumas dessas atividades por muitos meses e continuaremos trabalhando para descobrir mais. Atualizaremos este texto com mais detalhes quando os tivermos, ou se os fatos mudarem.
O que descobrimos até agora
Por Nathaniel Gleicher, Head de Políticas de Cibersegurança
Nós removemos 652 Páginas, Grupos e contas devido a comportamentos inautênticos coordenados , os quais tiveram origem no Irã e tinham como audiência pessoas em diversos serviços de internet no Oriente Médio, na América Latina, no Reino Unido e nos Estados Unidos. Em julho, fomos alertados pela FireEye, uma empresa de cibersegurança, sobre a “Liberty Front Press”, uma rede de Páginas no Facebook que também tinha contas em outras plataformas digitais. A FireEye publicou uma análise inicial e divulgará, em breve, um relatório completo sobre suas descobertas. Nós gostaríamos de aproveitar a oportunidade para agradecê-los pelo trabalho que realizaram.
Baseados no alerta da FireEye, nós começamos a investigar a “Liberty Front Press” e identificamos mais contas e Páginas ligadas a essa rede. Nós conseguimos associá-las à mídia estatal iraniana graças à informações de registros de sites disponíveis publicamente, bem como o uso de endereços de IP relacionados e Páginas do Facebook que tinham os mesmos administradores. Por exemplo, uma parte da rede, “Quest 4 Truth”, afirma ser uma organização iraniana de mídia independente, mas está ligada à Press TV, uma rede de notícias em língua inglesa afiliada à mídia estatal do Irã. As primeiras contas da “Liberty Front Press” que encontramos foram criadas em 2013. Algumas delas tentaram ocultar sua localização, e publicaram principalmente conteúdo político direcionado para o Oriente Médio, Reino Unido, EUA e América Latina. A partir de 2017, eles aumentaram o foco no Reino Unido e nos EUA. Contas e Páginas ligadas à “Liberty Front Press” normalmente se apresentavam como organizações de mídia e da sociedade civil, compartilhando informações em vários países sem revelar sua verdade identidade.
- Presença no Facebook e Instagram: 74 Páginas, 70 contas e 3 Grupos no Facebook, bem como 76 contas no Instagram.
- Seguidores: Cerca de 155.000 contas seguiam ao menos uma dessas Páginas, 2.300 contas entraram em ao menos um desses Grupos e mais de 48.000 pessoas seguiam pelo menos uma dessas contas no Instagram.
- Publicidade: Mais de US$6.000 gastos em anúncios no Facebook e Instagram, pagos em dólares americanos e australianos. O primeiro anúncio foi veiculado em janeiro de 2015, e o último em agosto de 2018. Alguns deles foram bloqueados assim que nossas ferramentas de transparência de anúncios políticos foram lançadas. Ainda não concluímos nossa revisão sobre o conteúdo orgânico proveniente destas contas.
- Eventos: 3 eventos criados.
- Conteúdo: Um exemplo das postagens em inglês está abaixo.
A segunda parte da nossa investigação encontrou relações entre a “Liberty Front Press” e outro conjunto de contas e Páginas – o primeiro deles foi criado em 2016. Eles normalmente se apresentavam como organizações de notícias e não revelavam sua verdadeira identidade. Eles também se envolveram em ataques tradicionais à cibersegurança, incluindo tentativas de invadir contas de pessoas e espalhar malware, que vimos antes e interrompemos.
- Presença no Facebook e Instagram: 12 Páginas e 66 contas no Facebook, bem como 9 contas no Instagram.
- Seguidores: Cerca de 15.000 contas seguiam ao menos uma dessas Páginas, e mais de 1.100 seguiam pelo menos uma das contas no Instagram.
- Publicidade: Nós não encontramos publicidade ligada a essas contas ou Páginas. Ainda não concluímos nossa revisão sobre o conteúdo orgânico proveniente dessas contas.
- Eventos: Nós não encontramos eventos associados a essas contas ou Páginas.
- Conteúdo: Um exemplo das postagens em árabe está abaixo.
A terceira parte de nossa investigação descobriu outro conjunto de contas e Páginas, entre os quais o primeiro foi criado em 2011 e compartilhava principalmente conteúdo sobre política do Oriente Médio em árabe e farsi. Eles também compartilharam conteúdo sobre política no Reino Unido e nos EUA em inglês. Identificamos esse conjunto pela primeira vez em agosto de 2017 e expandimos nossa investigação em julho de 2018, à medida que intensificávamos nossos esforços antes das eleições nos EUA no fim deste ano.
-
- Presença no Facebook e Instagram: 168 Páginas e 140 contas no Facebook, além de 31 contas no Instagram.
- Seguidores: Cerca de 813.000 contas seguiram pelo menos uma dessas Páginas e mais de 10.000 seguiam pelo menos uma dessas contas do Instagram.
- Publicidade: mais de US$ 6.000 em gastos com anúncios no Facebook e no Instagram, pagos em dólares americanos, liras turcas e rúpias indianas. O primeiro anúncio foi veiculado em julho de 2012 e o último em abril de 2018. Ainda não concluímos nossa análise do conteúdo orgânico proveniente dessas contas.
- Eventos: 25 eventos criados.
- Conteúdo: Uma amostra de postagens em inglês está incluída abaixo.
Nós ainda estamos investigando, e já compartilhamos o que sabemos com os governos dos EUA e do Reino Unido. Como existem sanções dos EUA contra o Irã, também informamos os departamentos do Tesouro e do Estado norte-americanos. Essas sanções permitem que as empresas ofereçam serviços de internet para as pessoas com fins de comunicações pessoais, incluindo o governo e seus afiliados. Mas o Facebook toma medidas para impedir que pessoas no Irã e em outros países com sanções usem nossas ferramentas de anúncios. Por exemplo, nossos sistemas analisam cada anunciante para identificar sua localização atual e se eles são mencionados na lista de indivíduos sob sanções do governo dos EUA. Com base no que aprendemos nesta investigação e também com funcionários do governo, faremos alterações para detectar melhor as pessoas que tentam burlar nossas ferramentas de conformidade com sanções e impedi-las de anunciar.
Finalmente, nós removemos Páginas, grupos e contas que podem estar vinculados a fontes que o governo dos EUA identificaram anteriormente como serviços de inteligência militar russos. Isso não está relacionado com as atividades que encontramos no Irã. Embora esses sejam alguns dos mesmos maus atores que removemos por ataques de cibersegurança antes da eleição de 2016 nos EUA, essa atividade mais recente concentrou-se na política na Síria e na Ucrânia. Por exemplo, eles estão associados ao Inside Syria Media Center, que o Atlantic Council e outras organizações identificaram como responsáveis por espalhar secretamente conteúdo pró-russo e pró-Assad. Até agora, não encontramos atividades dessas contas direcionadas para audiências nos EUA.
Estamos trabalhando com autoridades dos EUA nesta investigação e agradecemos a ajuda. Essas investigações estão em andamento – e, dada a sua sensibilidade, não estamos compartilhando informações adicionais sobre o que removemos.
Quando agir contra ameaças cibernéticas
Por Chad Greene, Diretor de Segurança
Assim que uma ameaça cibernética é descoberta, times de segurança enfrentam uma decisão difícil: quando agir. Será que bloqueamos imediatamente uma atividade para evitar danos? Ou gastamos tempo investigando a extensão do ataque e quem está por trás dele para que possamos impedi-los de fazer mal uso da plataforma novamente no futuro?
Essas questões têm sido debatidas por especialistas em segurança durante anos. E esse é um compromisso que nossa equipe no Facebook assumiu ao longo do ano passado, já que identificamos diferentes ameaças cibernéticas – incluindo os comportamentos inautênticos coordenados que acabamos de remover. Existem inúmeras coisas que consideramos em cada caso. Quão ativa é a ameaça? Quão sofisticados são os atores? Quantos danos estão sendo causados? E como a ameaça vai repercutir nos eventos mundiais? Aqui está um resumo do que aprendemos ao longo dos anos – em muitos casos, lições que tivemos que aprender da maneira mais difícil.
Com quem nós compartilhamos informação – e quando
As ameaças cibernéticas não acontecem em um vácuo. Tampouco as investigações. Entender realmente a natureza de uma ameaça exige entender como os seus atores se comunicam, como eles adquirem serviços como hospedagem e registro de domínio, e como a ameaça se manifesta em outros serviços. Para ajudar a coletar essas informações, muitas vezes compartilhamos informações com outras empresas assim que temos uma compreensão básica do que está acontecendo. Isso também permite que elas protejam melhor seus próprios usuários.
Pesquisadores acadêmicos também são parceiros inestimáveis. Isso porque parceiros independentes, sejam indivíduos ou organizações, geralmente têm uma perspectiva única e informações adicionais que podem nos ajudar. Eles também desempenham um papel importante quando se trata de aumentar a conscientização do público sobre estes problemas e como as pessoas podem se proteger melhor.
Autoridades também são cruciais. Há casos em que as autoridades podem desempenhar um papel específico em ajudar a mitigar uma ameaça que identificamos e, nessas instâncias, entraremos em contato com a agência apropriada para compartilhar o que sabemos e buscar sua ajuda. Ao fazer isso, nossa prioridade é sempre minimizar os danos às pessoas que usam nossos serviços.
Quando decidimos derrubar uma ameaça – uma decisão que abordarei mais abaixo – também precisamos considerar nossas opções para alertar as pessoas que podem ter sido afetadas. Por exemplo, em casos de malware direcionado e tentativas de invasão que sabemos que estão sendo feitas por um sofisticado ator mal-intencionado, como uma nação, podemos colocar um aviso no topo do Feed de Notícias para alertar as pessoas e garantir que suas contas estejam seguras. No caso de um ataque que procura causar danos sociais mais amplos – como o uso de desinformação para manipular pessoas ou criar divisões -, sempre que possível compartilhamos o que sabemos com a imprensa e com os pesquisadores parceiros para que o público esteja ciente do problema.
Quando esperar para tomar uma ação – e quando agir
Quando identificamos uma atividade, nosso objetivo é aprender o máximo possível sobre ela: a extensão da presença dos maus atores em nossos serviços; suas ações; e o que podemos fazer para detê-los. Quando chegamos a um ponto em que nossa análise está gerando poucas informações novas, iremos remover a atividade, sabendo que é improvável que mais tempo nos traga mais respostas. Foi o caso do anúncio que acabamos de fazer, ligado aos serviços de inteligência militar russos.
Por outro lado, se ainda estivermos aprendendo enquanto nos aprofundamos a investigação, provavelmente adiaremos qualquer ação que possa alertar nosso adversário e levá-lo a mudar de rumo. Afinal de contas, quanto mais sabemos sobre uma ameaça, maior a chance de impedir que os mesmos atores voltem a atuar no futuro.
Isto é particularmente assertivo com atores altamente sofisticados que se esforçam para cobrir seus rastros. Queremos entender suas táticas e reagir de uma forma que os mantenha fora do Facebook para sempre. Atores amadores, por outro lado, podem ser retirados rapidamente com relativa confiança de que poderemos encontrá-los se surgirem em outro lugar – mesmo com informações limitadas sobre quem eles são ou como eles operam.
Muitas vezes, porém, precisamos agir antes de esgotarmos nossa investigação. Por exemplo, sempre nos movermos rapidamente contra uma ameaça quando há um risco imediato para a segurança. Portanto, se definimos que alguém está tentando comprometer a conta de outra pessoa para determinar sua localização – e suspeitarmos que ela possa estar em risco físico – agiremos imediatamente, bem como notificaremos a pessoa que é o alvo e a autoridade quando apropriado.
Essas considerações não levam em conta apenas o risco de danos físicos. Também analisamos como uma ameaça pode afetar os próximos eventos mundiais. Isso às vezes significa que agilizamos a remoção de algo porque um evento está se aproximando. Este foi o caso quando removemos 32 páginas e contas no último mês. Em outros casos, isso pode significar adiar a ação antes de um evento para reduzir as chances de um ator ruim ter tempo de se reorganizar e causar danos.
Nossa melhor aposta
Especialistas em segurança nunca podem estar 100 por cento confiantes sobre o momento de agir. Mas o que podemos fazer é considerar de perto as muitas peças em movimento, pesar os benefícios e riscos de vários cenários e tomar uma decisão que achamos que será melhor para as pessoas em nossos serviços e na sociedade em geral.