الصورة: شترستوك
هنالك طرق عديدة لمعرفة هويّة الأفراد أو المنظّمات المخفيّة الكامنة وراء مواقع الويب الإشكاليّة، ابتداءً من الطّرق البسيطة إلى الطّرق بالغة التعقيد. لكن التّحقيقات النّاجحة في المواقع المجهولة التي تروّج للكراهيّة أو الاحتيال أو المعلومات المضلِّلة تبدأ عادةً بنفس الأسئلة.
الصورة: NICAR23
في مؤتمر NICAR23 لصحافة البيانات الذي عُقدَ مؤخرًا في ولاية تينيسي، قُدّمتْ جلسة حواريّة عن تحقيقات المواقع الإلكترونية شارك فيها كلٌّ من “بري بنغاني“، الزميلة الأقدم في الحوسبة في مركز تاو للصحافة الرقميّة في جامعة كولومبيا، و”جون كيغان“، وهو مراسل بيانات استقصائي في The Markup، واقترحا خلال الجلسة نهجًا مألوفا للعمي الصّحفي لمعالجة هذا المضمار الرّقميّ الذي قد لا ييبدو مألوفًا في كثير من الأحيان. قالا إنّه للعثور على الجهة الكامنة وراء موقعِ ويب يجب أن نبدأ بطرح أسئلة ماذا ولماذا ومتى وكيف حول تأسيسه وتطوّره. يمكن للصحفيين بعد ذلك أن يجربّوا طرقًا مختلفة للإجابة على هذه الأسئلة.
بعض هذه الطرق واضحة ومباشرة بشكل مدهش. على سبيل المثال، يمكنك فقط نسخ ولصق جزء من النّص من بنود الخدمة أو صفحة “about” لموقع الويب وتضعها على غوغل لتعرف ما إذا كان هنالك مواقع أخرى تستخدم نفس الطّريقة في الكتابة. يمكن أن تكون التكتيكات الأخرى – مثل تلك التي تتطلب الكودينغ بلغة بايثون، أو التي تبحث في النطاقات الفرعية للإنترنت – معقدةً للغاية لدرجة أن غرفَ الأخبار تحتاج إلى مهارات متقدمة في علوم الكمبيوتر. بعض الطّرق الجيّدة تبدو معقّدة، ولكنها ليست كذلك – مثل فتح شفرة المصدر لصفحة ويب (source code)، واستخدام “Control-F” لتصل بسهولة إلى رمز الإيرادات الفريد للمالك (revenue code)، لمساعدتك في العثور على مواقع أخرى تستخدم نفس الشفرة. (اطّلع على وصفٍ مفصّلٍ لهذه التّقنية – التي تستخدمُ جشعَ الجهات السيئة لتكشفَ هويّتهم – كتب هذا الوصف “كريج سيلفرمان” من منصة ProPublica في الفصل الأول من دليل GIJN للصحفيين الاستقصائيين في الانتخابات.)
قدّمَ مؤخرًا “إتيان ماينير” الباحث في مختبر الأمن التّابع لمنظمة العفو الدولية، تمهيدًا ممتازاً لهذا المشهد الاستقصائي المعقّد فضلاً عن العديد من الأدوات والتّقنيات المفيدة. ألّف مطلع هذا العام فصلَ معاينةٍ سريعة من دليل GIJN للتّحقيق في التّهديدات الرقميّة، والذي سيصدر بالكامل في المؤتمر العالمي للصحافة الاستقصائية لعام 2023 في السويد في شهر أيلول.
يعتمد الصّحفيون بشكل عام على أربعة مصادر لهذه التّحقيقات: المحتوى على الصفحة ووسائل التّواصل الاجتماعي المرتبطة بالموقع، المصادر مثل الموظّفين السّابقين، معلومات ملكية “Whois” التي قُدّمت عند تسجيل الدّومين، والبنية التحتيّة للإنترنت المرتبطة بهذا الدّومين.
إلا أن بيانات Whois قد أُضعِفتْ بسبب العديد من الظواهر في السنوات الخمس الماضية، بما في ذلك قواعد خصوصيّة بيانات GDPR الصّارمة في أوروبا واختيار العديد من المسجِّلين إخفاء أسمائهم وعناوينهم. ومع ذلك يمكن أن يعود الصحفيون بالزمن في كثير من الأحيان إلى الوقت الذي لم يكن يحاول فيه أصحاب المواقع أن يحموا خصوصيتهم. لهذا ينصح الخبراءُ المراسلين بالبحث في سجلات الدومين التاريخية، باستخدام المنصات التجارية مثل DomainTools،و Recorded Future، وCisco Umbrella أو الخدمات ذات المستويات المجانية، مثلWhoxy.com وWhoisology.com.
هنالك أيضًا أدوات جديدة للتعمُّق أكثر في أماكنِ وطُرقِ استضافة المواقع، وفي بروتوكول نظام أسماء النطاقات (DNS) – ما يسمى بـ “دليل هاتف الإنترنت”.
كما سلط “كيغان” و”بنغاني” الضّوء على قوّة تاريخ “بيانات DNS السلبية”، وذكرا أدوات قوية مثل DNSDB Scout وRiskIQ، التي يمكنها ربط عناوين IP بالنطاقات، والعكس صحيح. DNSDB قاعدة بيانات واسعة من معلومات DNS السلبيّة التي بدأت في عام 2010 – وقالت “بنغاني” إنّها “تستغل حقيقة أن مجرمي الإنترنت يشاركون المصادر ويعيدون استخدامها” حسب المكتوب على موقعهم – وهي متاحة مجانًا للصحفيين الموَثَّقين الذين يسجلون ويحصلون على مفتاح API لاستكشافها. “تمكّنُ هذه العمليّةُ المستخدمين من العثور على عنوان IP الذي يعمل عليه دومين معين، ثم معرفة مواقع الويب الأخرى الموجودة على على عنوان IP هذا. يمكن بعد ذلك التحقيق في كل من هذه -المواقع- بشكل مستقل.”
النّجاحات الأخيرة في البحث العميق في المواقع
في حين أن معظم المواقع “الإخباريّة” التآمرية تعيد مشاركة القصص الكاذبة من حسابات أخرى – مما يجعل من السهل تبيُّن الشّبكة من خلال عمليات البحث عن المحتوى الذي يتم نسخه ولصقه – هنالك عددٌ متزايد من المواقع التي تستخدم محتوى مضللاً أصليًا بدون أسماء كتُّاب حقيقيين. أشار كيغان إلى تحقيقٍ أجري عام 2022 في موقع بالغ التّأثير لمناهضة التّطعيم والمعلومات الطبية الخاطئة في المملكة المتحدة كتوضيح، فهذا المثال يوضّح بعض التقنيات المفيدة في تتبُّع المؤلفين المخفيين للمحتوى الأصلي. قال إن المراسلين في موقع المراقبة Logically نقروا ببساطة على اسم كاتب المقال من طاقم الموقع المجهول فظهر أمامهم جزءٌ من اسمِ صاحبِ حساب WordPress خاص بالموقع. ثم كشف البحث على Internet Archive عن اسم الشركة التي استضافت الصّفحة بالأصل، ثم كشف بحث Whois عن الاسم الكامل للشخص الذي سجّل تلك الشركة – وهو ما تطابقَ مع اسم المؤلّف الجزئي.
قال “كيغان”: “لقد وجدوا بيانات ربما لم يكن من المقصود أن تكون على الموقع”. “أدرك المراسلون أن هناك ملف PDF على الموقع يحتوي على اسم مشابه، ورأوا تلك الأحرف الأولى في حقل البيانات الوصفيّة، وتمكّنوا من استخدام ذلك للعثور على صاحب العمل. أيضا ، كما كان [أصحاب الموقع] يتلقّون تبرّعات، وهذا ساعد التّحقيق – تذكّر أن الكلّ يريدون أن يُدفع لهم”.
قد يتطلب الكشف عن النّطاقات السرية المدعومة من الحكومة تقدمًا تدريجيًا على مدى عدّة أشهر. يعدّ موقع Unmasking the WarOnFakes، وهو موقعٌ مزيّف لفحص الحقائق ظهرَ بعد أيّام من غزو روسيا لأوكرانيا، مثالاً واضحًا على ذلك. أولاً، استخدم المراسلون في الإذاعة العامة الألمانية دويتشه فيله أدوات مثلWho.is، وأرشيف الإنترنت، وScamAdvisor للعثور على معلومات متناثرة كافية– مثل التّضخيم الواسع من قبل وسائل الإعلام الحكومية الروسيّة، وعنوان اتّصال غامض في موسكو – للإشارة إلى الموقع كدعايةٍ حكوميّةٍ محتملة، والعثور على روابط لمنتدى العملة المشفّرة. استخدمت “بنغاني” لاحقًا وبشكل مستقل أدوات مثل RiskIQ وCrowdtangle واكتشفت أن الترويج للموقع قد تمّ بسرعة من قِبل قنوات دبلوماسية مؤثرة، بما في ذلك القنصلية الروسيّة في إحدى المقاطعات الصينيّة. وقالت إن الأمر استغرق عامًا كاملاً قبل أن يكتشف الصحفيون اسم المالك المسجّل.
“هذا يسلّط الضوء على الحاجة إلى تتبُّع مواقع الويب باستمرار، بدلاً من القيام بعملية مسح واحدة” قالت “بنغاني”. “حتى إذا لم تتمكن من تحديد [مالك الموقع] ، فقد تجد دوافعه على الأقل، والقرائن التي يمكن أن تقودك إلى الخطوة التالية.”
بحثت دويتشه فيله في موقع WaronFakes.com لمدة عام قبل اكتشاف اسم أحد مالكيه المسجّلين. الصّورة: لقطة شاشة، دويتشه فيله
أسئلة لتوجيه التّحقيقات في ملكيّةِ مواقعِ الويب
– ما هو الغرض الظاهر من الموقع؟ قال “كيغان”: “اسأل: هل تم إنشاؤه لكسب المال من خلال الإعلانات أو عمليات الاحتيال؟ لإدارة عمليات النفوذ؟ لنشر المعلومات المضلّلة؟ لتعزيز حركة اجتماعيّة؟ هل يبدو الموقع وكأنه نسخة مقلَّدة؟ إذا بدا أن المال هو الدّافع الأساسي فهذا خبر ممتاز لتحقيقك. “لأنه يمكنك بعد ذلك أن تتبّع المال فحسب. قبول الأموال أو المدفوعات يزيد فرصة كشف هوية الجهة -القائمة على الموقع- بشكلٍ كبير.”
– هل للموقع نشرة إخبارية؟ أشارت “بنغاني” إلى أن “النشرات الإخبارية عبر البريد الإلكتروني تسرد في العادة عناوين المالكين. اشتركْ في نشرتهم الإخباريّة إذا كان عندهم نشرة.”
– هل يظهر اسم الموقع على LinkedIn؟ قال “كيغان”: “أبحث أحيانًا عن اسم الموقع على LinkedIn ، وقد تعثر أحيانًا على شخصٍ سبق له العمل في أحد هذه المواقع”. “LinkedIn رائع – غالبًا ما تقترح خوارزميته أسماء شركات أخرى ذات صلة – ولكن حاول أن تكون مسلّحا ببعض معلومات الشّركة عند الوصول إلى شخصٍ “بارد“.
– هل هو موقع منشَأ على WordPress؟وهل يستخدم قالب WordPress مجاني دون أيّ تغييرات حقيقيّة؟ قال “كيغان”: “إذا كنت تعرف أنه موقع WordPress، فهناك بنية معينة في عنوان URL يمكنك التّنبُّؤ بها – هناك دائما مؤلف في عنوان URL، ويمكنك إجراء بحث موسّع على Google”. “الأداة التي أستخدمها طوال الوقت هي BuiltWith. لديهم أداة رائعة حقًا لملفات تعريف “العلاقة”، والتي ستظهر لك أي علاماتٍ جنائيةٍ رقميةٍ مشتركة بين عنوان URL وبين نطاقات أخرى. توفّر علامة تبويب التكنولوجيا ملفًا شخصيًا سيجعلك ترى أن الموقع “يستخدم WordPress أو المكون الإضافي Yoast SEO” وأشياء أخرى.
– كيف تغيّرَ الموقع بمرور الوقت؟ تنصبح “بنغاني” بتجريب أدوات مثل WayBack Machine وWhois.com و”حاول إنشاء جدول زمني للتغييرات الرئيسية”.
– هل يطلب الموقع الدفع عبر PayPal؟ إذا كان الأمر كذلك، فقد اقترح “كيغان” “خدعة رائعة” حيث يمكن أن تظهر هوية مالك الموقع خلال مرحلة الدّفع النهائية لـ PayPal. وأوضح: “كنت أحقق في شركات قمصان محتالة، ووجدت أنّك عندما تصل عند الزّر لطلب شيء، سيظهر أحيانًا اسم صغير للشخص الذي سيتلقّى الدّفعة”.
– هل يستخدم علامات Google AdSense أو Google Analytics الفريدة؟ انقر بزر الماوس الأيمن على أي مساحة بيضاء على الموقع المعني، وانقر فوق “مصدر الصفحة” (page source)، ثم اكتب “UA” أو “Pub” في Control-F لمعرفة ما إذا كان هناك أي من هذه العلامات في شفرة المصدر. ثم ابحث في هذه الرموز داخل أدوات مثل DNSlytics.com و BuiltWith. وأشار “كيغان”: “تذكر أن شخصًا ما يريد الحصول على أموال في مكان واحد مقابل الإعلانات من مواقع متعددة يديرها”.
– هل هناك أدلة أو إشارات إلى المنطقة الزمنية المرتبطة بالموقع؟ قد يوفر هذا أدلة على المكان الذي يقيم فيه المالك أو مؤلّف الصّفحة – وما إذا لم ييكن في المكان الذي يزعم أنه فيه.
– هل هناك صور شخصية يمكنك التحقيق فيها؟ قال “كيغان”: “يمكن أن تحتوي الصّور على بيانات وصفيّة كاشفة للغاية. قم بتنزيل الصّورة وافتحها في عارض الصور الخاص بك، وانظر إلى البيانات الوصفيّة. تحتوي أحيانًا على معلومات مثل الوقت الذي تمّ فيه التّعديل على الصورة، ومتى تم التقاطها – ربما يحتوي على نظام تحديد المواقع العالمي (GPS) إذا كانت صورة ملتَقطةً بهاتف خاصةً على موقع شخصي”.
– هل يحتوي الموقع على صفحة فيسبوك؟ ذكرت “بنغاني” أن هذه الميزة تقدّم بيانات “محدودة للغاية”، ولكن بالرّغم من ذلك فإن أداة الشفافية في فيسبوك قد تكون مفيدة جدًا في هذه التّحقيقات. وقالت: “صفحات الشّفافيّة على فيسبوك أفضل من لا شيء”. “من المفترض أن يُظهروا عنوان ورقم هاتف المنظّمات التي تدير الصّفحة، والمنظمات التي تربطها “شراكات”مع الصّفحة.”
– هل المحتوى منشور في مكان آخر؟ قالت “بنغاني”: “ما نراه كثيرًا هو نشر نفس المقالة على مواقع ويب متعددة. في بعض الحالات، تكون نتائج بحث غير مرغوب بها (spam)، وفي بعض الحالات تقوم الجهات بنشر كل شيء على مواقع متعددة، أو قد تكون عملية سرقة بيانات.”
– هل هنالك عنوان بريد إلكتروني مسجَّل مع الدومين؟إذا كان الأمر كذلك، فتأكّد مما إذا كان العنوان يعمل، وتعرّف على الحسابات المرتبطة به. اقترح “كيغان” على الصحفيين أن يجربوا Have I Been Pwned، للتحقُّق مما إذا كان قد تم الإبلاغ عن رسائل البريد الإلكتروني في خروقات البيانات. يمكنك استخدام أداة البحث العكسي الجديدة عن البريد الإلكتروني Epieos ، والتي لا يمكنها تأكيد وجود عنوان فحسب، بل يمكنها أيضًا العثور على حسابات Skype وحسابات الوسائط الاجتماعية المرتبطة بهذا العنوان. يمكنك أيضًا محاولة “تخمين” عنوان المالك باستخدام hunter.io.
قالت “بنغاني”: “إن تسجيل وإنشاء أي حضورٍ على الإنترنت – سواء كان موقعًا إلكترونيًا أو حسابًا على وسائل التّواصل الاجتماعي – يترك آثارًا رقميّة، يمكننا تتبّعها. قد يوصلنا هذا أحيانًا إلى الحلّ السحري، ولكن حتى في الحالات التي لا يحدث فيها ذلك، لا بد أن يوصلنا إلى معلومات وفيرة يمكن استخدامها لاحقًا عندما نتعمّق في العمل الصحفيّ.”
للحصول على قائمة بالتقنيات الأكثر تقدمًا لتتبُّع ناشري مواقع الويب المجهولة، اطّلع على قائمة التّحقُّق على GitHub من إعداد “كيغان” و”بنغاني”.
روان فيليب مراسل لـ GIJN. كان في السّابق كبيرَ المراسلين لصحيفة “صنداي تايمز” في جنوب أفريقيا. عمل كمراسل أجنبي وقدّم تقارير عن الأخبار والسّياسة والفساد والصّراع في أكثر من عشرين دولة حول العالم.
