Охота за файлами в VK (часть 2)

Грустная новость: спустя месяц после моего поста о поиске файлов во ВКонтакте API сервиса изменилось. Теперь поиск работает только по вашим личным документам! Свет в той будке обрубили капитально, так что запросы к vk.com/docs для поиска информации стали бесполезными.

Но там, где закрывается одна дверь, открывается другая! 🚪

🔥Новый способ (доступен только авторизованным пользователям)
Оказалось, что через vk.com/search/statuses можно искать посты с вложениями, включая файлы.

Как искать?
1️⃣ Выбираем фильтр «Вложения» → «Файл»
2️⃣ Вбиваем нужный запрос (например, «инструкция»)
3️⃣ Готово! Перед вами — все доступные посты, содержащие слово "инструкция" с прикреплёнными файлами.

Минусы
Нельзя искать по названию файла (только по тексту поста) из-за этого выдача стала менее точной

Плюсы
Работает не только с файлами, но и с другими типами вложений:
📷 Фото | 🎥 Видео | 🎧 Аудио | ✏️ Граффити | 📝 Заметки
📊 Опросы | 🔗 Ссылки | 🖼 Альбомы | 📰 Статьи

Пример (скрин с результатом прикреплен к посту):
https://vk.com/search/statuses?c[allow_dups]=1&c[attach]=8&c[per_page]=40&c[q]=инструкция

Дополнение
В фильтре можно указать геолокацию и искать посты только в нужном районе!

Как думаете, через сколько недель этот функционал прикроют? 😂

@ru_vm #BritLab #OSINT #ВК

Как искать ролики на YouTube по локации?

Недавно наткнулся на древнюю, но любопытную Google-таблицу с подборкой OSINT-инструментов.
Сразу привлёк внимание инструмент для поиска YouTube-видео по координатам: YouTube Geofind

Где может пригодиться?
1️⃣ Проверка достоверности информации
Если из одной локации поступают противоречивые данные, можно найти все видео с этого места и сравнить их.
2️⃣ Расследования и журналистика
Установление места съёмки: если видео якобы снято в Сирии, а координаты ведут в другую страну — это повод усомниться.
Поиск свидетелей: можно найти ролики, снятые рядом с местом события, и посмотреть, кто там был.
3️⃣ Кибербезопасность
Выявление фейков, где одно и то же видео выдают за съёмки из разных мест.
4️⃣ Краеведение
Анализ изменений локации: стройки, разрушения, природные катаклизмы — можно сравнить, как место выглядело раньше и сейчас.

Главный недостаток
➖Не у всех видео есть привязка к геолокации (не вина инструмента)

Как сделать свой Youtube Geofind?
Ключевой принцип работы инструмента прост и завязан на YouTube API (документация).

Чтобы найти видео по координатам, достаточно одного запроса:

https://www.googleapis.com/youtube/v3/search?part=snippet&type=video&location={latitude}2C{longitude}&locationRadius={radius}&publishedAfter={publishedAfter}&key={API_KEY}

Где:
— latitude и longitude - широта и долгота;
— radius - радиус
— publishedAfter - значение даты и времени в формате RFC 3339 (1970-01-01T00:00:00Z), которое указывает, что ответ API должен содержать только видео, созданные в указанное время или после него
— API_KEY - ваш API-ключ, который можно получить через Google Console

Пример запроса (все видео в радиусе 200 м от Красной площади, опубликованные после 00:00 9 мая 2025 года):

https://www.googleapis.com/youtube/v3/search?part=snippet&type=video&location=55.7539%2C37.6208&locationRadius=200m&publishedAfter=2025-05-09T00:00:00Z&key=<ваш API-ключ>

В ответ получаем JSON с найденными видео (пример на прилагаемом к посту скриншоте).
Метод поддерживает и другие параметры — подробнее в официальной документации.

Заключение
Важно помнить, что любые инструменты — лишь вспомогательные средства. Не стоит забывать о критическом мышлении и перекрёстной проверке.

Отдельно хочется поздравить всех с Днём Великой Победы! 🇷🇺

@ru_vm #BritLab #OSINT #YouTube #Геопоиск

Разведка по 2GIS: как отзывы выдают ваши секреты

Перед тем как пойти в новое место, многие лезут в отзывы. Казалось бы — обычное дело. Но что, если я скажу, что ваш безобидный отзыв на шаурму у метро может раскрыть о вас гораздо больше, чем вы думаете?

Сегодня разберём, почему стоит дважды подумать, прежде чем писать отзывы, если вам важна приватность. И заодно — как эти отзывы могут использовать злоумышленники.

Причем здесь 2GIS?
В приложении у каждого авторизованного пользователя есть профиль, на который можно подписаться и следить за всеми отзывами. Многие думают: «Ну и что? Я же под ником "Аноним Анонимов"!»

Но вот в чём подвох:
➜ Если кто-то добавит ваш номер телефона в контакты, 2GIS подсветит ваш профиль — со всеми отзывами, фотками и активностью.

Что можно узнать из ваших отзывов?
1️⃣ Интересы — кафе, бары, магазины, кинотеатры… Всё, что вы оцениваете, рисует ваш цифровой портрет.
2️⃣ Место жительства — некоторые пишут отзывы на свои ЖК, ТЦ рядом с домом и даже на подъезды.
3️⃣ Круг общения — если вы и ваши друзья ходите в одни и те же места и оставляете отзывы, связь легко отследить.
4️⃣ Фотографии — машина, питомец, случайно попавшие в кадр документы… Мелочи, которые могут стоить дорого.

Вывод
Интернет ничего не забывает. Даже невинный отзыв может стать кусочком пазла, который сложит вашу жизнь перед злоумышленником.

👋 @ru_vm | #BritLab | #Приватность | #2GIS

SEO атаки в Telegram

Когда три месяца назад я запускал BritLab, то сразу понял, что без рекламы не обойтись.

Можно было, конечно, накопить и выложить пару десятков тысяч за один-два рекламных поста… Но я не из тех, кто легко расстаётся с деньгами. Вместо этого я начал искать максимально эффективный и бюджетный способ продвижения.

В итоге я обнаружил нечто настолько необычное и дешёвое, что заинтересовало меня не только как потенциального рекламодателя, но и как специалиста по информационной безопасности.

В чем суть?
В апреле 2025 года Telegram запустил поисковую рекламу [1].
Если коротко: теперь можно купить топ в поиске по ключевым словам.

Как это выглядит для пользователя?
1️⃣ Вводите в поисковую строку Telegram фразу, например: "OSINT"
2️⃣ Видите каналы по теме, но на первом месте — реклама.

Как это работает для рекламодателя?
1️⃣ Пополняете баланс (если рекламируете канал — ждете 21 день, пока средства зачислятся на счет, это ВАЖНО!).
2️⃣ В ads.telegram.org выбираете ключевые слова, по которым будет показываться ваш канал.
3️⃣ Ждете модерацию (до 24 часов) — и все, вы в топе!

Чем это может быть опасно?
Представьте ситуацию: у вас есть крупный Telegram-канал, например: «OSINT-Reaper», который вы развивали много лет. А у вашего конкурента — менее популярный канал на ту же тему (с названием «Инфаркт жопы»).

Что делает конкурент?
- Создает десяток свежих каналов, каждый из которых ссылается на основной
- Для каждого покупает в Telegram поисковую рекламу по запросам «OSINT» и «OSINT-Reaper»
- Пользователи, которые ищут ваш канал, в результатах находят только "Инфаркт жопы" 🫡

И это еще цветочки — в политике или финансах последствия могут быть куда серьезнее (представьте, что вы пытаетесь найти чат с родственниками, а при вводе "Семейный чат" на первом месте появляется реклама канала с запрещёнкой или предвыборными лозунгами).

Возвращаемся к рекламе настоящего BritLab
После прочтения новости о новой рекламе мне сразу пришла в голову идея, как можно использовать этот способ. В мае проходит ежегодная конференция PHDays, где собирается много людей, связанных с информационной безопасностью и смежными областями.

Это как раз та целевая аудитория, для которой создавался данный канал. Был запущен подготовительный процесс, который занял почти месяц.

Результат?
Теперь при поиске "phdays" в Telegram на первом месте — BritLab 🥇.

Тысяча показов стоит 50 звёзд (~115 рублей).

Пока выглядит не критично, но если это не пофиксят, мошенники быстро усовершенствуют стратегии — и может развернуться настоящий мегабаттл скамеров мирового масштаба. Будем следить.

P.S. У аккаунтов с Telegram Premium реклама отображаться не будет*

👋 @ru_vm | #Telegram | #PHDays

Как стикеры в Telegram выдают своих создателей?

Многие знают, что по любому Telegram-стикеру можно найти его автора.
Обычно для этого используют специализированных ботов, но давайте копнём чуть глубже, чтобы понять, как это работает.

1️⃣ Выбираем стикер для анализа
Я взял случайный стикер из пака от Codeby (не реклама, просто пример).
2️⃣ Достаём ID стикера
Раньше это можно было сделать через веб-версию Telegram, но потом её пофиксили. Теперь извлечь ID можно только через Telegram API.
Я использовал Python + Telethon, чтобы найти сообщение со стикером и вытащить его ID (пример на скрине). В моём кейсе у стикера был ID: 2128600356131700739
3️⃣ Включаем магию битовых сдвигов
После того как у нас есть ID стикера (2128600356131700739), делаем побитовый сдвиг вправо на 32 (Почему именно 32? Просто такой алгоритм решили использовать разработчики Telegram 🤷‍♂️). Старшие 32 бита становятся новым числом (остальное заполняется нулями).

В Python-консоли это можно сделать так:

2128600356131700739 >> 32

Результат: 495603391 — это и есть ID аккаунта создателя стикерпака (вот так Telegram "защищает" данные)

4️⃣ Ищем аккаунт по ID
Telegram не позволяет искать пользователей по ID через интерфейс, но способы есть (и не один). Оставлю их поиск вам для самостоятельного изучения.
В моём случае ID 495603391 ведёт к аккаунту @DzenCdb

Метод тестировался на множестве стикерпаков — работал безошибочно. Если найдёте исключения — пишите в комменты!

P.S. Завтра в 20:00 по МСК будет совместный подкаст с @Schwarz_Osint. Заходите послушать и позадавать вопросы)

👋 @ru_vm | #Telegram | #Stickers

Red Team против банков: разбор кейсов

Коллеги из PT SWARM выпустили мегагодную статью о реальных Red Team-операциях против финансовых организаций.

Что особенно впечатлило:
1️⃣ Физическое проникновение под прикрытием
• Посещение митапов с "кастомными устройствами"
• Как флешка с "резюме" может дать доступ ко всей сети
2️⃣ Разбор 0-day DLL Side-Loading в клиенте ВКС «Яндекс Телемост»
• Как с её помощью происходит обход средств защиты
• Технические детали эксплуатации уязвимости
3️⃣ Обход 2FA
• Отправка фишинговых писем через EWS API, минуя защищённый OWA
• Почему такие письма не попадают в спам и вызывают больше доверия
4️⃣ Железная составляющая атак
• Самодельные ИБП с SIM-картами для удалённого доступа
• Модифицированные Raspberry Pi для атак на беспроводные устройства
• Специальные флешки с автоматическим запуском полезной нагрузки
Полный разбор [ссылка]

👋 @ru_vm | #PT_SWARM

Сегодня ночью Telegram удалил канал @Schwarz_Osint (дошутился про Пашу Дурова). На самом деле событие довольно грустное, так как это один из немногих людей в индустрии, кто пытался сделать что-то действительно полезное, а не толкал рекламу и «авторские» курсы по киберразведке с весьма сомнительным содержанием. Что будет дальше — хз.

Сегодня вечером собираемся на подкасте в Северной Пальмире. Думаю, Шварц там расскажет более полную картину произошедшего. В придачу будет специальный гость, который имеет опыт работы в Kaspersky и Group-IB (расскажет подробности ликвидации одного крупного маркетплейса в даркнете). Моя же речь будет про злополучный «индекс пиццы» (почему это полная дичь и что с этим можно сделать).

Также планировали ввести новую рубрику «Мем месяца», где будем выбирать самый смешной мем из мира ИБ/OSINT. Если у вас такие имеются — можете скинуть в комментарии к посту, оценим их всем комьюнити на подкасте.

Когда: 27 июня, 20:00 по МСК
Где: в чате Северной Пальмиры

UPD: спустя сутки оригинальный канал снова стал доступен (во многом благодаря вам)! 🎉

👋 @ru_vm | #BringSchwarzBack

Паста с мамонтом

В сети существует ресурс psbdmp.ws [1], который (по заявлению владельца) содержит крупнейшую общедоступную базу дампов с Pastebin.

Почти 10 лет проект собирал пасты и аккуратно складывал их в свою базу данных. Но всему приходит конец: пару месяцев назад владелец решил объявить о скором закрытии ресурса и напоследок торгануть собранной коллекцией (на сайте указано, что в базе 28 млн записей).

По ряду каналов до меня дошли слухи, что цена этой базы — больше 1 млн рублей. Мягко говоря, многовато за такое небольшое количество данных. Я решил провести небольшой фактчекинг и разобраться, что это за ресурс и почему он вдруг начал продаваться.

Почему этот ресурс популярен?
Главное преимущество psbdmp.ws — удобный поиск паст по ключевым словам. Например, если сделать запрос:

https://psbdmp.ws/api/v3/search/t.me  

…то в ответе получим кучу ID паст, которые содержат ссылки, ведущие в Telegram (t.me).

Формат запроса:

https://psbdmp.ws/api/v3/search/<ваш_запрос>  

В запрос можно подставить домен, фамилию или что угодно иное (но пробел использовать нельзя!). Далее по ID пасты можно получить её содержимое.

Многие пасты на psbdmp.ws уже удалены с Pastebin, так что ресурс, действительно, хранит частично уникальные данные.

Но есть нюансы
1️⃣ Pastebin теряет популярность
Раньше в его дампах можно было найти тонну ценной информации. Сейчас пользователей всё меньше, а вместе с ними — и шансов найти что-то стоящее. Плюс новости об утечках многолетней давности подпортили репутацию сервиса.
2️⃣ Появились конкуренты
Много альтернативных площадок перетянули аудиторию.

Я проанализировал пасты за последние пару дней - в 99% случаев это мусор: реклама скамерских Telegram-каналов и прочего низкокачественного контента. Оставшийся 1% - это примеры кода. Теоретически там может заваляться что-то полезное, но заморачиваться с таким сбором я бы точно не стал. Лучше поискать источники получше)

А что с заявленными 28 млн записей?
Я решил проверить, сколько уникальных паст есть в базе psbdmp.ws. Через API ресурса [2] выяснилось, что их около 2 млн (и все их можно сдампить бесплатно)😂.

Как так вышло? У меня три предположения:
1️⃣ API не отдаёт все данные, которые есть у владельца
2️⃣ Заявленные 28 млн. — это не количество уникальных паст, а суммарное количество строк в них (склоняюсь больше к этому варианту)
3️⃣ Скам

Что делать с этой информацией — решайте сами. Лично я сделал вывод: эпоха pastebin прошла, а эпоха скама только набирает обороты.
Поэтому берегите себя и свои данные.
Кчау!

👋 @ru_vm | #PastAnalyze

Пару слов о работе

Кто я?
Меня зовут Вася. Более 5 лет занимаюсь построением ETL-систем в Positive Technologies. Прошел путь от джуна до сеньора, работал над десятками проектов, защитил диплом по информационной безопасности и накопил большой опыт в промышленной разработке.

Теперь к сути
Около года назад мне поручили разработку системы для сбора и агрегации всей доступной информации об уязвимостях в различном ПО.
Это был сложный путь: пришлось много экспериментировать и набивать шишки, но уже через пару месяцев появился первый рабочий POC.
Этот прототип перерос в PT Expert System — проект, о котором я хотел рассказать на PHDays 2025 (но кто-то отклонил этот доклад 🤷‍♂️).

Новый этап
Спустя некоторое время поступил запрос на создание Позитивного портала уязвимостей.
У нас быстро укомплектовалась мега-команда (это прям реально самая мощная команда, в которой я когда-либо работал на текущий момент) и работа пошла. Проект получился довольно крупным, поэтому пробовать вместить все это в один пост даже пытаться не буду. Скажу лишь, что в качестве источника данных там используется та самая PT Expert System, объединенная с многолетними наработками Позитива

Сегодня этот портал открыли во внешку и теперь он доступен всем желающим: https://dbugs.ptsecurity.com

Что можно найти на портале?
1️⃣ Трендовые уязвимости
2️⃣ Карточки уязвимостей, в которых отображается, что про конкретную уязвимость писали в соц. сетях и других базах уязвимостей
3️⃣ Список хакеров и зарепорченные ими уязвимости
4️⃣ Уязвимости без CVE (из вендорских бюллетеней, БДУ и пр. баз)
5️⃣ Ссылки на эксплойты (в разы больше, чем в EDB и аналогах)
6️⃣ Итоговые описания уязвимостей, сгенерированные LLM на основе всех доступных описаний

Более подробное описание: ссылка

История получилось весьма уникальной и необычной. Если у вас появятся какие-то дополнения или отзывы, то добро пожаловать в комментарии)

👋 @ru_vm | #PositiveTechnologies | #VulnerabilityPortal

Почти на каждой ИБ-конференции слышу споры о том, полезен ли CTF специалистам по ИБ или нет. Многие считают, что навыки, полученные в битвах за флаг, слабо пригодятся в рабочей деятельности и что это всего лишь "игрушки для детей".
Я считаю, что CTF хорош прежде всего тем, что он приоткрывает громадную дверь в ИБ-сообщество.

Когда я впервые устроился на работу программистом и мне дали рабочую задачу, при выполнении которой требовалась коммуникация с разными экспертами, оказалось, что с большинством из них я когда-то пересекался на различных CTF-ах, и этот факт начал давать приличный прирост в скорости отклика на мои заявки.
Через пару недель работы это позволило добиться очень большой продуктивности, так как все вопросы начали решаться напрямую, а не через футбол заявок в Jira, как это происходит во многих коллективах 🫤.

Со временем мои CTF-знакомые разошлись по разным компаниям и городам, заняв новые должности. Общаться стали реже, но встречи — ценнее.

Это неслучайно: спрос на ИТ/ИБ-специалистов резко вырос, и многие переехали из небольших городов в более крупные. В результате местные профессиональные сообщества начали терять активных участников.

Но есть и исключения. Например, капитан CTF-команды, в которой я раньше играл, живёт в Томске и активно развивает там ИБ-сообщество. Он организует крутые ивенты — не только для обмена знаниями, но и для того, чтобы специалисты находили друг друга.

Если вы в Томске и хотите влиться в мир информационной безопасности, то 26 АВГУСТА!!! в 18:30 (по местному времени) приходите в стерео-кафе "Санта Моника" (Томск, ул. Кулёва, 26).
Там пройдёт Secure IT Meetup, где, помимо докладов, можно будет лично пообщаться с ИБ-инженерами, специалистами и лидами (вход бесплатный, но нужна регистрация).

А 26 Июля (через 4 дня) в 20:00 по МСК стартует третья часть подкаста с @Schwarz_Osint в Северной Пальмире, в которой поговорим про пробиверов и OSINT в ИБ 👍

👋 @ru_vm | #подкасты

Паша, что ты сделал?

Вчера наткнулся на информацию, что в Telegram появится поиск по упоминаниям слов в публичных каналах — даже в тех, где вы не состоите.

Сперва не поверил, пока не установил новую бета-версию. Это действительно работает 🤯.

Как это выглядит?
Вводите в поиск любое слово (домен, никнейм, etc.), выбираете поиск по всем постам и получаете список постов, где это слово упоминалось.

Т.е. теперь любой пользователь может за пару кликов найти информацию, которая раньше была «спрятана». Стоит признать, что поиск пока работает не идеально - без дополнительных фильтров (но, скорее всего, это вопрос времени).

В текущей ситуации решение Telegram выглядит очень странно, т.к. данная функция может спровоцировать целую волну кибератак.

Переход на Max становится всё более логичным.

👋 @ru_vm | #telegram

Где же я пропадал все это время?

Привет всем! Меня так давно не было, что пора поделиться тремя историями о том, куда меня занесла жизнь.

История первая: мир OSINT-a
Несколько месяцев назад решил прокачать свои компетенции и записался на 4-месячный курс по OSINT от одной крупной компании (рекламу курсу давать не буду, скорее всего, вы её и так много где видели). Если вкратце, то преподавателей на курсе не оказалось. Были только методички (с видео) и домашние задания (+ был ещё бот техподдержки, но за 50+к рублей с человека можно было хотя бы преподавателя выделить). Методички оказались поверхностной водой, а задания сводились либо к одному запросу в LLM, либо к нудному составлению бессмысленных отчетов.
Итог: курс не закончил, больше обучаться на OSINT-курсах не планирую.

История вторая: как я докатился до суда
Здесь всё банально: я попал на мебельный скам)) Все описанные здесь ранее и прочие известные мне хитрушки оказались бесполезными против одного особо умного предпринимателя, который придумал чудную схему ведения мебельного бизнеса.
Итог: -60к рублей и билет в увлекательный мир судебных разбирательств с горизонтом в год. Оказалось, что даже с полным чемоданом документов, доказывающих, что тебя кинули, восстановление справедливости — это марафон по болоту, но я решительно настроен пройти его до конца. Вывод для себя: перед каждой крупной покупкой нужно проверять юр. лицо так, как будто оно собирается украсть вашу почку.

История третья: отдых
Съездил в отпуск. Деревня, лес, озеро, еда. Мне понравилось - это было определённо лучше, чем попадаться на скамеров в городе))

Три месяца, три разных жизни.
В одной я убедился, что интернет полон учителей, которые ничему не учат, в другой - что продавцы зачастую ничего не продают, а в третьей - был просто человеком в отпуске, пока из обломков первых двух складывалась новая картина.

Общий итог: если хотите прокачать скилл выживания, просто попробуйте купить в интернете что-то дороже 50000 рублей😉

👋 @ru_vm

Прежде чем вновь исчезнуть, хочу поделиться одной из самых надежных методик оценки контрагентов.

👋 @ru_vm