#КакOSINTить Сколько людей может находиться на площади? Следующий сервис позволяет понять примерную полезную емкость в людях улиц и площадей. Удобно для подсчета числа граждан, одновременно участвующих в массовых мероприятиях.

Источник: https://www.mapchecking.com/

#КакOSINTить Сегодня поучимся получать цифровой отпечаток пользователя посредством направления ему "безобидного" документа Office. Формируем файл, содержащий в себе идентифицирующий токен. Далее мы можем поместить в этот файл любой текст, а также переименовать его. Затем направляем сформированный файл объекту изучения. Как только файл будет открыт, вы сможете увидеть данные о компьютере, с которого это было сделано.

♾ https://canarytokens.org/generate

OSINT ПО EMAIL

▶️ https://youtu.be/EPpj8sIPBiQ
♾ https://start.me/p/b5gEPe/osint-email

Оглавление:
1. GMail
2. Яндекс Почта
3. Почта Mail.ru
4. ProtonMail
5. Верификация
6. Геолокация
7. Пароли
8. Никнеймы
9. Электронные следы

#КакOSINTить

OSINT ПО ФОТО

▶️ https://youtu.be/rfrwzrX2OlA
▶️ https://www.youtube.com/playlist?list=PLrFPX1Vfqk3ehZKSFeb9pVIHqxqrNW8Sy
♾ https://start.me/p/0PgzqO/osint-photo

Оглавление:
1. Фотоидентификация
2. Геолокация
3. Вебкамеры СПб
4. Вебкамеры Москва
5. Подсчет людей
6. Стеганография

#КакOSINTить

OSINT В TELEGRAM

▶️ https://youtu.be/u-2Lo1pgBq4
♾ https://start.me/p/NxkOl7/osint-telegram

Оглавление
1. Инструментарий
2. Деанонимизация
3. Логгеры
4. Нетипичный деанон
5. Узнаем соцсети
6. Никнеймы

#КакOSINTить

OSINT ПО ТЕЛЕФОНУ

♾ https://start.me/p/z4jqxM/osint-phone

Оглавление:
1. Проверка
2. Геолокация
3. Геолокация (через логгирование)
4. ГеоСМС
5. Электронные следы

#КакOSINTить

OSINT В СОЦСЕТЯХ

♾ https://start.me/p/vjkJ1B/osint-socnet
♾ https://start.me/p/KMONAw/osint-vkontakte

Оглавление:
1. ВКонтакте
2. Youtube
3. Instagram
4. Twitter
5. Facebook
6. Мой Мир

#КакOSINTить

OSINT ПО IP-АДРЕСУ

♾ https://start.me/p/z4jqzk/osint-ip

Оглавление:
1. Проверка
2. Логгеры
3. Нетипичный деанон
4. Узнаем соцсети
5. Геолокация
6. Черный список IP
7. MAC-адрес

#КакOSINTить

OSINT ПО WEB-САЙТУ

♾ https://start.me/p/aL7OgX/osint-site

Оглавление:
1. Я.Метрика
2. Идентификаторы
3. WHOIS
4. Архивирование
5. Гиперссылки
6. Поиск email

#КакOSINTить

OSINT ДЛЯ СБ

▶️ https://youtu.be/6-7kXKOMqJI
▶️ https://youtu.be/cj0R3LM96aA
♾ https://start.me/p/5vL1GA/osint-checking

Физические лица:
1. Россия
2. Беларусь
3. Казахстан
4. Украина
5. Тестирование

Юридические лица:
1. Проверка
2. Мониторинг
3. Иностранные ЮЛ

#КакOSINTить

OSINT С КРИПТОВАЛЮТАМИ

♾ https://start.me/p/9EaYjR/osint-crypto

Оглавление:
1. Криптовалюты

#КакOSINTить

OSINT С КРИПТОВАЛЮТАМИ

♾ https://start.me/p/9EaYjR/osint-crypto

Оглавление:
1. Криптовалюты

#КакOSINTить

Геолокация телефона через IP-адрес может дать вам примерную область нахождения устройства. Чтобы установить IP-адрес получателя электронного письма следует воспользоваться "пикселями отслеживания". Эти трекеры будут предоставлять такую информацию, как время доступа, а также IP-адрес, с которого был получен доступ к контенту.

getnotify.com
readnotify.com
didtheyreadit.com
mailtracking.com

#КакOSINTить

Ок. Пробежимся по полезному инструментарию для изучения сайтов и доменов, который был использован при подготовке статьи.

themarkup.org/blacklight - позволяет найти на сайте следящие рекламные модули
spyonweb.com - позволяет искать совпадения по рекламным идентификаторам
whois.domaintools.com - один из лучших WHOIS-сервисов
maxmind.com/en/geoip2-precision-demo - проверка IP-адресов
domainbigdata.com - позволяет искать архивные данные и контакты владельца домена
phonebook.cz - позволяет искать архивные данные и контакты владельца домена
spiderfoot.net - специализированный сервис для изучения интернет-ресурсов
archive.org/web/ - сохраняет копию веб-страницы в криминалистических целях

#КакOSINTить

13 июля финансовая пирамида «Финико» объявила о приостановке выплат и запросила у клиентов документы, подтверждающие происхождение вложенных средств... Основатель пирамиды Кирилл Доронин получил гражданство Турции и купил недвижимость в Таиланде. Его местонахождение в настоящий момент неизвестно.

Мы отслеживаем 129 176 криптокошельков, отнесенных к Finiko. Большая часть средств распределена на 4 других криптокошелька. Их баланс:
Final balance: 750.49326767 BTC
Final balance: 4716.27782002 BTC
Final balance: 4687.0524252 BTC
Final balance: 84.87091869 BTC

Присоединяйтесь к нам в соцсетях:
♾ https://t.me/irozysk
♾ https://vk.com/internet.rozysk
♾ https://www.facebook.com/internet.rozysk/

#КакOSINTить Подборки полезных источников для OSINT-исследований:

https://www.osintessentials.com/
https://www.toddington.com/resources/free-osint-resources-open-source-intelligence-search-tools-research-tools-online-investigation/
https://comskills.co.uk/digital-toolkit/osint-toolkit/
https://github.com/jivoi/awesome-osint
https://technisette.com/p/tools
https://infosecurity.by/osint-tools
https://osintframework.com/
https://osint.link/
https://intelx.io/tools

Присоединяйтесь к нам в соцсетях:
♾ https://t.me/irozysk
♾ https://vk.com/internet.rozysk
♾ https://www.facebook.com/internet.rozysk/

#КакOSINTить Skype

Исследование профиля Skype уместно начать с попытки восстановления пароля к нему. Сделать это можно по ссылке: login.skype.com. Система подскажет часть номера телефона или адреса электронной почты.

Общедоступные данные профиля Skype нам подскажет отличный сервис skypli.com. Поиск совпадений по никнейму в других онлайн-сервисах: t.me/maigret_osint_bot или whatsmyname.app. Поиск по фотографии: findclone.ru или search4faces.com.

Теперь переходим в Google и ищем упоминания профиля. Тут нам могут быть полезны более чем 2600 Google Dorks для Skype, которые можно изучить тут: intelx.io/dorks.

Поиск IP-адреса владельца Skype также возможен. Во-первых, тут github.com/cyberhubarchive/archive/tree/master/Skype%20resolver%20logs есть архив логов и почт, привязанных к профилям мессенджера. Во-вторых, есть ресурс webresolver.nl, который тоже иногда выгружает такие данные.

Не получилось? Тогда остается использовать всевозможные логгеры. Например: canarytokens.org или iplogger.ru.

О последней волне угона аккаунтов в мессенджерах

Волна не обошла и меня стороной, так как обращался клиент с подобным кейсом:

"хочу вернуть либо заблокировать аккаунт, а также по возможности найти негодяя и покарать, доон (дуй хъун)"

Но первое важнее и приоритетнее.

Дело в том, что злодей закрепился на аккаунте, привязав свою почту, на которую приходил код проверки, а у жертвы, естественно, не было ни привязки к почте, ни двухфакторки (которую, кстати, сейчас обходят банальным фишингом:"проголосуйте за девочку")

Но так как мы обычно шайтанам даже дышать не даём доон, то проблема была решена просто: даришь со своего аккаунта жертве премиум подписку, это позволяет ключ авторизации получить в SMS-сообщении на номер телефона, далее заходим и выгоняем жертву, прекращая другие сеансы. Иногда можно и без этого обойтись, так как злоумышленники не сидят долго в угнанном аккаунте. Они понимают, что на них могут пожаловаться, а ведь никому не нравится, когда за ними наблюдают, особенно учитывая то, что карта Qiwi-банка у тебя с платежной системой "МИР", и если отвалится VPN, то вполне можно будет понять, что кибергерой сидит где-то в Подольске или, там, в Серпухове.

(Кстати говоря, клиент убеждал, что обращался ко всяким руководителям компаний по кибербезу и даже к своим "знакомым из ФСО", и никто не смог помочь, хотя я думаю, что людям было банально лень)

При аналогичной ситуации рекомендую, кстати, при возврате своего аккаунта сразу же проверить вкладку "избранное". Туда чаще всего злодей будет скидывать для сохранения всю обнаруженную у вас в переписках персоналку (фотографии паспортов, договоров, данные карт и прочее). Так вы сможете понять, какие карты блочить и как еще вас можно в дальнейшем атаковать. А также, если обладаете связями, можно попробовать и поймать на живца, так как, вероятно, будут осуществляться попытки обратиться в микрозаймовые организации с вашим паспортом.

Теперь что касается расследования...

По сути, у нас может быть несколько артефактов, которые могут вывести на хитрое ничтожество:

1) ip-адрес и данные устройства, если успеем зайти одновременно и быстро отскринить, а затем выкинуть
2) Данные платежных реквизитов, но это чаще всего либо qiwi, либо paypal
3) Номер мобильного телефона, с которого пишут на вацап от имени СБ Telegram (да-да, писали на вацап с тайского номера, что, скорее всего, виртуалка, и утверждали, что если вы сейчас же не привяжете почту, то мы посчитаем вас соучастником и передадим в органы. Мда, телега сама жалуется в органы на мошенничество, конечно. Смешно.)

Ну в целом, из основного то и всё.

Если злодей все правильно сделал, то эти данные особо ничего не дадут и OSINTом найти реальные данные преступника не выйдет. Интересует только платежная система "Мир". Я, может, чего-то и не знаю, но вряд ли такую карту можно оформить где-то вне российского банка, а значит, все переводы подконтрольны росфинмониторингу и по идее отследить можно вплоть до банкоматов, где снимаются и зачисляются средства, однако мы же знаем, как быстро для вас росфинмониторинг найдет злодея и передаст его МВД.

Но попытаться стоит, особенно если есть связи.

Совершенно другой вопрос, если начать централизованно отслеживать подобные вещи. Такие атаки ведь идут волнами, а там и фишинговые страницы, с помощью которых угоняется аккаунт, опубликованные на форумах данные с угнанных телег и вацапов, попытки обращения в различные ведомства и организации с помощью данных скомпрометированных документов. Немного аналитики и, я уверен, большая часть злоумышленников где-то да обнаружит себя. Особенно если учесть тот факт, что они не похожи на сильно одаренных умом, судя по тому, какие они сообщения пишут (в моем кейсе деньги перевел только один человек, и то перевел на реальную карту жертвы, а не на киви-банк)

Так что, имхо, централизация и аналитика - причина успеха в данных явлениях.

P.S. О централизации и аналитике, кстати, достаточно часто говорит мой коллега и товарищ - Игорь Бедеров. У него много толковых и интересных идей на этот счет.