Утечка персональных данных — это не вопрос «если», а вопрос «когда». Даже самая защищенная система не гарантирует стопроцентной безопасности. Ключевой вопрос для оператора ПДн сегодня звучит так: «Что будет после инцидента?».

Весь процесс реагирования можно разделить на два ключевых блока доказательств: доказательства рутинных процедур (проактивная защита) и доказательства адекватного реагирования (реактивные меры). В этой статье мы детально разберем второй блок, который поможет вам не упустить ни одной важной детали.

1️⃣ Немедленный ответ. Цель — локализовать инцидент и не дать злоумышленнику углубиться в систему.
Что делать? Издать приказ о принятии экстренных мер: отключить или законсервировать скомпрометированные системы, серверы, сбросить пароли, заблокировать подозрительные аккаунты.
Какие доказательства собрать? Приказ или распоряжение о принятии мер. Архив логов со всех системных компонентов за период инцидента. Это золотой фонд для последующего расследования. Отчеты от SIEM, SOC, WAF о срабатывании правил блокировки.

2️⃣ Создание рабочей группы и оценка масштабов. Нельзя управлять тем, что не измерено. Нужно быстро понять, что произошло и кого это коснулось.
Что делать? Зафиксировать точное время обнаружения, создать рабочую группу (ИБ, юристы, DPO, PR), провести оценку инцидента.
Какие доказательства собрать? Служебная записка или email о факте обнаружения. Отчет с оценкой нарушения прав субъектов, причинами и атрибутами утекших данных. «Карта воздействия» — смоделируйте сценарии злоупотребления утекшими данными для оценки реального ущерба.

3️⃣ Мониторинг и «зачистка» данных в открытом доступе. Утекшие данные часто появляются на специализированных форумах и в даркнете. Их нужно найти и попытаться удалить.
Что делать? Организовать мониторинг открытых и закрытых площадок. Направлять владельцам ресурсов официальные требования об удалении информации.
Какие доказательства собрать? Скриншоты и отчеты о найденных данных. Копии отправленных писем-требований. Подтверждение удаления данных с ресурса.

4️⃣ Взаимодействие с регулятором и контрагентами. Промедление или неполная информация могут усугубить ситуацию с регулятором.
Уведомление регулятора (Роскомнадзор) в течение 24–72 часов с момента обнаружения.
Доказательства: Зарегистрированное уведомление. Будьте готовы актуализировать его, если появятся новые данные. Если вина на их стороне контрагентов, то уведомление контрагента, акт о нарушении договора (NDA, SLA), претензия о компенсации убытков, киберфорензик-отчет.

5️⃣ Информирование субъектов ПДн и поддержка. Честность и открытость помогают сохранить репутацию и снизить градус негатива.
Что делать? Уведомить субъектов ПДн, если инцидент создает для них высокий риск. Организовать «горячую линию» для ответов на вопросы.
Какие доказательства собрать? Шаблоны уведомлений и логи рассылки. Публичный пресс-релиз. Скрипты для обработки запросов, журнал обращений.

6️⃣ Преследование нарушителя и внутренние расследования. Нужно установить причину и виновных, будь то внешний злоумышленник или нерадивый сотрудник.
Что делать? Подготовить отчет с версией инцидента. При внутренней халатности — применить дисциплинарное взыскание. При внешней атаке — подать заявление в правоохранительные органы.
Доказательства: Отчет о расследовании, заявление в полицию, постановление о возбуждении уголовного дела, приказ о взыскании.

7️⃣ Исправление и предотвращение рецидивов. Финальный и самый важный этап. Инцидент должен стать уроком.
Что делать? Провести анализ первопричин, разработать и выполнить дорожную карту исправлений.
Какие доказательства собрать? Итоговое досье инцидента — полная хронология, решения, коммуникации. Утвержденный план исправлений. Отчеты о выполнении плана и результаты новых тестов на проникновение (пентестов). Отчеты о дополнительном обучении сотрудников.

Реагирование на утечку — это не хаотичный пожар, а стройный, документированный процесс. Ваш главный актив в споре с регулятором — артефакты, которые доказывают, что каждое действие было своевременным, обоснованным и направленным на защиту прав субъектов.

Читать полностью…

⚡Коллеги, друзья, подписчики! Да, это чудесно, что вы нашли наш бот обратной связи @irozysk_bot. Но нет никакого смысла закидывать в него никнеймы, ID, номера телефонов и прочее. Не будет он ничего вам пробивать!

Напомню то, чем мы занимаемся:
— проведение исследований и компьютерной криминалистики
— информационно-аналитическое обеспечение бизнеса
— информационная безопасность и разработка софта
— обучение методам и примам OSINT для расследований
— противодействие информационно-психическим атакам

Читать полностью…

🔥 IMPERATOR-FORUM VIII — Трудные времена рождают сильных лидеров

12 сентября в Санкт-Петербурге, в «Гранд Отель Европа», прошла закрытая встреча лидеров корпоративной безопасности. ГК "Император", партнёр ICSA, собрала около 150 руководителей и экспертов, чтобы говорить о будущем отрасли в условиях, когда меняется всё: экономика, технологии, уклады жизни и правила игры.

💼 Деловая программа
Под модерацией Никиты Лисенкова, члена ассоциации ICSA, участники обсуждали, как трансформируется роль СБ — от «силового подразделения» к стратегическому партнеру бизнеса. В центре внимания были:
— digital-управление и автоматизация,
— новые вызовы для безопасности в ритейле,
— рынок труда 2025 и кадровые риски,
— киберугрозы и их предупреждение от Шерлока Холмса цифровой эпохи, Игоря Бедерова
— проверка зарубежных поставщиков,
— роль ситуационного центра для первых лиц компаний.
Финальной частью стала экспертная сессия от Top Retail под модерацией Владимира Кочанова и участием Вячеслава Михайловского, Игоря Евдокимова и Филипа Балушинского— с острыми вопросами и честными ответами.

🎖 Культурная программа
Особый акцент этого года — связь поколений и уважение к истории. Участники посетили частный музей «ЛЕНРЕЗЕРВ», где экспозиция о блокаде Ленинграда никого не оставила равнодушным.

🎷 Неформальное общение
Вечер завершился прогулкой по Неве. Живой джаз, виды Петербурга, тёплая атмосфера и новые знакомства — всё это стало естественным продолжением насыщенного дня.

✨ Итог
IMPERATOR-FORUM VIII — доказательство того, что за цифрами и стратегиями всегда стоят люди. Форум оставил после себя не только новые знания, но и чувство сопричастности к большому и важному делу — безопасности будущего.

🤝 Отдельная благодарность Владимиру Неровному за организацию главного события года в сфере безопасности. Но форум на этом не заканчивается: впереди продолжение дискуссии по вопросам от Top Retail, статьи в журнале «Директор по безопасности», тематические встречи ICSA и многое другое.

Читать полностью…

Как Игорь Бедеров в багажнике хакера вывозил😂

GLUSHILKI

Читать полностью…

Наш подкаст с Игорем Бедеровым про OSINT разведку разместили на отечественных площадках. Исключительно для приятного просмотра на телевизоре без впн.

Смотрим тут:
📺 YouTube | 📺 VK |📺RUTUBE |

Читать полностью…

http://interpol.thebrainfox.com/ - игра, в которой нужно решить, кто на фото - случайный человек с LinkedIn (сайт с резюме) или разыскиваемый интерполом преступник. Задача крайне тяжёлая.

Читать полностью…

‼️‼️‼️

⚠️В первой половине 2025 года в сеть утекло 289 млн строк данных, включая 54 млн email-адресов и 85 млн номеров телефонов. Объём похищенной информации вырос в 200 раз - до 687 терабайт. Ежедневно фиксируется от 2 до 5 утечек⚠️

Читать полностью…

⚠️Необходимость проверки контрагентов обоснована не просто «бюрократией» или «перестраховкой», а совершенно реальными и серьезными рисками, которые могут привести к огромным финансовым и репутационным потерям для компании⚠️

1️⃣ Налоговые риски. Это самая частая и материально ощутимая причина. Если контрагент окажется ненадежным (например, «однодневкой»), налоговая инспекция не признает ваши расходы на него. Это значит, что вы не сможете уменьшить налогооблагаемую базу по налогу на прибыль или УСН. Вы заплатите налог с суммы, которую фактически уже потратили. Компании доначислят все неуплаченные налоги, а также пени и крупный штраф (20% или даже 40% от неуплаченной суммы).

Реально зачем? Чтобы не платить налоги дважды: один раз — контрагенту (который исчез), и второй раз — государству (в виде доначислений и штрафов).

2️⃣ Юридические и репутационные риски. Если будет доказано, что сделка заключалась для противоправных целей (уклонение от налогов, отмывание денег), ее могут аннулировать со всеми вытекающими последствиями. В крайних случаях, если будет доказан умысел руководства на уклонение от уплаты налогов в крупном размере, возможно возбуждение уголовного дела по ст. 199 УК РФ. Самый очевидный риск: контрагент-мошенник просто не выполнит свои обязательства (не поставит товар, не окажет услугу), а вернуть предоплату будет не с чего — у него нет активов.

Реально зачем? Чтобы не остаться и без денег, и без товара, а также чтобы руководству компании не отправиться на скамью подсудимых.

3️⃣ Предотвращение мошенничества и коррупции внутри компании. Проверка бенефициарных владельцев помогает выявить аффилированность (связь) контрагента с вашими же сотрудниками или руководством. Это предотвращает создание схем для выкачивания денег из компании через завышенные цены или фиктивные услуги. Стандартная процедура проверки лишает недобросовестного сотрудника возможности сознательно выбрать «правильного» мошенника и получить за это откат, прикрываясь «ошибкой выбора» или «незнанием». Четкий регламент проверки создает прозрачность и защищает честных сотрудников от обвинений в предвзятости или халатности.

Реально зачем? Чтобы ваши деньги уходили на развитие бизнеса, а не в карманы мошенников и недобросовестных сотрудников через коррупционные схемы.

4️⃣ Требование закона и судебной практики. Статья 54.1 НК РФ прямо обязывает налогоплательщика проявлять осмотрительность при выборе контрагента. Это не рекомендация, а законное требование. Статья 10 ГК РФ устанавливает, что недобросовестное поведение (сделка с заведомо подставной фирмой) может служить основанием для отказа в судебной защите. Суды встают на сторону налоговой, если видят, что компания не проявила должной осмотрительности. Постановление Пленума ВАС РФ № 53 — это основной документ, который это разъясняет.

Реально зачем? Чтобы в суде или в ходе налоговой проверки у вас были документальные доказательства того, что вы действовали добросовестно. Без этого вы заранее проигрываете.

❗️Проверка контрагентов — это не паранойя, а система экономической безопасности. Это инвестиция компании в минимизацию рисков.

Читать полностью…

❗️❗️❗️Законопроект удален!!!

Читать полностью…

Расскажу о следующей теме, которая меня зацепила на IMPERATOR-FORUM 2025.

Игорь Бедеров
Директор департамента по расследованиям T.Hunter.
Человек с внушительной биографией и арсеналом эффективных решений в области противодействия киберугрозам. Но что меня заряжает по-настоящему - это его супер-навыки использования открытых данных.

Проблематика, которую поднял Игорь:

В июне 2025 года Верховный суд постановил, что компании обязаны самостоятельно отслеживать и блокировать мошеннические сайты, а не перекладывать это на своих клиентов.

С одной стороны будто бы все понятно - даже не нужно искать и оценивать риск, угроза вполне конкретна. Однако, в чьей зоне ответственности находится задача, непонятно. Зачастую, подразделение информационной безопасности находится не в функции безопасности, а в департаменте информационных технологий.

Функционально задачка больше лежит в плоскости ЭБ, но технически это ближе и проще реализовать ИБ. Пока «безопасники» играют в «пинг-понг», как в анекдоте сотрудники милиции, переправляя труп с одного берега реки на другой по подследственности. ТОП-менеджмент или собственник, либо не знают о проблеме, либо ожидают, что их сервизные функции безопасности уже решают проблему.

Отдельная история, что делать малому и среднему бизнесу? Ведь у них с одной стороны все проще - нет службы безопасности и головная боль концентрируется непосредственно у собственника. С другой стороны проблема не менее актуальная ввиду избыточного доверия к сотрудникам небольшого коллектива и классического проявления модели русского управления - это случится с кем угодно, только не со мной, зачем тратить деньги и силы.

Даже мне, сотруднику корпоративной безопасности крупной компании, известны кейсы, когда обиженный вниманием и мотивацией системный администратор небольшой компании легко ваяет сайт-дубликат, перенаправляет платежи на новые реквизиты, а проблему замечают случайно через пару недель. Эта ситуация - яркий маркер того, как обстоят дела с безопасностью у малого и среднего бизнеса. Расследование осложнялось отсутствием минимально необходимых правил цифровой гигиены - разграничение прав доступа, логирование активности в информационных системах.

Игорь рассказывает и о том, что глобально нет ничего сверхсложного в борьбе с этим злом, есть и готовые решения на рынке, и алгоритмы реализации, которые не так трудно реализовать.

Стоит об этом подумать, чтобы не стать героем очередного кейса. Быть позитивным примером гораздо дешевле и почетнее. И я сейчас не о том, чтобы рассказывать, как «меня это не коснулось».

Читать полностью…

Наш подкаст с Игорем Бедеровым
https://youtu.be/tbEpmB1Ual0?si=S2sXbO2kuWZDSIWl

GLUSHILKI

Читать полностью…

📱 https://rutube.ru/video/1a05b8f959bf921e5f1aa20cc0df195c/?r=wd&t=23642

11.09.2025 (Москва): MOSCOW FORENSICS DAY '25
Доклад "Определение владельцев, администраторов и разработчиков веб-ресурсов"

Читать полностью…

#article В нашей сегодняшней статье мы рассмотрим, как использовать архивные копии сайтов в OSINT. В этом нам поможет мощный, но часто недооцененный CDX API Wayback Machine.

С его помощью можно получить доступ к индексу всех сохраненных копий сайта в архиве, что даёт возможность изучить его гораздо более полно, чем через веб-интерфейс. А Google-таблицы становятся удобным инструментом для анализа выгруженной с Wayback Machine информации. За подробностями добро пожаловать на Хабр!

@tomhunter

Читать полностью…

В России сложилась парадоксальная ситуация. С одной стороны, за первые восемь месяцев 2025 г. в стране было открыто 88 тыс. вакансий для программистов и размещено 445 тыс. резюме. С другой – компании не могут найти опытных разработчиков ПО – сеньоров, так как в стране засилье джунов, то есть работников с минимальным опытом или полным его отсутствием.

Читать полностью…

1️⃣2️⃣3️⃣4️⃣5️⃣6️⃣

Основатель «Интернет-Розыск», эксперт в области OSINT, Игорь Сергеевич Бедеров проведет на базе 💸ФинЛаб открытую лекцию.

Как отследить то, что невозможно отследить?
Где проходит граница анонимности в мире криптовалют?

🟢Тема: «Основы исследования криптовалют»
🟢Когда: 17 сентября 2025 г.
🟢Во сколько: 16:15 – 17:50 (по МСК).
🟢Приезжать не надо - мероприятие будет проведено онлайн (ВКС).
🟢Ссылка на платформу подключения будет предоставлена позже❕
🟢Подписывайтесь на ФинЛаб, чтобы не пропустить❕

После выступления у вас будет возможность задать свои вопросы спикеру.

Игорь Сергеевич - общественный деятель, изобретатель, популяризатор внедрения инноваций в правоохранительную деятельность.

Благодаря ему разработан ряд методик и техник в области OSINT, что помогло в свое время не только правоохранительному блоку, но и специалистам ФинЛаб.

Предлагаем Всем, кто не знаком с Игорем Сергеевичем, посмотреть его личную биографию здесь.

«Интернет-Розыск»
T.Hunter

@FinIntelLab

#ФинЛаб_Экспертиза
#ФинЛаб_Анонс
#OSINT

Читать полностью…

В оперативной работе мы регулярно сталкиваемся с защищенными ZIP-архивами — они могут содержать как безобидные документы, так и ключевую информацию для расследования. В отличие от киберпреступников, OSINT-специалист действует в правовом поле, часто с санкции правоохранительных органов или в рамках проверки собственной организации на уязвимости. Сегодня мы разберем профессиональные инструменты и методики восстановления доступа к запароленным ZIP-архивам, которые используют специалисты по кибербезопасности.

Первый шаг — извлечь хеш-сумму пароля из целевого архива. Для этого используем утилиту zip2john, которая входит в комплект John the Ripper. Эта команда создаст файл hash.txt с зашифрованным представлением пароля, которое мы будем атаковать.

Инструментарий:

✔️ John the Ripper — это инструмент с открытым исходным кодом для аудита безопасности паролей, поддерживающий сотни форматов хешей. Его особенность в универсальности и надежности.
✔️ Hashcat отличается оптимизацией под современное оборудование и поддерживает различные типы атак.
✔️ МК Брутфорс FREE — российский аналог Hashcat, лучше адаптированный под специфику кириллических паролей и имеющий визуальный интерфейс.

Тактики подбора паролей включают атаку по словарю — наиболее эффективный метод, поскольку люди часто используют предсказуемые комбинации; по маске (если известна структура пароля) и гибридные методы (комбинируем словари с правилами подстановки — добавление цифр, замена регистра).

Восстановление паролей к ZIP-архивам — важный навык в арсенале OSINT-специалиста. Главное — помнить о правовых и этических границах применения этих техник. John the Ripper и Hashcat остаются наиболее мощными инструментами, а качественные словари вроде SecLists значительно ускоряют процесс.

Читать полностью…

«Всё выглядит как картофельное пюре» — знакомая ситуация для любого, кто работал с записями с камер видеонаблюдения. Первый импульс — сдаться, решив, что информация безвозвратно утеряна. Я здесь, чтобы сказать вам: это не так. Вам не нужны секретные инструменты или лаборатория из голливудского блокбастера. Нужны правильный подход, терпение и базовое, зачастую бесплатное, программное обеспечение. Размытость — это не приговор бесполезности, а лишь повод для более кропотливой работы.

1️⃣ Подготовка. Первое и главное правило: никогда не работайте с оригиналом. Всегда начинайте с создания копии файла. Если вы имеете дело с экспортом с видеорегистратора (чаще всего это .avi или .mp4), просто скопируйте файл. Если формат кажется экзотическим, используйте конвертеры вроде Handbrake или VLC для преобразования в более распространённый формат — это убережёт от многих проблем в дальнейшем.

2️⃣ Диагностика проблемы. Прежде чем бросаться в бой, определите, с каким типом «болезни» вы имеете дело. Это может быть размытие движения, размытие фокуса, низкое разрешение, ночная съемка.

3️⃣ Покадровая магия. Этот метод спасает чаще всего. Откройте видео в Avidemux или VLC и просто пролистайте его по кадрам. Зачастую один-единственный кадр из последовательности оказывается заметно чётче остальных — особенно если в кадре движущийся человек или автомобиль. Ваша задача — найти этот кадр и сделать с него качественный скриншот (для этого отлично подходит OBS Studio).

4️⃣ Инструментарий цифрового детектива для работы со скриншотами. Сюда входят VLC Player, GIMP, ИИ-улучшатели, Topaz Labs (Gigapixel AI, Sharpen AI), Remini, Waifu2x. Важно помнить, что ии-инструменты не восстанавливают потерянные пиксели, а делают обоснованные предположения на основе обученных шаблонов. Не ждите 100%-го точного результата.

5️⃣ Специализированные приемы для лиц и номерных знаков. Когда нужно вытянуть конкретные детали, я регулирую контрастность и яркость. Иногда помогает инвертирование цветов — так контуры становятся заметнее. Использую фильтр «Удаление пятен» (Despeckle) в GIMP для борьбы с зернистостью. Пробую преобразовать изображение в черно-белое (оттенки серого) и усилить тени. Этот простой трюк может сработать удивительно хорошо. Золотое правило масштабирования: увеличивайте изображение медленно. Слишком сильное увеличение только ухудшит ситуацию, превратив картинку в кашу.

6️⃣ Неочевидные лайфхаки. Попробуйте просмотреть видео в обратном порядке. Иногда мозг по-новому воспринимает знакомые детали. Не игнорируйте звук, аудиодорожка может помочь точнее определить момент события. Если место происхождения фиксируют несколько камер, сравните углы. Одна размытая запись + вторая, чуть лучшая, могут дать ключевую информацию. Банально, но однажды я два часа бился над «сломанным» видео, а потом обнаружил, что на объективе камеры была паутина.

Читать полностью…

https://vk.com/video-221529037_456240287

Читать полностью…

Основные признаки заражения включают в себя необычное поведение устройства. Например, внезапные замедления, частые зависания или самостоятельные перезагрузки, а также перегрев, предупредил в беседе с RT основатель компании Интернет-Розыск и директор департамента расследований T.Hunter Игорь Бедеров https://russian.rt.com/russia/news/1536353-ekspert-telefon-zarazhenie-priznaki

Читать полностью…

Цифровая криминалистика — это динамичная и быстро развивающаяся область, где технологии меняются быстрее, чем успевают обновиться методики. В таком потоке изменений профессионалам необходим надежный фундамент — набор принципов, который останется актуальным независимо от появления новых устройств или форматов данных.

⚠️Таким фундаментом на Западе уже более десятилетия служат «Принципы цифровых доказательств» от Ассоциации старших полицейских офицеров Великобритании (ACPO). Пятая версия руководства, выпущенная в 2012 году, совершила важный переход: от «компьютерных» к цифровым доказательствам, что отражает реалии современного мира, где доказательства могут находиться в смартфоне, облачном хранилище, автомобиле или умных часах⚠️

Давайте разберем ключевые моменты этого руководства, которые остаются актуальными и по сей день:

🟢Принцип целостности. Никакие действия правоохранительных органов или их агентов не должны изменять данные, которые впоследствии могут быть использованы в суде.

🟢Принцип компетентности. В ситуациях, когда необходимо получить доступ к исходным данным, это должен делать компетентный специалист, способный пояснить в суде значимость и последствия своих действий.

🟢Принцип повторяемости. Должен быть создан и сохранен порядок всех процессов, примененных к цифровым доказательствам. Независимая третья сторона должна иметь возможность повторить эти процессы и получить тот же результат.

🟢Принцип ответственности. Руководитель расследования несет общую ответственность за соблюдение закона и этих принципов.

⚡️ Руководство ACPO структурирует работу с цифровыми доказательствами вокруг четырех ключевых этапов:

🟢План. Цифровые доказательства потенциально присутствуют почти в каждом преступлении. На этапе планирования важно определить их возможные источники: локальные устройства (ПК, телефоны), публичные (соцсети) или частные удаленные ресурсы (логи провайдера, облачные хранилища), а также данные в передаче (email, сообщения). Ключевой вопрос: откуда проще и целесообразнее получить необходимые доказательства?

🟢Извлечение. Это критически важная стадия на месте происшествия. Руководство призывает не изымать устройства просто потому, что они есть. Должны быть разумные основания. Действовать осторожно с включенными устройствами. Необдуманное обращение может безвозвратно повредить данные и волатильную информацию (например, содержимое оперативной памяти). Тщательно документировать все, а также консультироваться со специалистами DFU (Digital Forensic Unit) до выезда на место, чтобы понять, какие устройства наиболее релевантны.

🟢Анализ. Из-за огромных объемов данных нельзя просто «скопировать все». Необходима четкая стратегия анализа, сформулированная совместно следователем и криминалистом. Здесь на первый план выходит интерпретация данных.

🟢Представление. Результаты работы должны быть представлены ясно, объективно и доступно для не-технической аудитории (следователей, присяжных, судей). Специалист должен четко разграничивать факты и мнения, а также указывать на ограничения проведенного анализа. Любое преобразование данных (например, конвертация видео) должно быть явно указано в отчете.

Читать полностью…

⚪️ С начала СВО Украина потеряла не только физические, но и виртуальные территории — с февраля 2022 года она лишилась до 20% своего цифрового пространства. При этом, по оценкам некоторых экспертов, значительная часть этого ресурса отошла под контроль России. О каком киберпространстве идет речь, в чем его ценность и действительно ли его «захватила» Россия — в материале «Газеты.Ru» — https://www.gazeta.ru/tech/2025/09/16/21702362.shtml

С начала СВО Украина утратила контроль над примерно 20% своих IPv4-адресов. Украинские компании сами выставили их на продажу для получения выгоды.

⚠️Основная причина продажи — финансовая необходимость, вызванная военным конфликтом. Многие украинские интернет-провайдеры и телеком-компании столкнулись с разрушением инфраструктуры, потерей клиентов и необходимостью финансировать восстановление сетей. Аренда или продажа IPv4-адресов стала для них источником срочного финансирования⚠️ — пояснил «Газете.Ru» основатель компании Интернет-Розыск и директор департамента расследований T.Hunter Игорь Бедеров.

Читать полностью…

⚠️В мире OSINT-расследований установление связи между виртуальной личностью и реальным физическим местоположением часто является ключевой задачей. Мы мастерски анализируем метаданные фотографий, паттерны поведения в соцсетях, пересекаем данные из разных источников. Но иногда цель ведет себя осторожно, не оставляя цифровых следов в открытых источниках⚠️

⚡️ Однако существует метод, позволяющий в определенных условиях получить один из самых ценных артефактов — реальный IP-адрес пользователя. Этот метод основан не на уязвимостях в привычном смысле, а на фундаментальном принципе работы современных коммуникаций — протоколе STUN. В этой статье мы разберем, как это работает, как применить это на практике с помощью Wireshark, и, что крайне важно, обсудим ограничения и этические рамки этого метода.

Прежде чем хвататься за Wireshark, важно понять механизм. Мессенджеры (Telegram, WhatsApp, Signal... практически все) используют сквозное шифрование (E2EE). Это защищает содержимое сообщений, но не отменяет необходимость устанавливать прямое соединение для таких функций, как голосовые и видеозвонки, особенно в режиме P2P (peer-to-peer).

Здесь на сцену выходит STUN (Session Traversal Utilities for NAT). Его задача — помочь клиентам за NAT узнать свой собственный публичный IP-адрес и порт, чтобы сообщить их другому участнику звонка для установления прямого соединения. Для выполнения своей работы клиент мессенджера вынужден отправлять запросы к публичным STUN-серверам (часто принадлежащим самим мессенджерам). И именно эти запросы, отправляемые до начала шифрования медиапотока, и могут быть перехвачены.

❗️ Нам потребуется только один главный инструмент — Wireshark. Это мощнейший сетевой анализатор, который должен быть в арсенале любого цифрового следопыта. Скачайте его с официального сайта https://www.wireshark.org/download.html и установите на свой компьютер.

❗️ Запустите захват трафика. Откройте Wireshark. В поле фильтра введите: stun (для отображения только STUN-пакетов). Инициируйте звонок в Telegram. Как только пользователь ответит на звонок, тут же у нас начнут отображаться данные и среди них будет IP адрес юзера, которому звонили. Используйте поиск по пакетам, нажмите на иконку лупы или Ctrl+F. В поле поиска выберите параметр "String" и введите XOR-MAPPED-ADDRESS. Просмотрите найденные пакеты — в них будет содержаться IP-адрес.

⚡️ Техника перехвата IP-адреса через STUN-запросы — это изящный пример того, как понимание фундаментальных сетевых протоколов расширяет арсенал OSINT-специалиста. Она напоминает нам, что даже в мире сквозного шифрования метаданные (факт, время, направление соединения) зачастую не менее ценны, чем содержимое.

Читать полностью…

🏆🏆 @FinIntelLab открыл регистрацию на мою открытую лекцию «Основы исследования криптовалют» 17 сентября 2025 г. Мероприятие бесплатное, для участия необходимо пройти регистрацию по ссылке, ссылка на подключение придет ответным письмом.

❗️Не пропустите!

Читать полностью…

Раз уж мы заговорили о применении ИИ-моделей для исследования Telegram-каналов, ловите еще несколько вариантов их использования:

⚡️ Извлечение из значимой информации из экспортированной истории канала. Да, ранее мы для этого использовали Архивариус 3000. Сюда могут быть отнесены номера телефонов, адреса электронной почты, физические адреса, ФИО, криптовалютные кошельки, гиперссылки и т.п. Модели могут сразу подсчитать частотность использования того или иного идентификатора.

⚡️ Установление авторства путем проведения стилометрического и семантического анализа. Для этого мы берем посты, опубликованные в исследуемом канала, а также тексты, которые писал подозреваемый автор канала.

⚠️Важно подчеркнуть, что выводы, сгенерированные нейросетью, носят вероятностный характер и являются не доказательством, но мощным источником криминалистически значимой информации для формирования оперативных версий и планирования дальнейших следственных действий⚠️

Читать полностью…

Мы много говорили о такой теме, как профайлинг. Попробуем переложить его на наши цели, чтобы попытаться установить параметры администратора Telegram-канала. Разумеется, этого... тем более, что все вы прекрасно знаете его автора! Используем для этого анализ экспортированной истории канала, загруженной в DeepSeek.

Итак... Общая характеристика:

Автор ведет канал, посвященный цифровой криминалистике, OSINT (разведка на основе открытых источников) и кибербезопасности. Его стиль — уверенный, ироничный, местами саркастичный, с явными признаками глубокой профессиональной компетентности и опыта в своей области.

❗️Пол: Мужской

Обоснование: Лексика, стилистика и тематика постов (акцент на гаджеты, техники, "силовые" решения вроде BadHDD) в подавляющем большинстве случаев характерны для мужской аудитории в данной профессиональной сфере. Обращение к мессенджеру как к "Максиму Максимовичу Исаеву" (персонаж-разведчик) — это типично мужская шутка, отсылающая к советской классике ("Семнадцать мгновений весны"). Тон уверенный, несколько менторский, что также чаще ассоциируется с мужскими моделями поведения в данной среде.

❗️Возраст: 35–45 лет

Обоснование: Упоминание о "девятой ежегодной конференции", на которой он выступает, говорит о минимум 10-летнем стаже в профессии. Культурные отсылки: "Максим Максимович Исаев" — отсылка к советскому сериалу, который хорошо знаком поколению 35+. Он пользуется как современными инструментами (OSINTbro), так и упоминает классическое, проверенное временем криминалистическое ПО (Cellebrite, Autopsy). Это говорит о том, что его карьера началась в эпоху, когда эти инструменты уже были стандартом, но он успел застать и более ранние методы работы. Ирония, основанная на опыте и наблюдении за эволюцией правового поля и корпоративных практик, свойственна именно зрелому специалисту.

❗️Уровень образования и род занятий: Высшее техническое или юридическое образование.

Обоснование: Выступает с докладами на профильных конференциях для аудитории из специалистов по безопасности ("СБшников"), юристов и IT-специалистов. Свободно оперирует узкоспециальными терминами (OSINT, СУБД, магнитометры, технические аккаунты). Владение темой легального получения удостоверений и методов слежки указывает на глубокое понимание не только технической, но и юридической стороны вопроса. Это скорее специалист-практик, возможно, с опытом работы в силовых структурах или крупном частном секторе (банки, телеком), а не теоретик.

❗️Уровень достатка: Выше среднего

Обоснование: Macbook Pro 16" — дорогой ноутбук премиум-сегмента. Мышь MX Anywhere 3 — премиальный аксессуар. Наличие нескольких специализированных устройств (zPhone, BadHDD), которые, скорее всего, являются кастомными разработками и не могут быть дешевыми. Высококвалифицированные специалисты в области кибербезопасности и криминалистики являются одними из самых высокооплачиваемых на IT-рынке, особенно с его уровнем экспертизы. Сам факт частых командировок (набор собран именно для них) и выступлений на конференциях в разных городах (Москва, СПб) также свидетельствует о востребованности и высоком доходе.

⚠️Выводы. Перед нами портрет мужчины 35-45 лет, высокооплачиваемого профессионала в области цифровой криминалистики и корпоративной безопасности, вероятно, с опытом работы в силовых структурах или финансовом секторе. Он базируется в Москве или Санкт-Петербурге, часто ездит в командировки. Его личность — это сочетание аналитического ума, перфекционизма, иронии и профессиональной паранойи. Он стремится к признанию в своем сообществе и использует сарказм как основной инструмент коммуникации и защиты своего экспертного статуса. Это человек, который превратил свою работу в образ жизни и свою личность в бренд Интернет-Розыск⚠️

Читать полностью…

📖 Опубликована новая open-source книга об ИИ и фундаментальных правах человека

Стала доступной для скачивания книга "AI and Fundamental Rights, The AI Act of the European Union and its implications for global technology regulation". Работа написана в соавторстве экспертов и издана Институтом цифрового права Трира. Книга анализирует то, как Закон ЕС об ИИ взаимодействует с правами человека в цифровую эпоху.

#ИИ

Читать полностью…

💳 Как появляются и чем могут закончиться первые уголовные дела о дропперстве

"Работа в удаленном формате", "быстрый заработок" и прочие заманчивые предложения в Интернете приводят желающих разжиться деньгами на скамью подсудимых. В разных уголках России начали задерживать дропперов. Это посредники в нелегальных финансовых операциях или те, кто предоставляют свои личные или банковские данные для таких операций.

👤 К примеру, в Оренбургской области 27-летняя женщина, таким образом, стала пособницей мошенников. По версии следствия, она предоставила им реквизиты своей банковской карты. Туда обманутые люди переводили свои деньги. После чего уже сама хозяйка карты перечисляла полученные деньги на счета мошенников. За один только день через карту россиянки прошли 24 перевода общей суммой 144 миллиона рублей. Вчера женщину задержали. Ей грозит до 3 лет тюрьмы.

👤 И это уже второй подобный случай за неделю. Первой стала 16-летняя жительница Красноярского края. По той же схеме – через объявление о быстром заработке, подростка попросили предоставить данные банковской карты, куда будут приходить крупные суммы. Так школьница заработала 1600 рублей и заодно уголовное дело.

В редких исключениях, стать дроппером можно, того и не зная. Например, если с помощью слитых в Сеть персональных данных человека в банке открывают счет или карту.

Такое делается редко, для этого нужен "свой" человек в банке. Это опаснее, – отмечает специалист по киберрасследованиям Игорь Бедеров. – Дроповоды – это не мошенники, это организаторы незаконной банковской деятельности. Мошенники – это их клиенты, которым нужно обналичить деньги или вывести их. Дроповоды это делают и получают свой процент. Часто сами дроповоды и их дропперы, даже не скрываются за границей, а находятся в России. Скрывают они только свой IP-адрес, чтобы полиции было сложнее выйти на след преступника в Интернете. Волна задержаний говорит о том, что полиция начала использовать новые методы. Но не думаю, что это остановит людей от преступлений.

✏ Подписаться на @truekpru | Читать нас в MAX

Читать полностью…

😉 Презентация для всех тех, кто заинтересовался темой.

Читать полностью…

Пока ожидаете выпуск с Игорем Бедеровым, вот вам тизер 🌚

GLUSHILKI

Читать полностью…

Не думал, что я доживу до того момента, когда Верховный Суд РФ будет заставлять СБшников эволюционировать в ИТ. А оно произошло...

Сегодня выступаю в Питере на Imperator-Forum 2025 https://imperator-forum.ru/ с докладом "Как СБшнику научиться предупреждать киберриски?" Доклад планируется на 12:30. Будет интересно, забегайте!

Читать полностью…