Carola Frediani, L’Espresso 13/12/2013, 13 dicembre 2013
FALSO COME UN TWEET
Era capitato a Mitt Romney, lo sfidante di Obama. E a giugno è stata la volta di Tony Abbott, attuale primo ministro australiano che la scorsa estate era il candidato del partito liberale. Nel giro di pochi giorni il politico del Paese dei canguri aveva visto schizzare i suoi followers su Twitter del 50 per cento. Merito del consenso poi confermato nelle urne? Non proprio. Alcuni media hanno analizzato il suo balzo in avanti scoprendo che su un campione di seguaci ben il 99 per cento erano discutibili: o avevano twittato una volta sola, o scrivevano in tre lingue diverse, o pubblicavano frasi senza senso, o avevano un solo follower. Insomma, puzzavano di profili finti e automatizzati, i cosiddetti bot.
Chiunque stia su Twitter ne ha un’esperienza aneddotica, ma dietro a quei profili social di cartapesta c’è una scienza, nonché un mercato, del falso online. Il cui obiettivo è di accrescere l’engagement, le interazioni degli utenti sul proprio account e, di conseguenza, la visibilità sui social. E pazienza se per farlo si ricorre a mezzi discutibili. Follower di Twitter, retweet, fan di Facebook, "mi piace": tutto è in vendita e monetizzabile. Il fatto è che a cadere in tentazione sono anche degli insospettabili. Come il Dipartimento di Stato americano, e in particolare il suo ufficio per i programmi di informazione internazionali (Iip), il cui obiettivo è di costruire la reputazione degli Stati Uniti all’estero e che, ironia della sorte, fa da consulente al segretario di Stato proprio su questioni cyber e coinvolgimento degli utenti. Ebbene, ha speso 630 mila dollari per comprarsi likes su Facebook tra il 2011 e il 2013. In questo modo ha fatto impennare i "mi piace" sulla sua pagina, facendoli passare da 100 mila a 2 milioni, ma ha anche suscitato l’indignazione di alcuni suoi impiegati che due mesi fa ne hanno denunciato il comportamento agli organismi di controllo americani.
Nel vizietto sono cadute e continuano a cadere anche star del mondo dello spettacolo o brand famosi: Pepsi, Mercedes-Benz, ma pure i musicisti Puff Daddy e 50 Cents hanno mostrato comportamenti sospetti negli account Twitter, spiega uno studio di qualche tempo fa di due ricercatori di security italiani, Andrea Stroppa e Carlo De Micheli. Il rapper Daddy per esempio ha guadagnato oltre 185 mila follower in un giorno, un incremento del 3 mila per cento rispetto alla sua media. Spesso poi a questi picchi seguono dei crolli improvvisi. In genere perché Twitter fa periodicamente un repulisti di bot, cancellando in blocco quelli che individua, o perché l’affitto degli stessi è scaduto.
Ma come nascono questi utenti fittizi? Ci sono dei software che li creano in automatico, combinando in modo casuale nomi, informazioni del profilo, link e foto. Il programma è anche in grado di variare gli indirizzi Ip degli account creati, in modo da non essere bloccato dalla piattaforma per spam. Una volta creato un bot, si può decidere di fargli seguire profili casuali o mirati, di farlo twittare e ritwittare pescando in giro attraverso un crawler, un software simile a quello che usa Google per indicizzare i siti, oppure di metterlo a rilanciare i tweet di un determinato utente. Stroppa e De Micheli stimano che siano 20 milioni i twittatori robotici: alcuni sono facilmente individuabili, altri invece possono essere scambiati per profili veri.
Le aziende che li vendono, alla luce del sole, sono numerose: Fiverr, FanMeNow, SocialPresence, SeoClerks, per citarne alcune. Sono commerciati in blocco: in media 18 dollari per mille follower, secondo uno studio di Barracuda Labs. L’offerta può essere anche molto dettagliata: InterTwitter.com ne smercia mille per 14 dollari, disponibilità entro tre giorni dall’acquisto e validità di almeno un anno. Ma offre anche fan su Facebook: 250 per 15 dollari e un anno di amicizia assicurata. Esistono poi pacchetti misti per l’engagement sul sito di Zuckerberg, che comprendono fan, likes, condivisioni. L’azienda sostiene addirittura di avere a disposizione utenti "veri", in carne e ossa.
«Ci sono molti modi per mettere likes o creare fan su Facebook», commenta con "l’Espresso" De Micheli: «Il primo è quello di creare appositamente un bacino di utenti fake, controllati dagli spammer; ma ci possono essere anche utenti veri che consentono a un’azienda, in cambio di un ritorno economico, di usare i loro profili per mettere i "mi piace", per esempio. Poi esistono le piattaforme di like sharing dove gli utenti reali si iscrivono e scambiano likes. Infine, ci sono i malware che sfruttano il profilo di qualcuno senza autorizzazione». Sono circa 76 milioni gli account falsi stimati su Facebook. Pur facendo la tara per i profili doppi, quelli dedicati agli animali domestici e simili, resta comunque un bel gruzzolo di entità fittizie che interagiscono online, fanno "amicizia", accedono ai dati personali di utenti legittimi. Certo, creare un fake sul social di Zuckerberg è molto più difficile e costoso che sul sito dei cinguettii. Eppure c’è un settore del tutto differente rispetto alle citate aziende di marketing, che sta sviluppando strumenti sempre più sofisticati e di massa per penetrare le reti sociali online con utenze finte. È il mondo dell’intelligence, dei militari, degli apparati investigativi e delle agenzie collegate, che su questo fronte sono all’avanguardia. In gergo la chiamano Virtual Humint, cioè la tradizionale raccolta di informazioni attraverso personale sotto copertura (Human Intelligence), ma trasferita nel virtuale. E quindi con le inedite possibilità che questo può offrire. Specializzata nel settore è l’azienda di Tel Aviv Terrogence, che vende una piattaforma e un servizio per creare e gestire centinaia di identità online. «I nostri non sono bot, ma entità virtuali credibili e affidabili», spiega a "l’Espresso" Daniel Forst, marketing manager della compagnia che ha stretti legami con l’esercito israeliano. «La piattaforma pensa a tutti i dettagli tecnici, così i nostri operatori sono più liberi di muoversi e possono controllare molti profili allo stesso tempo». Coltivare, si dice nel settore. Le loro entità fittizie possono scomparire da un giorno all’altro se bruciate e scoperte, altrimenti campano anni, «alcune sono vecchie di 6-7 anni e sono ormai membri riconosciuti di comunità online». I loro clienti? Governi, polizie, forze armate ma anche eventi sportivi. Come «un recente appuntamento di calcio tenutosi in Brasile», prosegue Forst, «in cui abbiamo usato il nostro servizio per allacciare rapporti online coi gruppi ultrà al punto da identificarne i membri e sapere cosa avrebbero messo negli zaini alle partite».
Anche l’Italia fa la sua parte. Lo scorso maggio l’Afcea, un’associazione legata agli Stati Uniti, ha organizzato un convegno per le nostre forze armate, e precisamente per il comando C4 Difesa, proprio sulla Virtual Humint. «È una pratica molto usata negli Usa nel campo militare, ma anche per esigenze di sicurezza nell’ambito civile. Permette di creare figure credibili che siano accettate dai gruppi», ci spiega Aldo Giannatiempo, segretario di Afcea. Da noi l’azienda leader è Area spa, che non ci ha rilasciato dichiarazioni ma che ha descritto la sua piattaforma a un convegno di addetti ai lavori a cui eravamo presenti. Il loro sistema, proprio come quello di Terrogence, consente di "coltivare" molteplici profili social con caratteristiche diverse, una storia, comportamenti realistici, che interagiscono fra loro e con utenti reali; in questo modo dieci operatori fisici possono controllare centinaia di identità. Gli stessi profili finti possono utilizzare diversi canali di comunicazione, da Skype ai social network, proprio per essere più veritieri.
E come per il marketing online, anche nel campo della sicurezza i fake hanno un discreto mercato. Già nel novembre 2012 un bando di gara del ministero dell’Interno prevedeva la realizzazione di un Sistema di analisi predittiva e di supporto all’attività investigativa con modalità sotto copertura per il contrasto del crimine informatico che includeva un corposo modulo di Virtual Humint. Valore stimato: 4,9 milioni di euro.