Клон сайта @legion_svoboda использует три метода сбора данных о пользователях. Первый метод включает в себя онлайн-форму, которая появляется, когда пользователи нажимают кнопку «Присоединиться» на главной странице. Эта форма находится на поддомене form., размещена на сервере Namecheap и работает поверх Lime Survey, самостоятельным решением с открытым исходным кодом, написанным на PHP.

Второй способ связи, предлагаемый на сайте — это email, зарегистрированный в @ProtonMail — dvizheniesrs[@]proton[.]me. Этот адрес электронной почты нигде не упоминается в сети, кроме как на сайте с фишингом. Он отличается от официального адреса электронной почты и имеет один дополнительный символ `s` перед `@`.

@legion_svoboda @ProtonMail Третий способ связи на ФСБшном клоне сайта — ссылка на Telegram Bot с ником `lsr_oficial_bot`. Этот ник очень похож на официальный, но содержит опечатку (`oficial` вместо `official`).

Второй же ФСБшный сайт, являющийся клоном сайта РДК, также имеет несколько вариантов связи. Подобно предыдущему ханипоту, он включает в себя онлайн-форму, в которой пользователям предлагается ввести свои персональные данные. Однако, в отличие от предыдущего ханипота, этот использует Google Forms для онлайн-формы идентичной оригинальной.

@legion_svoboda @ProtonMail Помимо формы, на сайте также указан адрес электронной почты для связи — info[@]rusvolcorp[.]com. MX-записи для этого домена указывают на @Namecheap, что означает, что Namecheap размещает этот почтовый ящик.

@legion_svoboda @ProtonMail @Namecheap Эти пидоры даже создали альтернативные Telegram-каналы, в которых повторяют контент официального канала, но модифицируют ссылки и средства связи.

@legion_svoboda @ProtonMail @Namecheap Для пущей убедительности, в фейковые каналы нагнали ботов — более 50,000 штук. Однако их выдает количество просмотров на публикациях — в среднем от 100 до 200, что совсем никак не соответствует числу подписанных пользователей.

Резюмируя: если во всех предыдущих обвинениях Яндекс отмахивался всякими рассказами про "ой это алгоритмы" или "ой это мы по закону, мы бессильны", то тут уже такое не прокатит. Почему? А вот:

@legion_svoboda @ProtonMail @Namecheap И РДК, и Легион Свобода России — широко известны и часто упоминаются. Их участие в обороне Украины широко освещается в СМИ и активно обсуждается на платформах социальных сетей. Ссылки на их официальные сайты обычно распространяются по этим каналам.

@legion_svoboda @ProtonMail @Namecheap Однако, если потенциальный волонтер ищет официальный сайт одной из этих волонтерских групп на Яндексе (самой популярной поисковой системе в России), он столкнется с ФСБшными клонами сайтов в качестве верхних результатов, а настоящий сайт может вообще не появиться.

@legion_svoboda @ProtonMail @Namecheap Учитывая, что поисковая система работает с помощью автоматизированных алгоритмов и разнообразных метрик для предоставления оптимальных результатов, очевидно, что преднамеренное представление вредоносных ханипотов не могло произойти без вмешательства человека.

@legion_svoboda @ProtonMail @Namecheap Очевидно, что отдельные лица в Яндексе вручную изменили результаты поиска, чтобы выдавать ФСБшные сайты первыми в выдаче вместо оригинальных ресурсов.

@legion_svoboda @ProtonMail @Namecheap Такое вмешательство потребовало бы одобрения со стороны высшего руководства компании, поскольку оно подразумевает изменения в ядре продукта. Эти корректировки проходят тщательную проверку несколькими сотрудниками, прежде чем будут реализованы для публичного доступа.

@legion_svoboda @ProtonMail @Namecheap Учитывая вышеизложенное, можно с уверенностью сказать, что за созданием подобных ресурсов стоит Федеральная служба безопасности Российской Федерации (ФСБ), поскольку только она может оказывать давление на компании внутри России с целью склонения к сотрудничеству.

Другая крупная российская ИТ-компания также помогает ФСБ в этом деле — ВК. Хотя ссылки на оригинальные сайты вышеупомянутых организаций оперативно удаляются с платформы, упоминания ханипотов продолжают появляться и комментарии, опубликованные с контроллируемых спецслужбами страниц, даже агитируют людей по ним переходить.