Интернет-Розыск

25 August 2025 17:04

⚪️ Благодаря решению российских банков ограничивать с 1 сентября выдачу наличных через банкоматы при подозрении на мошенничество число успешных случаев обмана, скорее всего, снизится, заявил в беседе с RT https://russian.rt.com/russia/news/1524901-kiberekspert-bederov-nalichnye-moshennichestvo основатель компании Интернет-Розыск и директор департамента расследований T.Hunter Игорь Бедеров.

Особенно это коснётся тех случаев, которые связаны с массовым и срочным обналичиванием, продолжил эксперт.

«Однако риски для добросовестных граждан существуют, хотя банки и обещают их минимизировать. Основная цель большинства схем — быстро вывести украденные деньги наличными через банкоматы, пока жертва не опомнилась и банк не заблокировал операции. Если этот канал перекрывается или серьёзно затрудняется, схема мошенников рушится», — отметил аналитик.

«Если банкомат откажет в выдаче по подозрительным признакам (например, несколько карт разных банков и крупные суммы подряд), это парализует их деятельность. Эта мера эффективна против мошенничества, где требуется снятие наличных. Она не поможет, если мошенники обманным путем заставят человека самого перевести деньги на их счёт (например, под видом «обеспечения безопасности» или «возврата ошибочного перевода»). Борьба с социальной инженерией по-прежнему лежит на осознанности клиентов», — подчеркнул Бедеров.

«Если человеку срочно понадобилась крупная сумма наличных на лечение, выкуп из залога и так далее, его паника и поспешность могут быть интерпретированы системой как «подозрительная активность». Турист, который впервые в новом городе или стране начинает активно снимать наличные, может быть воспринят системой как «дроп», который работает с картами, не привязанными к его обычному месту жительства. Любое поведение, выходящее за рамки «среднестатистического», может вызвать вопрос у системы», — считает собеседник RT.

Интернет-Розыск

25 August 2025 12:13

🔍 OSINTbro - походный OSINT-арсенал в кармане. Это браузер для расследований (прим. OSINT-browser = OSINTbro), основанный на портативной версии Opera. Почему Opera? Потому что с ней просто приятно работать: вкладки, боковая панель, рабочие столы, нейронки – все интуитивно и функционально.

➡️ https://mega.nz/folder/cAdkDY4D#I2H_8gmeI7GqERT2CIPfHQ

Вставили флешку в любой Windows-ПК? Ваш полностью готовый к работе инструментарий загружается моментально. Браузер со всеми настройками, критически важными расширениями и, главное – авторизациями в облачных сервисах – все живет на флешке. Все ваши пароли (хранящиеся в браузере на флешке) и сессии – всегда при вас. Закончили работу? Просто извлеките флешку – ничего не останется на компьютере.

Главное сокровище! 1700+ проверенных OSINT-ресурсов. Я потратил годы на сбор, проверку и систематизацию полезных для расследований ссылок. Эта постоянно растущая база интегрирована прямо в браузер в виде закладок – ваша личная коллекция OSINT-инструментов всегда под рукой.

Если вас не устраивает Opera, импортируйте файл с закладками в Chrome, Firefox, Edge, Vivaldi или любой другой браузер! Получите пользу от ресурсов, даже если предпочитаете другой интерфейс. Файл для импорта закладок находится по ссылке. Это золотая жила для любого исследователя.

Интернет-Розыск

24 August 2025 10:11

Все мы знаем, как найти человека или компанию через Google. Но настоящая OSINT-разведка давно вышла за рамки простого поиска. Сегодня ключ к успеху – понимание связей. Хакеры и профессиональные исследователи действуют как картографы цифрового мира, составляя карты невидимых нитей, соединяющих разрозненные точки данных. И их главные инструменты для этого – графовые анализаторы OSINT.

Безусловный лидер в этой нише – Maltego CE (Community Edition). Эта бесплатная версия, хоть и урезанная по сравнению с коммерческой, остается невероятно мощным инструментом. Его сила – в гибкости и концепции "трансформов". Его настоящая мощь кроется не столько в самом Maltego, сколько в плагинах, API и цепочках трансформов, которые используют исследователи.

Когда сложность Maltego кажется избыточной для задачи, или когда нужно обработать большие объемы данных (сотни доменов, email-ов), на помощь приходит Spiderfoot HX. Его веб-интерфейс часто воспринимается как более интуитивный и удобный для быстрого старта и массовых запросов, чем интерфейс Maltego.

А если нужен максимально быстрый и легкий старт для визуализации связей без установки сложного ПО? Здесь стоит присмотреться к Osintracker. Это веб-инструмент для построения графов связей прямо в браузере. Отлично подходит для начального этапа расследования, документирования найденных связей или работы в условиях, когда установка Maltego или Spiderfoot невозможна.

Настоящая глубина и ценность в OSINT лежат в выявлении и анализе связей. Инструменты вроде Maltego CE, Spiderfoot HX и Osintracker предоставляют исследователям мощные средства для картографирования цифровых ландшафтов. Они превращают разрозненные данные в осмысленные схемы, раскрывая скрытые отношения и историю цифрового следа цели.

Интернет-Розыск

22 August 2025 17:02

#article В нашей сегодняшней статье мы разберём, как собрать свой личный мини-SOC для мониторинга доменов. Для этого нам понадобятся Google Таблицы, несколько скриптов и никаких вложений.

Просроченный SSL, утечка данных партнера, внезапно оживший киберсквоттинг-домен — всё это реальные риски, которые можно выявить и предотвратить до атаки, используя OSINT и немного автоматизации. И создать инструмент для мониторинга безопасности доменов можно за 15 минут. За подробностями добро пожаловать на Хабр!

@tomhunter

Интернет-Розыск

22 August 2025 14:15

🔍 Kortex — это больше, чем приложение для создания заметок. Это персональная база знаний на базе искусственного интеллекта, созданная для людей, которые работают со сложной, взаимосвязанной информацией.

▶️ https://www.kortex.co/

Интернет-Розыск

22 August 2025 08:46

В OSINT-разведке точное определение времени публикации контента в соцсетях играет ключевую роль: оно помогает выстроить хронологию событий, проверять алиби, анализировать временные связи и верифицировать источники. TikTok предоставляет ценный, но неочевидный маркер времени — ID видео, который можно расшифровать.

Каждый ролик в TikTok получает уникальный Snowflake-ID — 64-битное число, в котором зашита информация о времени создания записи. Это число можно увидеть в URL ролика, а также в HTML-коде страницы или API-ответах. Структура TikTok Snowflake-ID близка к Twitter (заблокирован в РФ) Snowflake. Первые 31 бита (старшие) содержат Unix-время в секундах (UTC). Остальные биты — служебная информация (машина, секвенсор, инкременты).

Пошаговое извлечение времени публикации:

1️⃣ ID уже представлен как десятичное число. Его можно обрабатывать любым языком программирования, калькулятором с поддержкой больших чисел или даже онлайн-конвертерами.
2️⃣ Сдвиг вправо на 32 бита. Это убирает служебную часть и оставляет только временной штамп.
3️⃣ Преобразование в дату и время. Timestamp — это количество секунд с 1 января 1970 года (Unix time) в UTC.
4️⃣ Перевод в локальное время. Для анализа событий в конкретном регионе полезно конвертировать время в местную зону.
5️⃣ Интерпретация. Время в ID — время создания записи в базе TikTok, что обычно соответствует моменту публикации.

❕ Ну или воспользуйтесь готовым сервисом, типа https://trevorfox.com/tools/tiktok-video-date-extractor/

Кстати, при работе с видеоматериалами полезно не только извлекать время публикации из ID, но и сверять его с метаданными оригинального файла (если он доступен), тенями, погодой и другими признаками, чтобы подтвердить или опровергнуть заявленный контекст.

Интернет-Розыск

21 August 2025 14:15

Базы данных IP2Geo — это надежный способ найти, где находится сервер или устройство. Ни одна такая база не идеальна. Они часто ошибаются. Как же определить реальное местоположение? Ответ — в законах физики!

Электричество в сетевом кабеле распространяется с конечной скоростью (близкой к скорости света, но медленнее). Это значит, что чем больше физическое расстояние до точки, тем дольше идет сигнал. И мы можем это измерить!

➡️ Ваш главный инструмент: traceroute (tracert в Windows, tracepath/traceroute в Linux/macOS). Что он делает:

▫️ Отправляет "зонды" (пакеты) к целевому IP или домену.
▫️ Последовательно увеличивает TTL (Time To Live / "предел переходов") каждого зонда.
▫️ Фиксирует каждый "хоп" (hop) — промежуточный маршрутизатор на пути.
▫️ Измеряет время задержки (RTT) до каждого хопа в миллисекундах (мс).

Ключевая идея - смотрите на последние хопы перед целью! Особенно на предпоследний или последний маршрутизатор в трассировке. Их задержка (RTT) — это физическое время прохождения сигнала от вас (или точки измерения) до этого устройства.

➡️ Как применить прямо сейчас?

Командная строка: Запустите tracert <цель> (Win) или traceroute <цель> (Linux/macOS). Онлайн-инструмент: Используйте удобный Traceroute на https://viewdns.info/traceroute/. Вводите IP или домен, смотрите хопы и задержки (мс).

Хотите точнее определить географию IP? Не просто гуглите базу. Запустите traceroute, проанализируйте задержки на последних переходах и помните: когда пинг превращается в линейку, OSINT становится точной наукой.

Интернет-Розыск

21 August 2025 09:10

Забудьте на минуту только про Wi-Fi в OSINT. Каждый день мы носим с собой целый букет беспроводных передатчиков: RFID, NFC, сотовая связь, ZigBee и, конечно, Bluetooth (и BLE!). Каждое из этих устройств – маячок с уникальным ID.

❕ Представьте: ваша цель гуляет по рынку. А вы просто смотрите в телефон и отслеживаете сигнал ее умных часов по уровню RSSI. Звучит как сцена из шпионского триллера?

Но это реальность! Отслеживание устройств (и их владельцев) – огромный бизнес для маркетологов и бесценный инструмент для правоохранительных органов.

Как это использовать в OSINT? Проще, чем кажется. Скачайте специальные приложения:
▫️ LightBlue Explorer (iOS/Android)
▫️ nRF Connect for Mobile (Android)
▫️ WiGLE (Android)

Запустите сканирование. Вы удивитесь количеству обнаруженных устройств вокруг: телевизоры, умные часы , фитнес-трекеры, смартфоны, Bluetooth-маяки.

Приложения фиксируют: название и тип устройства, его уникальный MAC-адрес, уровень сигнала RSSI (Чем ближе значение к 0, тем ближе вы к передатчику. Используется для приблизительного определения расстояния). Также вы увидите график изменения RSSI, который показывает перемещение устройства и GPS-координаты места обнаружения.

Посмотрите на пример скриншота из nRF Connect for Mobile Android выше – там отлично видно все эти данные в действии!

Интернет-Розыск

20 August 2025 14:15

Помните первые дни Wi-Fi? 💭 Это было время азарта и... часто вопиющей незащищенности! Многие сети тогда были открытыми, что породило феномен "вардрайвинга" – поездок с ноутбуком в поисках таких точек доступа. Часто – просто из любопытства и духа исследователя.

Но времена меняются! Технологии защиты шагнули вперед, а инструменты для исследования беспроводных сетей стали невероятно мощными и доступными. Сегодня наш "арсенал" выглядит иначе:

🔧 Универсальные гаджеты: Flipper Zero, Raspberry Pi с нужными модулями.

📱 Смартфон в кармане: Самый простой старт – Android + приложение WiGLE WiFi Wardriving! Отличный способ начать изучать радиоэфир вокруг.

🧪 Кастомные решения: Энтузиасты собирают специализированные устройства для сбора данных (например, вот интересный пример: https://youtu.be/JfqwOo0DCBM).

Мощь современного ПО и железа для анализа Wi-Fi просто поражает по сравнению с тем, что было "в начале пути". Это уже не просто поиск открытых сетей, а серьезный инструмент в арсенале OSINT-специалиста и исследователя безопасности для сбора данных о радиочастотной среде.

Интернет-Розыск

20 August 2025 09:10

🚗 От Wardriving к Дронам: Эволюция WiFi-картографирования в OSINT. Знаете ли вы, что популярный термин "Wardriving" (вардрайвинг) родился еще в 1999-2000 годах? Его автор, Питер Шипли, разработал метод автоматической регистрации WiFi-сетей и GPS-координат во время поездок на авто. Просто, гениально, и это положило начало массовому картированию беспроводных сетей! 📡📍

Что такое Wardriving https://web.archive.org/web/20030604042954/http://www.dis.org/wl/maps/? Это обнаружение и запись точек доступа WiFi (чаще всего с движущегося транспорта – авто, велосипеда, лодки, а теперь и дронов!) с помощью устройства с WiFi-адаптером и GPS-приемником. Собранные данные (SSID, MAC-адрес, координаты, мощность сигнала) загружаются в краудсорсинговые базы.

Зачем это нужно в OSINT?

▫️ Картирование окружения. Создание детальных карт сетевой инфраструктуры района, города, объекта.
▫️ Альтернативная геолокация. Триангуляция положения устройства по силе сигнала известных сетей – мощная альтернатива или дополнение GPS, особенно в помещении или там, где GPS глушится.
▫️ Анализ активности. Выявление необычных или скрытых сетей, мониторинг изменений в сетевом ландшафте.

При чем тут Google Street View? Абсолютно верно! Машинки Google не просто фото делали. Они массово сканировали WiFi-сети по всему миру, создавая гигантскую базу для улучшения геолокации своих сервисов. И да, они фиксировали и незашифрованные данные из эфира. Это масштабный "корпоративный Wardriving".

Современный инструментарий. Метод эволюционировал, и сегодня в арсенале OSINT-специалиста – мощные (часто бесплатные) инструменты:

📊 WiGLE (https://wigle.net/). Крупнейшая краудсорсинговая БД WiFi/BT-сетей. Загружайте свои данные, анализируйте чужие, стройте карты.

🐉 Kismet (https://www.kismetwireless.net/). Мощнейший сниффер и инструмент для Wardriving/Warflying. Работает с WiFi, Bluetooth, ZigBee и др. (Linux/macOS). Открытый исходный код!

🍎 KisMAC (https://kismac-ng.org/). Мощный сканер WiFi для macOS. Обнаружение сетей (в т.ч. скрытых SSID), клиентов, построение карт.

Wardriving вышел далеко за рамки "езды на авто". Это фундаментальный метод сбора пространственных данных о сетевой инфраструктуре, критически важный для анализа физического и цифрового ландшафта в OSINT.

Интернет-Розыск

19 August 2025 14:15

Отлично, коллеги! 🔍 Говорим сегодня о Google Pinpoint — специальном сервисе от Google для расследователей, который стал моим must-have в eDiscovery (это процесс сбора, анализа и оформления цифровой доказательной базы) и OSINT. Официальный сайт: https://journaliststudio.google.com/. Рассказываю, как он реально упрощает работу с данными.

🔑 Ключевые возможности Pinpoint для OSINT:

1. Поиск в гигантских архивах (до 200 000 файлов в одной коллекции!):
— Загружаем PDF, сканы, письма (.EML, .MBOX), аудио, видео, изображения с текстом.
— ИИ распознаёт даже рукописный текст на картинках и сканах — идеально для архивных документов.
— Расширенный поиск: поддерживает операторы вроде "точное совпадение", исключения слов, комбинированные запросы.

2. Транскрибация аудио и видео:
— Автоматически преобразует записи интервью, выступлений (до 2 часов!) в текст с тайм-кодами.
— 15 языков поддержки, включая русский.
— Можно выделить фразу в тексте — и сервис перенесёт к этому моменту в аудиодорожке.

3. Авто-анализ сущностей:
— Выделяет ключевые объекты: имена, организации, локации — фильтруйте документы по ним одним кликом.
— ИИ находит связи: например, поиск по «победа» обнаружит упоминания «выигрыш», «успех» даже в сканах.
— Интеграция с Google Таблицами, Obsidian/Notion — для визуализации связей

4. Коллаборация без боли:
— Коллекции по умолчанию приватны.
— Делитесь доступом с коллегами, выделяйте ключевые фрагменты, добавляйте метки

Pinpoint — не просто «ещё один поисковик». Это единая среда для первичной обработки доказательств: от расшифровки аудио до поиска по рукописным заметкам. Бесплатен, работает в браузере, защищён Google. Для OSINT-специалиста — как швейцарский нож в арсенале.

Интернет-Розыск

19 August 2025 09:10

Знаете ли вы, что обычное электронное письмо может оставить цифровой след, ведущий к отправителю? В OSINT для этого есть несколько ключевых подходов. Разберем 5 основных:

1️⃣ 📬 Уведомление о прочтении. Самый простой способ если получатель его включил и согласился. Почтовый сервис сообщит отправителю о факте открытия. Но будьте реалистами: в личной переписке это редкость и требует согласия.

2️⃣ 🛠 Технические заголовки (Headers). Это "паспорт" письма. Ищите там:
* IP-адрес отправителя (не всегда, но возможно)
* Цепочку почтовых серверов (через которые шло письмо)
* Таймстемпы (точное время обработки)
* Позволяет выявить реальный почтовый сервер (даже если он скрыт корпоративным доменом), обнаружить скрытых получателей (BCC).

3️⃣ 👁‍🗨 Пиксели отслеживания (Tracking Pixels) - крошечное невидимое изображение в теле письма. При открытии загружается с сервера отправителя, сигнализируя о факте (и времени) открытия.
* Это могут быть не только кастомные пиксели, но и счетчики аналитики (Яндекс.Метрика и аналоги).
* Следователи специально внедряют такие трекеры в письма подозреваемым (в делах об убийствах, похищениях). При открытии получают IP и геолокацию.
* НО! Gmail, Outlook и др. часто проксируют загрузку изображений. В этом случае трекер покажет их сервер, а не реальный IP получателя. Решение: Заманить на внешний логируемый ресурс (ссылкой или вложением).

4️⃣ 🔗 Гиперссылки и вложенные файлы:
* Клик по любой ссылке в письме (баннер, кнопка, текст) может быть залогирован на сервере отправителя, передав IP и время перехода.
* Файлы (Word, Excel, PDF, HTML). При открытии могут "позвонить домой" (особенно макросы или HTML). Даже простое открытие может передать данные.

5️⃣ 📱 Рекламный идентификатор (ADINT). Мощный, но малоочевидный метод! Email-адрес используется для создания рекламного профиля в соцсетях и поисковиках.
* Анализируя поведение (перемещения) устройств, связанных с этим email, через системы таргетированной рекламы, можно получить данные о геолокации. Это уже область Advertising Intelligence (ADINT).

Интернет-Розыск

18 August 2025 17:00

Мессенджеры для вербовки диверсантов... С их помощью рассылают инструкции по сбору взрывных устройств, рассказывают, как устроить поджог, и похищают деньги, оставляя россиян без средств к существованию. Все эти диверсии, вымогательства, теракты объединяет одно – зарубежные мессенджеры, ставшие реальной угрозой безопасности страны. 41% преступлений совершается с использованием Telegram или WhatsApp - https://ren.tv/longread/1359730-kak-inostrannye-messendzhery-ispolzuiut-dlia-prestuplenii-protiv-rossiian

Мессенджеры позволяют преступникам оставаться невидимыми. Для телефонных мошенников, что в большинстве своем работают с территории Украины, подобные сервисы – основные инструменты для вымогательства. За полтора года аферисты похитили у россиян 400 миллиардов рублей.

Интернет-Розыск

18 August 2025 12:00

⚪️ Блокировка звонков через Telegram и WhatsApp (входит в Meta, организация признана экстремистской и запрещена в РФ) позволит решить проблемы с активностью мошенников в этих мессенджерах, считают опрошенные «Известиями» эксперты. Роскомнадзор объявил, что значительная часть таких звонков совершается именно в интересах злоумышленников, и 13 августа частично заблокировал доступ к голосовым сервисам Telegram и WhatsApp. «Известия» убедились, что такие ограничения не напрасны — в последнее время атаки преступников через эти ресурсы заметно участились - https://iz.ru/1936333/viktor-khilko-elizaveta-krylova/sklochnyi-vyzov-pochemu-v-rossii-ogranichili-zvonki-v-messendzherakh

— По данным Роскомнадзора, до 40% звонков в мессенджерах совершаются мошенниками, а 70% таких вызовов идут из-за рубежа. Telegram и WhatsApp игнорируют запросы правоохранительных органов о передаче данных по терроризму и диверсиям. Мессенджеры не локализуют данные пользователей в России, не сотрудничают с властями, но оперативно реагируют на запросы зарубежных спецслужб, — сказал «Известиям» основатель компании Интернет-Розыск, эксперт рынка НТИ SafeNet Игорь Бедеров.

По его словам, после блокировки мошеннических звонков в традиционных сетях (с 2024 года) преступники массово перешли в мессенджеры, где нет инструментов анализа трафика.

Интернет-Розыск

17 August 2025 17:55

Цифровая осень идет.
В MАХ-е первый скам.
Дворцы над Невой.

Интернет-Розыск

25 August 2025 14:15

В мире OSINT мы зависим от своего арсенала. Наши инструменты — это продолжение нашего мышления, линзы, через которые мы фокусируем информационный хаос. Но как часто вы обновляли свой стек на прошлой неделе? Месяц назад? Год? Современный цикл разработки ПО напоминает карусель, которая крутится все быстрее: релиз, шумиха, рост, выкуп, раздувание, смерть. Можно уснуть с любимым софтом, а проснуться и обнаружить, что его купила компания-пустышка, переименовала в нечто неузнаваемое или просто «закрыла» за нерентабельностью. В этой гонке за масштабом и экосистемами мы рискуем упустить самое ценное — качество и фокус.

За годы работы я провел сотни часов за самыми разными инструментами. И с абсолютной уверенностью могу заявить: самые надежные, быстрые и безотказные из них никогда не имели отдела маркетинга, презентаций для инвесторов или менеджера по продукту. Часто их писал один человек с лучом фокуса настолько мощным, что он прорезает весь информационный шум.

Вспомните те узкоспециализированные скрипты, консольные утилиты или легковесные GUI-приложения, которые вы скачали с GitHub и которые делают свою работу безупречно. Они не кричат о себе на каждом хабре, но они — рабочие лошадки, на которых держится реальная разведка.

Современная культура разработки не приветствует такие проекты. Их называют «немасштабируемыми» и «рискованными». Да, риск есть. Нет круглосуточной поддержки, громких анонсов и обещаний «искусственного интеллекта» в следующем патче. Но есть нечто более важное — целостность видения.

Когда инструмент создает один человек, ему приходится говорить «нет». Постоянно. Он физически не может реализовать каждую запрошенную функцию. Это вынуждает его безжалостно расставлять приоритеты. Оставлять только самое необходимое. Оттачивать каждую деталь до совершенства.

Именно эта дисциплина и делает софт таким цельным. В нем нет лишнего кода, случайных кнопок или ползунков, добавленных «на всякий случай». Каждая функция существует не потому, что так захотел менеджер на митинге, а потому, что она критически важна для решения конкретной задачи. Это и есть та самая «заточенность», которую мы так ценим в OSINT.

Интернет-Розыск

25 August 2025 07:38

Мероприятия сентября, в которых я буду принимать участие. Присоединяйтесь!

11.09.2025 (Москва): MOSCOW FORENSICS DAY '25
Доклад "Определение владельцев, администраторов и разработчиков веб-ресурсов"
Регистрация: https://events.mko-systems.ru/mfd

12.09.2025 (Санкт-Петербург): IMPERATOR-FORUM 2025
Доклад "Как СБшнику научиться предупреждать киберриски"
Регистрация: https://imperator-forum.ru

25.09.2025 (Онлайн): IT. Право. Безопасность. Online. 2025
Доклад "7 методов легальной слежки за мобильниками"
Регистрация: https://itlawsec.ru/

Интернет-Розыск

23 August 2025 10:11

Истинная сила OSINT кроется не в софте, а в наборе фундаментальных и метанавыков. Именно они превращают груду данных в ценные инсайты и обеспечивают не только результативность, но и безопасность расследования.

1️⃣ Технический фундамент

🔘 Базовое понимание ИТ и кибербезопасности: Это не о том, чтобы быть хакером. Это о безопасной навигации в цифровом мире. Понимание сетей, протоколов, основ шифрования и векторов атак позволяет минимизировать риски для себя и объекта исследования. Знание – лучшая защита.

🔘 Картографирование и визуализация данных: Умение видеть связи – суперсила OSINT. Превращение разрозненных точек данных (email, домены, IP, аккаунты, транзакции) в наглядные схемы выявляет скрытые паттерны, структуры и аномалии, неочевидные в таблицах.

🔘 Автоматизация и скриптинг: Не нужно знать все языки программирования. Ключ – глубокое владение несколькими ключевыми инструментами для автоматизации рутинных задач (сбор, парсинг, первичная обработка). Это высвобождает время для настоящего анализа.

2️⃣ Мышление аналитика

🔘 Железобетонная проверка данных и источников: Эпоха дезинформации требует беспощадного скептицизма. Каждый факт, каждый источник должен подвергаться перекрестной проверке. Откуда информация? Кому выгодна? Есть ли подтверждение из независимых источников? Без этого навыка ваши выводы строятся на песке.

🔘 Осознание и контроль когнитивных предубеждений: Наш мозг – мастер самообмана. Подтверждающая предвзятость, ошибка выжившего, эффект ореола – все это искажает анализ. Профессионалы знают свои слабости и используют структурированные методики (например, анализ по конкурирующим гипотезам - ACH) для поддержания объективности.

🔘 Творческий подход к решению проблем: Не все ответы лежат на поверхности. Иногда нужен неочевидный угол атаки: поиск по косвенным признакам, анализ метаданных в неожиданном контексте, использование нишевых платформ. Гибкость мышления открывает двери, которые кажутся запертыми.

🔘 Критическое мышление: Умейте атаковать собственные выводы. "Как я могу опровергнуть свою гипотезу?", "Какие альтернативные объяснения существуют?", "Что я мог упустить?". Роль "адвоката дьявола" для самого себя – лучший тест на прочность вашего расследования.

3️⃣ Личная безопасность

🔘 Защита личности: Если ваша собственная цифровая тень видна как на ладони, а аккаунты не защищены, все расследование под угрозой срыва или компрометации. Строгий OpSec (использование ВПН, разделение идентичностей, безопасные браузеры, защита устройств) – не опция, а обязательное условие работы.

🔘 Аудит собственного цифрового следа: Прежде чем искать чужие секреты, тщательно очистите свои. Что о вас можно найти в открытом доступе? Старые аккаунты, утечки данных, публикации? Минимизация вашего следа снижает риски и повышает анонимность.

4️⃣ Мягкие навыки

🔘 Кристально ясная коммуникация и отчетность: Самый блестящий анализ бесполезен, если его не поняли заказчики, коллеги или суд. Умение структурированно, наглядно и убедительно излагать выводы, адаптируя язык под аудиторию, – критически важно.

🔘 Активное сотрудничество и обмен в сообществе: OSINT развивается стремительно. Никто не знает всего. Участие в профессиональных сообществах, обмен тактиками и источниками (без нарушения OpSec и этики) – ключ к росту и решению сложных задач.

🔘 Железная дисциплина и фокус: Информационный океан безграничен. Легко угодить в "кроличью нору", увлекшись интересным, но нерелевантным направлением. Управление временем, четкое определение целей на каждом этапе и умение сказать "стоп" – залог эффективности.

5️⃣ Специалитет

🔘 Культурный и языковой контекст: Работа с иностранными источниками? Понимание культурных нюансов, сленга, местных реалий и, желательно, знание языка – необходимо для корректной интерпретации данных и избегания фатальных ошибок.

🔘 Скрупулезное документирование процесса: Настоящий профессионал оставляет следы. Подробное документирование каждого шага, источника и вывода обеспечивает повторяемость, проверяемость результатов, помогает в обучении и защищает в случае сомнений.

Интернет-Розыск

22 August 2025 15:04

Перед нами, как экспертами по расследованиям в блокчейне, стояла задача: отследить путь украденных средств, понять методы их отмывания и идентифицировать точки, где можно было бы попытаться их заморозить или получить информацию для правоохранительных органов.

❗ Первым делом мы зафиксировали адрес злоумышленника, на который поступили украденные средства: bc1qyxyk4qgyrkx4rjwsuevug04wahdk6uf95mqlej. Анализ этого адреса через сервис ШАРД показал его высокий риск https://shard.ru/address/bc1qyxyk4qgyrkx4rjwsuevug04wahdk6uf95mqlej/btc/btc. Адрес был одноразовым, не связанным с предыдущими транзакциями, что является стандартной практикой для сокрытия первоначального источника.

Преступник применил классическую, но эффективную для больших сумм технику — Peel Chain (дословно — «цепочка очистки»). Это не случайные переводы, а структурированный процесс. Со стартового адреса совершается транзакция. Затем основной объем средств переводится на следующий временный адрес в цепочке. Небольшая сумма (например, 3 BTC) «отщипывается» и отправляется на отдельный адрес для дальнейшего обналичивания или конвертации. Этот процесс повторяется десятки раз, что приводит к дроблению огромной суммы на множество мелких, менее подозрительных транзакций. После дробления значительная часть средств была направлена в криптомиксер Wasabi Wallet.

Wasabi Wallet использует механизм CoinJoin. Его суть в объединении (микшировании) средств множества пользователей в одной транзакции. На входе — BTC с сотен разных кошельков, на выходе — те же суммы, но уже невозможно установить прямую связь между входящими и исходящими адресами.

Это ключевой этап отмывания, который серьезно затрудняет расследование. CoinJoin эффективно размывает «цифровой след» средств. После миксера украденные монеты были распределены по множеству новых адресов. Нам удалось идентифицировать несколько финальных кошельков хранения, куда осели значительные суммы украденных средств:

❗ bc1qzgkjll2ha20qyfdudxdv8v2279lzf4mxrr57rt (70 BTC)
❗ bc1qfwwuvady5cg6u9ta474vzp7tv4q8lfe97eg3z7 (80 BTC)
❗ bc1qfnrc8tmmn0tjd67plf4arl6fg65jygf80remrr (50 BTC)
❗ bc1q7hukpx8xlgusxk37qveaxwcy2jrz8gy9ux2td8 (40 BTC)
❗ bc1qa835vqj3mn7aprve8cnpq3lyr8sg0j943zvesk (12.25 BTC)

Нагляднее всего весь путь движения средств от первоначальной кражи до миксера и кошельков хранения виден на графе транзакций в ШАРД, который мы построили для этого случая: https://shard.ru/graph/saved/24e37cb5-4603-4842-a3d7-3aa080e73f39

Данный кейс наглядно показывает, что даже при использовании продвинутых методов анонимизации, комплексный OSINT-анализ блокчейна позволяет вскрыть схему отмывания, идентифицировать ключевые точки и предоставить данные для дальнейшего расследования.

Интернет-Розыск

22 August 2025 12:01

#НастольнаяКНИГА Как читать следы преступлений: о чем не расскажет поп-культура

Любой объект содержит в себе информацию. А много ли из них способны рассказать о скрытых деталях преступления? Порой самые обыденные и неприметные вещи — отпечаток пальца, след подошвы, клочок бумаги или волос — становятся ключом к истине.

Интернет-Розыск

21 August 2025 17:04

Коллеги, расследователи, все, кто работает с открытыми данными. Грядущая осень принесет не только похолодание, но и серьезное ужесточение цифрового законодательства в России. С 1 сентября вступает в силу пакет поправок, который напрямую затрагивает нашу с вами профессиональную деятельность. Игнорировать эти изменения — значит сознательно идти на правовые риски. Давайте разберемся, что меняется и как адаптировать свои рабочие процессы, оставаясь в правовом поле.

⁉️ Что меняется?

1️⃣ Полный запрет на рекламу VPN и схем обхода блокировок
Это касается не только прямой рекламы в медиа, но и, что важно, любых публичных призывов и инструкций. Если в вашем блоге, чате или на канале есть посты с рекомендациями «как получить доступ к заблокированному ресурсу X» — их необходимо удалить. Под раздачу попадают и схемы использования прокси, Tor и иных инструментов, которые могут трактоваться как средства обхода.

2️⃣ Запрет на рекламу на заблокированных и «нежелательных» ресурсах
Теперь штрафуют не только за текущую рекламу, но и за любую рекламную интеграцию, сделанную в прошлом, если ресурс-партнер ныне признан запрещенным. Наиболее яркие примеры — Instagram* и Facebook* (принадлежат Meta, признанной экстремистской организацией и запрещенной в России). Кроме того, если такая реклама не была промаркирована как реклама (например, в блогерских постах), штрафы будут наложены по двум статьям сразу.

3️⃣ Запрет на умышленный поиск экстремистских материалов
Это нововведение вызывает больше всего вопросов у сообщества. Формулировка «умышленный поиск» размыта и может трактоваться очень широко. Для OSINT-специалиста, чья работа часто связана с изучением деятельности маргинальных групп, запретных сообществ и закрытых форумов, это создает правовую ловушку. Сам факт перехода по ссылке или поиска по определенным ключевым словам может быть истолкован как нарушение.

4️⃣ Ответственность за передачу цифровых идентификаторов и SIM-карт
Теперь прямо запрещено передавать третьим лицам свои логины и пароли от почт, соцсетей, мессенджеров и других аккаунтов. Под запрет также попадает передача SIM-карт все, кроме близких родственников. Это серьезно затрудняет такие практики, как совместный доступ к мониторинговым аккаунтам или использование «технических» SIM для регистрации.

‼️ Рекомендации:

Проведите ревизию всех своих публичных профилей, блогов, каналов и чатов. Без сожаления удаляйте любой контент, который можно трактовать как рекламу или инструкцию по обходу блокировок. Если ваша работа потенциально может привести к контакту с запрещенным контентом, важно максимально задокументировать процесс. Полностью исключите практику передачи кому-либо своих аккаунтов или SIM-карт. Используйте корпоративные инструменты для командной работы и легальные сервисы мониторинга. Посетите офисы операторов связи и заблокируйте те SIM-карты, которые оформлены на вас, но вами не используются. Если вы работаете в команде или агентстве, обязательно проведите инструктаж для всех сотрудников. Незнание закона не освобождает от ответственности.

Интернет-Розыск

21 August 2025 12:04

Когда речь заходит о геолокации мобильного устройства, классический OSINT-специалист сразу думает о триангуляции вышек сотовой связи, данных Google Location History или активации меток в фотографиях. Эти методы хорошо известны, но часто требуют доступа к данным оператора или аккаунтам жертвы. Однако существует куда более изящный, тихий и практически невидимый механизм, встроенный прямо в операционную систему iOS. Речь идет о системе Apple Core Location, и её обратная сторона открывает новые возможности для слежки.

Традиционно считается, что для точного позиционирования в городе телефон использует GPS и Wi-Fi. Это правда, но лишь отчасти. Главный «секретный ингредиент» Apple — это гигантская, постоянно обновляемая база данных Bluetooth- и Wi-Fi-маяков по всему миру. Иными словами, телефон получает точнейшие координаты почти мгновенно, даже в помещении, без тяжелых вычислений и не тратя заряд батареи на pure GPS-поиск.

Ключевой момент, который раскрывает проект apple-corelocation-experiments, заключается в следующем: для запроса к этой системе не нужен сам iPhone жертвы. Любое устройство, зная MAC-адреса роутеров вокруг цели, может спросить у Apple: «Эй, я вижу роутеры с адресами aa:bb:cc:dd:ee:ff, 11:22:33:44:55:66 и aa:bb:cc:99:88:77. Где я нахожусь?». И сервер Apple честно ответит координатами.

Цель — получить MAC-адреса стационарных Wi-Fi точек доступа в местах регулярного пребывания цели (дом, офис, любимое кафе). Атакующий берет известные ему MAC-адреса и формирует HTTP-запрос к закрытому API Apple. Запрос имитирует тот, что отправляет настоящий iPhone. В ответ сервер Apple присылает точные координаты с высокой степенью точности (до 5-10 метров), если переданный «слепок» эфира уникален и хорошо известен системе.

Попробуйте проект Geomac-Rust — это готовый инструментарий на языке Rust, который автоматизирует этот процесс. Он позволяет загрузить список MAC-адресов и массово опрашивать серверы Apple, получая координаты.

Интернет-Розыск

20 August 2025 17:03

⚪️ Санкционные риски и блокировки западных технологий потребовали от российских властей задуматься о создании собственного защищенного национального мессенджера. По задумке, Max должен стать масштабным приложением, позволяющим помимо обмена сообщениями и голосовой связи также получать электронные государственные услуги, удостоверять личность через цифровой ID, использовать усиленную электронную подпись, а также совершать платежи - https://www.kommersant.ru/doc/7942062

Сейчас пользователям доступны отправка текстовых и голосовых сообщений, аудио/видеозвонки, отправка файлов до 4ГБ и стикеры, встроенный ИИ GigaChat 2.0, платежи через СБП (ВТБ и Альфа-банк), а также мини-приложения, перечисляет основатель компании Интернет-Розыск и директор департамента расследований T.Hunter Игорь Бедеров. К сентябрю запланирован запуск полноценного маркетплейса мини-приложений, доступ к «Госуслугам», открытие API для сторонних разработчиков и возможность создания каналов для всех пользователей. Игорь Бедеров подчеркивает, что Max позиционируется как единая платформа для общения, платежей, госуслуг и бизнес-сервисов, повторяя путь WeChat, с поддержкой ботов и API для бизнеса.

Интернет-Розыск

20 August 2025 12:03

⚪️ В iOS- и Android-смартфоны встроен идентификатор мобильной рекламы MAID (Mobile Advertising ID), за которым закрепляются различные атрибуты устройства и его пользователя, включая поведение в приложениях и приблизительное местоположение - https://www.gazeta.ru/tech/news/2025/08/18/26519912.shtml. Из этих данных рекламодатели формируют «профиль интересов» владельца устройства, благодаря чему своевременно показывают ему актуальные объявления в интернете. Как рассказал «Газете.Ru» основатель компании Интернет-Розыск и директор департамента расследований T.Hunter Игорь Бедеров, формально MAID является инструментом слежки, но его эффективность можно ограничить в настройках смартфона.

Полностью исключить участие в этой системе сложно, однако сократить объем собираемых данных возможно, считает Бедеров. На Android это делается в разделе настроек «Защита и конфиденциальность». В этом меню нужно выбрать пункт «Настройки конфиденциальности» и далее – меню «Реклама». В открывшемся экране можно удалить тот самый рекламный ID и отказаться от персонализации. На iOS подобные настройки доступны в меню «Конфиденциальность и безопасность». В этом меню нужно выбрать пункт «Отслеживание» и далее отключить разрешение приложений на сбор данных. В обоих случаях рекомендуется дополнительно сбросить существующий рекламный идентификатор, что доступно в упомянутых разделах настроек.

«Пионером концепции рекламного ID на уровне ОС стал Google. Они представили Android Advertising ID (AAID) в 2013 году с выходом Android 4.1 Jelly Bean как часть Google Play Services. Apple ввела свой аналог – Identifier for Advertisers (IDFA) – в 2012 году с iOS 6. Хотя технически Apple была первой, именно Google с его доминирующей долей рынка Android и открытостью экосистемы сделали MAID стандартом де-факто для мобильной рекламы», – добавил Бедеров.

По словам эксперта, MAID пользуют не только рекламодатели, но и брокеры данных, различные аналитические компании для проведения маркетинговых исследований, а также разработчики приложений и даже государственные органы разных стран для некоторых видов надзора за гражданами.

Интернет-Розыск

20 August 2025 07:21

Широко известный в узких ИБ-кругах Кир Ермаков, поделился в LinkedIn 📱 историей провала своего OSINT-стартапа 4Hackers, на который он потратил год и около 200 тысяч долларов собственных средств. Платформа должна была объединять доработанные под OSINT и red-team запросы открытые модели LLM, коннекторную фабрику Slytherin на Go (новый API-адаптер за меньше чем час, написано около 20), оркестратор RAG, собирающий данные в единую историю, а также чат-бот 👀 И все бы хорошо, но, как это часто бывает, классная технология "обломала зубы" о реалии запуска бизнеса.

Кир перечисляет 5️⃣ сделанных им основных ошибок:
1️⃣ Отсутствие валидации идеи. Продукт создавался без интервью с целевой аудиторией, в итоге был ориентирован на пользователей, которых практически не существует.
2️⃣ Неверная оценка рынка. Переоценено влияние ИИ-технологий, рынок оказался значительно меньше ожидаемого.
3️⃣ Проблемы с платежной инфраструктурой. Более 80% транзакций через локальные шлюзы не проходили; исправно заработал только Stripe. Я когда думал о запуске своего бизнеса на базе сайта тоже пришел к выводу, что только Stripe будет нормально работать. А в России он недоступен и идея у меня так и не была реализована.
4️⃣ Технологическая гонка. Стек технологий устарел за время разработки.
5️⃣ Тонкая настройка моделей оказалась бесконечным делом. Борьба с jailbreak-запросами и ограничениями контекста отнимала месяцы работы.

Выводы и рекомендации, которые дает Кир сам себе, если бы он запускал проект с начала: 🤔
6️⃣ Проводить минимум 50 интервью с пользователями до начала масштабной разработки.
2️⃣ Запускать продукт в бесплатном формате, монетизацию подключать позже.
3️⃣ Отдавать приоритет готовым решениям (пример: Stripe).
4️⃣ Избегать on-prem-инфраструктуры без значительных финансовых ресурсов (от 10 миллионов); лучше использовать API.

Я много раз писал в блоге, что любой стартап в области ИБ зависит не от используемых технологий, и не от бизнес-составляющей. Нужна их комбинация. Большинство стартапов, которые выстрелили, обычно создаются двумя людьми, технарем и бизнесменом. Только в такой комбинации у проекта есть шанс 🤔

#стартап

Интернет-Розыск

19 August 2025 12:02

Мероприятия сентября, в которых я буду принимать участие. Присоединяйтесь!

11.09.2025 (Москва): MOSCOW FORENSICS DAY '25
Доклад "Определение владельцев, администраторов и разработчиков веб-ресурсов"
Регистрация: https://events.mko-systems.ru/mfd

12.09.2025 (Санкт-Петербург): IMPERATOR-FORUM 2025
Доклад "Как СБшнику научиться предупреждать киберриски"
Регистрация: https://imperator-forum.ru

25.09.2025 (Онлайн): IT. Право. Безопасность. Online. 2025
Доклад "7 методов легальной слежки за мобильниками"
Регистрация: https://itlawsec.ru/

Интернет-Розыск

18 August 2025 19:02

Россиянам рассказали, как защитить свой телефон от навязчивых рекламодателей
ИБ-эксперт Бедеров рассказал, как защитить смартфон от рекламодателей в сети
https://www.gazeta.ru/tech/news/2025/08/18/26519912.shtml

Интернет-Розыск

18 August 2025 14:15

🔥 Google CSE — мощный, но часто недооцененный инструмент для профессионалов OSINT. Он позволяет выйти за рамки стандартного поиска. Вы создаете поисковую систему, которая индексирует ТОЛЬКО заданный вами пул доменов. Т.е. реализует идею: "Ищи не во всем интернете, а только там, где информация имеет максимальный вес и достоверность для твоей задачи". Например, мой поисковик, который ищет информацию только по социальным медиа: https://cse.google.com/cse?cx=d69e08526637c468d

✅ Настроить такой инструмент под конкретные нужды OSINT-разведчика — просто. Подробный разбор создания и применения Google CSE для OSINT — в видео: https://youtu.be/LVZrQkwL5qU

Интернет-Розыск

18 August 2025 09:10

Коллеги, в расследованиях часто приходится сравнивать тексты: искать изменения в документах, выявлять плагиат или даже анализировать стиль для установления авторства анонимных постов. Держите подборку полезных сервисов и инструментов:

1. Быстрое сравнение (diff):

https://text-compare.com/ - Прост и понятен.
http://diffchecker.com - Классика, показывает различия наглядно.
https://app.copyleaks.com/text-compare - От создателей антиплагиата, показывает различия с подсветкой.

2. Поиск копий / Плагиата:

https://www.copyscape.com/compare.php - Специализируется на поиске дубликатов контента в интернете.

3. Анализ авторства (Stylometry / Authorship Attribution):

https://github.com/evllabs/JGAAP - Мощный open-source фреймворк для установления авторства. Требует установки и знаний, но дает глубокий анализ стиля (лексика, синтаксис).

4. Базовое сравнение + статистика:

https://countwordsfree.com/comparetexts - Сравнение + полезная статистика (количество слов, символов и т.д.).

Когда это полезно в OSINT?

Сравнение разных версий документа (например, политических программ, договоров). Поиск плагиата в расследованиях на академическую или журналистскую честность. Анализ стиля анонимных сообщений для их связывания между собой или с известным автором (с осторожностью и доп. данными!). Проверка уникальности контента.

Интернет-Розыск

17 August 2025 17:48

Ключевой технологией для цветных революций является система связи и коммуникаций. Они, собственно, и стали возможны с распространением сотовой связи, далее только менялись каналы координации — «арабская весна» — уже «твиттер-революция». Сейчас пришло время мессенджеров. Белоруссию раскачивали через Telegram, например, то же самое с протестами в Иране. Роскомнадзор на этой неделе начал ограничивать звонки через иностранные мессенджеры для противодействия мошенникам и террористам - https://www.5-tv.ru/news/5033778/arena-prestuplenij-kak-inostrannye-messendzery-stali-instrumentami-mosennikov-iterroristov/

«Запросы из Российской Федерации не всегда и не в полной мере этими мессенджерами исполняются. Этим достигается лишняя анонимность для самих мошенников», — сказал эксперт по кибербезопасности, IT-расследователь Игорь Бедеров.

Только за шесть месяцев этого года зарегистрировано больше 140 тысяч преступлений, совершенных с помощью мессенджеров. В 2024 году мошенникам удалось таким способом похитить у россиян почти 300 миллиардов рублей. Большая миграция мошенников в мессенджеры началась в конце 2022 года, когда их деятельность и подменные номера начали активно блокировать операторы сотовой связи. В приложениях они получили полную свободу: легко заметая следы, скрывая личности, меняя не только фото в профиле, а с помощью современных технологий голос и даже облик во время видеозвонков.