Dataintrång, arméer av konton på sociala medier och ett ambitiöst projekt för att lura till sig besökare från svenska medieföretag och myndigheter – Flammans granskning kopplar allt till ett och samma företag i Nederländerna.
”Where is the showers in the thunderstorms disappearing and what is the blueness in the blue sky?”
Så skriver vad som förefaller vara en ung kvinna som gillar något jag har skrivit på twitter. Hennes tweet är från 2010. Det är inte omöjligt att Google translate har förtagit något av inläggets poetiska slagkraft, för 2010 skrev användaren på koreanska.
Det slutade denne med samma år. Twitterkontot tystnade, som många gör, efter att ha twittrat bara ett par gånger.
Den sjuttonde februari i år, åtta år senare, gjorde kontot comeback på Twitter. Personligheten verkar förändrad. Nu skriver användaren saker som:
”How are you doing pupsy? Today it’s very hot .. Even hotter in my bio! Ha-ha-ha”.
Varje inlägg ackompanjeras av en bild på en lättklädd kvinna. Det är aldrig samma kvinna.
I användarens bio, eller beskrivning, på Twitter finns det en länk.
Den första regeln för att slippa problem på internet är att inte klicka på några skumma länkar. Jag klickar på den skumma länken.
Sedan årsskiftet har det med jämna mellanrum uppmärksammas ett plötsligt inflöde av ”porrbottar” bland svenska Twitteranvändare. I vågor får användare massor med nya följare och gillningar. Alltihop från en rad förvillande likartade konton. En av dem är min koreanska följare, som sannolikt fått sitt konto kapat och omvandlat till en så kallad porrbott.
Profilerna utger sig för att vara unga kvinnor, ofta intresserade av datorspel och cosplay – konsten att klä ut sig till karaktärer ur populärkulturen. Samtliga har lättklädda bilder.
För en del svenska Twitteranvändare har anstormningen av nya följare tidvis blivit så stor att det blir obekvämt. Riktiga diskussioner drunknade i gillningar från en armé av så gott som identiska maskeradentusiaster.
För några användare har problemet blivit så omfattande att de lämnat plattformen. Andra låser sina konton, så att de inte kan följas av nya användare, när tidvattnet av porrkonton stiger.
Både SVT och branschtidningen Medievärlden har i sin bevakning av de så kallade porrbottarna lyft frågan om de skulle kunna användas som en påverkansaktion mot det svenska samhället.
– Botar som används för att tjäna pengar i dag kan hyras ut i framtiden och användas för att påverka samhällsdebatten, särskilda frågor eller för att sprida desinformation. Vi har inte hittat något som visar på det, men vi har heller inte hittat något som motbevisar det, sa forskaren Christopher Kullenberg till SVT tidigare i år.
Bluffartad sexdejting
”Knulla lokala kvinnor ikväll”.
Det är en version av en handfull olika rubriker på den sajt som väntar bakom porrbotarnas länkar. De allra flesta erbjuder besökaren att registrera sig för att kunna kontakta och ha sex med kvinnor. I vissa fall visas också en sida som erbjuder förstoring av besökarens könsorgan på vad som tycks vara rätt vetenskapligt tveksamma grunder.
Jag får svara på om jag är beredd på att få se ”kvinnor jag känner” och några ytterligare frågor. En titt på sidans källkod visar att det inte spelar någon roll vad man svarar – slutresultatet blir detsamma i vilket fall.
Sajten verkar av allt att döma vara en bluff. Och de män som registrerat sig verkar inte heller nöjda.
På en sida där användare får publicera egna omdömen om en av sexdejtingsidorna, skriver en användare att han lagt ut över 20 000 kronor på sajten – som tar betalt för att låta användare skicka meddelanden till varandra. De ”lokala kvinnorna” verkar dock, precis som bottarna på twitter, inte vara riktiga personer.
”Min bedömning är att det är en bluff och båg-sajt, som utger sig för att vara en dejting-sajt, i de annonser man ser” skriver en besviken man som säger sig ha använt en av sajterna.
Men lurendrejeriet slutar inte där. Flammans granskning visar att ännu mer skrupelfria metoder än fejkade twitterkonton används för att locka användare till sexdejtingsidorna.
Attack mot Hedemora energi
Den 22 januari i år hackades det kommunala bolaget Hedemora energis hemsida. På vissa av företagets sajter låg plötsligt tecknade bilder på lättklädda kvinnor. Länkarna ledde till samma sidor som porrbottarna.
Företaget Stuart, som driver Hedemora Energis sajt, berättar för Flamman att man kunde åtgärda problemet på ett par dagar.
– Jag skulle säga att det var en bot som använt en säkerhetsbrist i WordPress. Och just att det var Hedemora energi, det spelade nog ingen roll, snarare att de hittade en sajt med den här säkerhetsbristen, säger Mathias Wilhelmsson, webbutvecklare på Stuart till Flamman.
Någon typ av bot som gjorde det här på alla sajter de kunde komma över?
– Ja, precis.
Har ni någon aning om var attacken kom ifrån?
– Det har jag ingen aning om, men det är väl någon som vill tjäna pengar. De länkar dit det finns pengar att tjäna, och det är väl en viss bransch, säger Mathias Wilhelmsson.
I min undersökning har jag inte kunnat hitta fler exempel på svenska hemsidor som drabbats av dataintrång som kan kopplas till sexdejtingsidorna. Men om Mathias Wilhelmsson på Stuart har rätt, och det rör sig om en automatiserad attack via ett känt säkerhetshål i det stora publiceringsverktyget WordPress, finns det nästan garanterat fler drabbade.
Trafikstöld hos Google
Här skulle Flammans granskning kunna ta slut, om det inte var för en märkligt upptäckt tidigare i mars.
Man kan ju diskutera hur pass etiskt korrekt det är och man kan fråga sig om det följer företagets policies. Och man kan verkligen fråga sig om det följer Googles egna policies. Men juridiskt tror jag att det är svårt att komma åt
Söker man på numret till min jobbtelefon på Google så är en av träffarna en adress jag inte känner igen, ett par placeringar ned från Flamman.se. Texten från sidan som visas av sökmotorn tycks vara en ordsallad av olika uppgifter från Flamman med insprängda begrepp som ”nätdejting” och ”bra dejting app”.
Jag klickar.
”Knulla lokala kvinnor ikväll”.
Jag är tillbaka på sexdejtingsidan.
Systemet som gör att mina och Flammans uppgifter finns på sajter som leder till sexdejting är egentligen ganska enkelt: En person stjäl text från en befintlig sida och klipper in den på sin egen. Någon som letar efter innehåll på den första sidan kan efter en Googlesökning hamna på den andra. Den fejkade sidan länkar i sin tur besökaren vidare.
I det här fallet till någon av de nämnda sexdejtingsidorna.
Materialet hämtas med största sannolikhet in automatiskt, och visas inte utåt på fejksidorna. Syftet är att lura Googles algoritmer och ge sidorna som länkar vidare till sexdejtingsajten en hög placering bland sökträffarna.
Flammans granskning visar att experimentet går att upprepa, och att åtminstone tio andra svenska medieföretag är drabbade, däribland Aftonbladet, Expressen och Mittmedia. I Svenska Dagbladets fall har tafikstölden fungerat så bra att tidningens hemsida vid en sökning på visst innehåll från deras sida knuffats ned från Googles förstasida. Där ligger nu bara sidor som länkar till sexdejtingsidorna.
Bland de drabbade finns också en rad svenska myndigheter – däribland Säkerhetspolisen, Myndigheten för säkerhet och beredskap, MSB, och Utrikesdepartementets hemsidor.
Sannolikt används material från många fler svenska sajter för att lura besökare till sexdejtingsidorna.
– Det behöver ju inte vara så fasansfullt, säger David Lindahl på Totalförsvarets forskningsinstitut till Flamman. Han är expert på IT-säkerhet och IT-krigföring, och menar att han än så länge framförallt sett tekniken användas för att tjäna pengar, ett mindre nogräknat sätt att få trafik till sin hemsida, helt enkelt. Men metoden skulle också kunna användas i värre syften.
– Tar du en äkta sajt, och sen kopierar du den, och sen ändrar du materialet i den – helt enkelt så att du lämnar falsk information och hoppas att folk ska gå på det, då är det ju en påverkansoperation av något slag. Och det kan vara antingen som ett skämt eller som ett konstprojekt eller av politiska skäl, säger David Lindahl.
– Låt oss säga om jag skulle göra det här mot någon och sen tipsar en politiker. De kollar länken, de gör en kopia och lägger upp på sin blogg och sen skriver de om detta. De vet inte ens om att det här inte är sant. De kan agera i god tro. Det är det man skulle kunna utnyttja om folk inte håller koll på var de surfar – om folk inte är källkritiska. Och tyvärr så är folk inte källkritiska.
Hur många besökare som letar efter svenska myndigheter eller medier, men som i stället hamnar på sexdejtingsidorna är svårt att säga. Sannolikt rör det sig om en mindre del, då de fejkade sidorna är lätta att upptäcka och inte är speciellt lika ursprungssidorna.
Företaget från Amsterdam
Bakom sexdejtningsajterna som sprids via sociala medier, trafikstölder och intrånget hos Hedemora energi står ett nederländskt företag. I Sverige representeras de endast av en postbox på Föreningsgatan i Malmö.
Företaget är baserat i Amsterdam och registrerades i slutet på 2016. Enligt uppgifter från den nederländska handelskammaren har de en enda anställd. Det nederländska företaget ägs i sin tur av ett företag i Saudiarabien.
Förutom porrbottarna och attackerna mot Hedemora energi kan företaget också kopplas till fejkprofiler på Facebook – som sprider likadana länkar. Det senare kunde Metros Viralgranskaren visa redan förra året.
Företaget använder sig av ett antal domäner riktade mot Sverige, men har också till exempel norska och brittiska versioner. I samtliga fall hänvisar sidorna till det nederländska företaget.
Om företaget själva står direkt bakom spridandet av länkar, eller om det är en tredje part som får betalt för att driva trafik till företagets sidor, har Flammans granskning inte kunnat visa.
Direkta dataintrång, som det hos Hedemora energi, är olagliga. Fejkade konton som sprider spam på Twitter bryter mot företagets användaravtal – även om Twitter under årets första månader inte har lyckats stoppa inflödet av porrbottar. Att någon använder material från ett företags eller en myndighets hemsida för att lura Googles sökalgoritmer och locka till sig trafik kan dock vara svårt att stoppa.
Eftersom den fejkade sajten inte publicerar materialet utåt, mot besökarna, utan bara ”visar” det för sökmotorn, rör det sig troligtvis inte om ett upphovsrättsbrott Enligt Jeanette Gustafsdotter, VD på branschorganisationen Tidningsutgivarna.
– Nej jag kan inte se att det blir något upphovsrättsligt brott, det kan jag inte. Vad man kan diskutera i debatten det är ju olämpligheten i att driva trafik via publicistiskt material, utan att delge läsarna materialet, säger hon till Flamman.
– Man kan ju diskutera hur pass etiskt korrekt det är och man kan fråga sig om det följer företagets policies. Och man kan verkligen fråga sig om det följer Googles egna policies. Men juridiskt tror jag att det är svårt att komma åt.
Flamman har sökt Google i Sverige för en kommentar. De har vid tidningens pressläggning inte återkommit.
Flamman har också vid flera tillfällen sökt det nederländska företaget, både via telefon och mejl. Inte heller de har återkommit.
_____________________________________
Prova Flamman gratis!
Just nu kan du få prova Flamman gratis i en månad. Följ länken för mer information.