- 3
- 0
- 12 Сен 2024
Вступление
- Что такое OSINT.
- Виды OSINT разведки.
- Этапы OSINT разведки.
- Пример OSINT разведки.
- Основные OSINT инструменты.
Дисциплины сбора разведданных
- Подвиды OSINT.
- GEOINT.
- SOCMINT.
- HUMINT.
Анализ и dеанoнимизация в Telegram
- Верификация.
- Поисковики информации.
- Чаты телеграм.
- Боты обманки.
- HLR запрос.
- Получаем местоположение.
- Метаданные.
- Нетипичный фишинг.
- Каналы.
Инструменты
- Слежка через ссылку.
- Маскировка фишинг ссылки.
- Отслеживаем местоположение.
- Поиск аккаунтов в социальных сетях.
- Анализ телеграм профиля.
- Фишинг популярных сервисов.
- Получаем фото с вебкамеры.
1. Вступление
Что такое OSINT.
OSINT (Open Source Intelligence) - это интернет разведка, которая основана на том, что мы ищем информацию об объекте из открытых источников, таких как интернет, соцсети СМИ, реестры и т.д.Разведка - это результат объединения анализированной, интерпретированной и подтвержденной информации с информированными восприятиями и личным опытом для принятия решений. Разведка создается и формируется людьми. Машины могут собирать информацию, но не могут производить разведку.
Виды OSINT разведки.
OSINT делится на два типа: активная и пассивная разведка.Этапы OSINT разведки.
- Планирование: "Иди туда, не знаю куда, принеси то, не знаю что". В первую очередь, мы определяем цель поиска и направление движения. Набравшись опыта, вы сможете лучше понимать, где искать. Многое зависит от поставленной задачи, будь то составление справок о физических лицах, проверка компаний и их учредителей, или точечный поиск с помощью спутника.
- Поиск и собирание информации: На данном этапе не существует универсального алгоритма, так как цель часто уникальна, и необходимо адаптировать подход с учетом особенностей. Иногда информация, с которой можно работать, доступна на поверхности, в то время как в других случаях требуется полноценный мониторинг и постепенный сбор данных, иногда даже с использованием социальной инженерии. Следует отметить, что существуют два вида сбора информации: активный и пассивный.
- Анализ: Первым делом — фактчекинг, проверяем насколько достоверен источник перед нами, а также насколько информация логична и непротиворечива.
- Отчёт: Зафиксировав собранную информацию, важно помнить, что мы не роботы и многие вещи могут быть забыты. Кроме того, восприятие больших объемов данных будет намного проще, если информация представлена в структурированном виде. В данном контексте речь идет о простых записях в таблицах или майндкартах. Последние будут наиболее удобными при работе с обширными данными, когда ум может быть перегружен. Для тех, кто не знаком с термином, майндкарты представляют собой схемы связей и детализации информации "от общего к частному".
Пример OSINT разведки.
Многие могут ошибочно думать, что OSINT - лишь забава, смеха ради. Однако OSINT не ограничивается простым деаноном человека, за частую наоборот – это его меньшая часть.Приведу недавний пример: Сие действие происходило 26 марта в Днепре (Украина) во время войны. Дама украинского происхождения по имени anna_alkhim выкладывает в свой инстаграм сторис вечером 25 марта, в котором обратилась к своим подписчикам с просьбой о помощи с переполненными госпиталями раненных военных ВСУ.
Вот только у нее не хватило осведомленности, что российская разведка в кратчайшие сроки отслеживала всю социальную активность людей из районов боевых действий, вы можете задаться вопросом, и что же могло произойти?
Менее чем за сутки от медицинского госпиталя остались лишь обугленные стены.
Днём 26 марта в Днепре раздался взрыв, немого позже стало известно, что это ракетный удар по медицинскому учреждению, в результате которого погибло 2 человека, 30 были ранено, среди них было двое детей.
Основные OSINT инструменты.
- Инструменты поиска: Google, Bing, DuckDuckGo, Shodan, SpyFu
- Инструменты парсинга: Scrapy, Beautiful Soup, Octoparse
- Инструменты анализа: Maltego, NodeXL, Gephi
- Социальные сети: Facebook, Twitter, LinkedIn, Instagram
- Форумы и блоги: Reddit, Quora
- Реестры: WHOIS, DomainTools, IPInfoDB
2. Дисциплины сбора разведданных
Подвиды OSINT.
Ниже приведен краткий список дисциплин:- BLOCKINT (разведка блокчейн) — данные, о криптовалютных транзакциях записанных в блокчейне.
- COMINT (коммуникационная разведка) — данные, собранные путем перехвата сигналов между людьми.
- CRIMINT (криминальная разведка) — данные о преступной деятельности и преступниках, часто собираемые правоохранительными органами.
- CYBINT (киберразведка) — данные, полученные из компьютерных систем и сетей.
- DARKINT (разведка в даркнет) — данные, собранные в сетях Tor, I2P, Freenet и прочее.
- ELINT (электронная разведка) — данные, собранные путем перехвата сигналов между электронными системами.
- FININT (финансовая разведка) — данные о финансовой деятельности, часто получаемые из финансовых учреждений.
- GEOINT (геопространственная разведка) — географические данные, обычно получаемые от спутников.
- IMINT (разведка на основе фотографий) — данные из фотографий или других изображений.
- SIGINT (разведка сигналов) — данные, собранные путем перехвата сигналов между людьми или электронными системами.
- SOCMINT (разведка в социальных сетях).
- TECHINT (техническая разведка) — данные об оборудовании, технологиях.
- TELINT (телеметрическая разведка). Предыдущее название FSINT.
- HUMINT (сбор и анализ информации, полученной от людей), например, через контакты с агентами, информаторами или иными источниками внутри или вблизи целевой организации.
Также возможно увидеть упоминания TRASHINT, что представляет собой разведку мусора, где данные собираются из мусора или вторичных источников. Это шутливое отношение к другим разведывательным дисциплинам, а не настоящая разведывательная область.
Дальше в статье я разберу самые важные для нас.
GEOINT.
GEOINT, или геопространственная разведка - это процесс использования и анализа изображений, геопространственной информации для описания, оценки и визуального отображения физических особенностей и установления географической привязки деятельности на Земле.Если быть проще, GEOINT может помочь определить местонахождение цели по одной ее фото из открытого доступа.
Хорошим примером будет недавняя история: девушка поделилась в соцсетях, как она купается в Ницце в 5:30 утра, но Тревор Рэйнболт разоблачил врунишку, рассчитав азимут и высоту теней, выяснив, что видео записано в ≈ 6:05 утра. С Тревором Рэйнболтом многие не знакомы, эта личность прославилась благодаря тому, что он стал одним из топовых игроков в GeoGuessr - игра, в которой необходимо угадать местоположение улицы/переулка/шоссе в мире, пометив его на карте Google Maps.
В прошлом доступ к таким инструментам мог быть дорогостоящим и ограниченным, однако с развитием технологий появилось множество бесплатных ресурсов, которые можно использовать для создания теневых моделей и анализа метаданных в рамках GEOINT. Одним из таких инструментов являются бесплатные моделяторы теней, которые позволяют создавать трехмерные модели объектов и ландшафтов на основе анализа изображений и геоданных.
Кроме того, метаданные с фотографий и файлов также могут быть использованы в рамках GEOINT для получения дополнительной информации о местоположениях, времени съемки и других параметрах, которые могут быть полезны при анализе геопространственных данных.
Рассмотрим пример применения GEOINT вместе с SOCMINT:
Для дальнейшего анализа возьмем данную персону, у него имеется имя пользователя в ТГ, что сыграет важную роль в идентификации.
Назовём его вымышленным именем Алешка, начнём с анализа его страницы в Telegram, Алешка недавно был в сети, у него в профиле четыре фотографии, подмечаем каждую деталь(может пригодиться)
Проверяем его никнейм на наличие страниц в других социальных сетях, есть совпадение. У Алешки была страница в Instagram под тем же псевдонимом, что и его аккаунт в Telegram.
Алек исходя из выложенных в Instagram фотографий сильно увлечён футболом, им была выложена видеозапись, где он на фоне стадиона тренируется с мячом:
Благодаря классическим методам GEOINT'а мы можем распознать что за стадион перед нами, и где он находится. Обратившись к Google Lens, мы получаем необходимую ссылку среди сотен результатов. Итак, это «Стадион им. Гагарина» геометки с видео совпадают.
Снежинск, Челябинская область, Россия: 56.09356599253964, 60.73532333115896
SOCMINT.
SOCMINT - это совокупность инструментов и решений, позволяющих организациям анализировать действия, на основе интересов пользователя. Он позволяет использовать разведывательные данные из социальных медиа-сайтов, в том числе с использованием открытых и закрытых соцсетей.Простыми словами - это анализ социальных сетей цели. Как показано из примера выше, по социальным сетям мы можем узнать все, от точного местонахождении цели, до обычных фактов таких как имя, возраст, имя любимой собачки и что цель ела вчера на ужин. Пример исследования SOCMINT был главой выше.
HUMINT.
Из самого названия Human Sources Intelligence (HUMINT) следует, что сведения для анализа «добывают» в процессе коммуникации с человеком, который является носителем значимой информации об объекте исследования.Фактически - использование социальной инженерии и психологии для получения данных. Основным преимуществом HUMINT является его гибкость и способность получать информацию, которую невозможно получить другими методами. Кроме того, HUMINT может предоставить более глубокое понимание человеческого поведения и мотивации, что позволяет разработать стратегию под дeан0н конкретного человека. От HUMINT`а не защитит впн и прокси, не поможет даже антидетект браузер, ведь за частую вы сами рассказываете нужную информацию о себе.
HUMINT может применятся как для обычного деанона так и для получения более важных сведениях, приведем пример:
Проводится с целью сбора разведданных путём общения с военнослужащим, а также при отправке военнослужащими фото/видео с позиций и т.п.
HUMINT`ом также занимаются скамеры при общении с мамонтом, они проводят разведку что бы узнать через какие пути и манипуляции можно получить профит.
При работе с HUMINT важно понимать что такое соцаильная инженерия и как ее использовать, статья о ней уже была на канале.
3. Анализ и dеанoнимизация в Telegram
Верификация.
Telegram использует протоколы для социальных сетей, где личные аккаунты и сообщества (чаты, каналы) распознаются при помощи специального численного идентификатора ID, который необходим системе для точной идентификации пользователя.В некоторых модах телеграм клиента встроенно распознование ID телеграм, но если у вас этого нет, используйте телеграм ботов.
Например, @userinfobot показывает ID по username`у и наоборот.
Поисковики информации.
Поисковая система (англ. search engine) — алгоритмы и реализующая их совокупность компьютерных программ, предоставляющая пользователю возможность быстрого доступа к необходимой ему информации при помощи поиска в обширной коллекции доступных данных.Поисковые системы могут помочь уставить связь между несколькими аккаунтами, например, для обнаруживания твинков, так же, поисковые системы могут найти аккаунты в других социальных сетях по нику.
Конкретные инструменты будут предоставлены ниже.
Чаты телеграм.
Чаты в Telegram особенно важны для проведения расследований, связанных с деанонимизацией Telegram-аккаунтов. Тут есть 2 стула. Первый - искать чаты через соответствующие боты поисковики, второй - искать чаты через общение с пользователем. Можно использовать социальную инженерию и просто попросить их, или пойти по более элегантному пути, и спарсить чат по названию из скриншота. Если чат открытый - его и вовсе можно найти через глобальный поиск.Анализировать чаты - неимоверно важно, ибо человек в чатах общается со своими знакомыми и сам выдает информацию, он не находится в состоянии паранойи, и не догадывается что его сообщения могут использовать третьи лица. Боты в телеграм уже научились выгружать сообщения пользователей из чатов, поэтому даже удаление сообщений далеко не всегда помогает.
Боты обманки.
Для использования этого способа деанонимизации потребуется немного социальной инженерии. Методика работает по принципу фишинга: жертва заходит в бота, и для дальнейшего его использования запрашивается отправка номера телефона (это встроенная функция мессенджера). Далее, в зависимости от фантазии создателя, бот либо игнорирует сообщения, либо выполняет какие‑то полезные функции, но главное — владелец робота получает номер пользователя.Самое интересное, что у тебя нет ни малейшей необходимости писать с нуля собственного бота, потому что есть уже готовые решения.
Однако лучше, конечно, написать бота самостоятельно, но и для этого есть наработки — Для просмотра ссылки Войди
Но помни, что основная задача — все‑таки заставить пользователя поделиться номером, поэтому действие это должно быть мотивировано. А мотивацию мы выбираем индивидуально под каждую цель, значит, и тематика бота, скорее всего, будет разной. Кто‑то поделится номером ради оценки подержанного автомобиля, кто‑то — чтобы найти интересный фильм, кого‑то заинтересует скачивание видео с YouTube. Поэтому ботов придется создавать разных под каждый кейс, а основной код можно скопировать из упомянутых репозиториев.
HLR запрос.
Номер телефона мы получили, но как понять настоящий он или виртуальный?HLR запрос (Home Location Register) – проверка актуальности мобильного номера и очистка базы абонентов от неактивных номеров. Проверка проводится путем отправки на номер запроса с уточнением информации о состоянии абонента.
Воспользуйтесь HLR-запросом от оператора. Этот запрос поможет узнать, активен ли номер и находится ли он в сети. Такой подход позволит вам проверить статус номера без необходимости совершать звонок. Сервисы предоставляющие эту возможность бесплатны и легко находятся в интернете.
Получаем местоположение.
В 2019 году в мессенджере Telegram была добавлена новая функция под названием "Люди рядом". Эта возможность позволяет пользователям делиться своим текущим местоположением для обнаружения контактов и чатов поблизости. Впоследствии точное местоположение было убрано, однако до сих пор можно передавать информацию о локации в радиусе 500 метров.Конечно, OSINT-специалисты такую интересную возможность не упустили и создали несколько инструментов для эксплуатации фичи. Работают они следующим образом.
На рабочем аккаунте включается функция «Люди рядом» и задаются те координаты, в которых предположительно находится цель. Каждые 25 секунд всем ближайшим к указанной точке пользователям будет отправляться Для просмотра ссылки Войди
При этом будут найдены только те пользователи Telegram, у которых активирована функция «поблизости». По умолчанию она отключена. И конечно, для начала тебе необходимо иметь хотя бы примерное представление о местонахождении объекта твоего интереса. Можно повторять поиск в нескольких местах, если исходная область слишком большая
Пример инструмента
Метаданные.
Метаданные — данные, относящиеся к дополнительной информации о содержимом или объекте. Проще говоря, это какая-либо дополнительная информация, зашифрованная в структуре самого файла.Через социальную инженерию можно вынудить человека сделать и отправить вам фото без сжатия (файлом), например, под предлогом, что у вас проблемы с просмотром обычных фотографий. После получения файла используя специальные сервисы для извлечения метаданных получить информацию о user-Agent пользователя, его геолокации и другие данные о устройстве.
User agent – это программный элемент браузера, обозначающий человека, пользующимся им. Обычно он хранится в файле и содержит несколько текстовых строк, которые как раз и необходимы для идентификации.
Нетипичный фишинг.
Фишинговая ссылка для отправки сообщения в WhatsApp:Фишинговая ссылка для звонка через приложение Skype:
Фишинговая ссылка для звонка через приложение ВКонтакте:
Каналы.
Новостные каналы в Telegram в короткие сроки приобрели огромную популярность. Особенно это коснулось распространения околополитических прогнозов и статей. Впрочем, свои каналы стали вести все: от частных компаний до преступных сообществ.Зная в каких каналах сидит цель, можно предположить ее место жительства, интересы, знакомых и прочее.
До 2017 года ссылки на приватные каналы в телеграм содержали закодированную информацию о том, кто ее сгенерировал. У таких ссылок, созданных до 2017 года, не содержится в начале «AAAAA» в ссылке. Через ботов можно установить кто владелец канала если он был создан до 2017 года. Просто отправьте боту ссылку на канал и он пришлет вам ID владельца.
Администраторы Telegram-канала могут использовать для управления публикациями внешние боты или сервисы (TGStat, Livegram, posted и прочие). А те могут раскрыть информацию о них.
4. Инструменты
Слежка через ссылку.
Инструмент создает фишинг ссылку, и через нее следит за пользователем. Благодаря данному инструменту можно получить такую информацию как: IP, локация, ОС. Так же можно будет узнать на каких сервисах зарегестрирован пользователь.Установка:
Запуск:
Мы получим следующее: Фишинг ссылку. Ссылку на админ панель. Пароль для входа в админ панель.
Маскировка фишинг ссылки.
Утилита, может помочь замаскировать/сократить ссылки. Фишинг маскируется под Google, YouTube, VK, Facebook, OK и RAIDforums.Установка и запуск:
Теперь выбираем что нам нужно, маскировать ссылку или сократить ссылку. Затем указываем ссылку для маскировки/сокращения. После этого за считанные секунды мы получим замаскированные/сокращённые ссылки.
Отслеживаем местоположение.
Инструмент для отслеживания местоположение номера телефона.Установка и запуск:
Поиск аккаунтов в социальных сетях.
Инструмент умеет не только находить существующие на разных сайтах аккаунты, но и находить сам аккаунт (с помощью определенных модулей), даже если профиль не имеет ничего общего с электронной почтой.Установка и запуск:
Анализ телеграм профиля.
Инструмент предоставляет не только функции скрепинга информации о Телеграм каналах или чатах, но и:- Анализ/визуализацию связей между пользователями.
- Экстракцию ключевых фраз/слов из сообщений пользователя.
- Выгрузка сущностей (энтити).
- Поиск геометок.
Фишинг популярных сервисов.
Специальный инструмент для фишинговых ссылок Популярных сервисов. Например Yandex. Instagram и прочих.Установка:
Запуск:
Получаем фото с вебкамеры.
Скрипт с помощью которого можно без каких-либо проблем получать фото с веб-камеры пользователей.Установка и запуск:
После выполнения последней команды, включите на своем устройстве 2 пункта - "Мобильный интернет" и "Точка доступа Wi-Fi".
Возвращаемся к терминалу и выбираем пункт "Ngrok". Далее будет сгенерирована специальная ссылка, кидаем её жертве и ждём. В случае успеха, для просмотра фотографий введите команду:
[/I]
[/QUOTE]