Всем привет! Я, de la архангел и Настя Мирная, сегодня разберем, как спецслужбы уничтожили «Амазон для хакеров» методами, доступными каждому OSINT-энтузиасту.

Операция «Cookie Monster»: Как 17 стран ловили преступников по цифровым крошкам (Апрель 2023, данные FBI и Netherlands Police)

❶ Проблема: «Супермаркет» для киберпреступников Genesis Market — это darknet-площадка, где продавались «боты»(зараженные ПК жертв). Купив такого бота, преступник получал: - Логины/пароли банков, соцсетей; - Файлы cookie (для входа в аккаунты без пароля); - Даже веб-камеры жертв в реальном времени. Цена: От $0.70 до $850 за аккаунт. Жертв: 2 млн+ по миру.

❷ Ошибка хакеров: Чтобы скрыться, админы Genesis использовали Tor, крипту и серверы в РФ. Но FBI нашли их через...

▻ Метод 1: Анализ «брошенных» аккаунтов Хакеры создали фейковый аккаунт в Reddit для рекламы. Через 2 года забыли о нем. Спецслужбы нашли там: - Скриншот рабочего стола → по иконкам определили софт (Telegram, Exodus wallet); - Упоминание игры Rust → связали с аккаунтом в Steam; - Ошибка: В Steam профиле было фото с собакой → его распознал PimEyes → нашли личный Instagram.

▻ Метод 2: Утечка в техподдержке Покупатели Genesis жаловались на сбои в *elegram-боте. Анализ 1000+ чатов показал: - Бот случайно слал IP-адреса серверов при ошибке; - Один сервер был в Нидерландах → провайдер выдал логи (через суд); - В логах нашли почту админа: rambler.ru → взломана через фишинг.

▻ Метод 3: Цифровой «отпечаток» кода У каждого бота Genesis был уникальный ID. Спецслужбы купили 100+ ботов и проанализировали их код: - Нашли комментарии разработчика в скриптах: `// TODO: fix this shit`; - Сравнили стиль с GitHub → вышли на аккаунт «Alexey_Scripter»; - Его профиль ссылался на форум хакеров RU → там он хвастался «успехами Genesis».

❸ Кульминация: Как поймали «короля печенек» Главного админа (россиянина Дмитрия Смирнова) нашли через цепочку осинт-ошибок: 1. Он использовал личный email для регистрации на форуме программистов; 2. В его ВК нашли альбом «Отдых в Турции-2021» → фото геолоцировали по горам на фоне (Google Earth + PeakVisor); 3. На одном фото был билет на концерт → частично читался QR-код → расшифровали дату/место; 4. Пересеклись с данными **авиапассажиров** (от Interpol) → имя в билете ≠ имени в паспорте.

Итог: 120 арестов, 200 серверов отключено, 1.1 млн ботов уничтожено.

> 💡 Главный урок: Хакеры проигрывают не из-за сложных технологий, а из-за человеческих ошибок. Ваша внимательность — сильнее их шифрования.

Заключение от Нас троих: «Operation Cookie Monster — эталон OSINT-расследования. Каждый этап можно повторить с ноутбука в кафе. Ваша суперсила: терпение и любопытство. Начните с малого — проверьте свои старые скриншоты. Уверена: вы найдете „печеньки“ и у себя!»

Спасибо за прочтение, статью писали: Wostett , de la архангел и Настя Мирная