Как ловят мамкиных доксеров с помощью сетевых анализаторов? (краткое введение)

В 21 веке, с ростом интернет активностей количество киберпреступлений многократно возросло.
Если раньше темным хакингом занимались в основном взрослые профессиональные хакеры, то сейчас: 70% всех киберпреступлений осуществляется подростками и детьми.
В современном мире даже подросток может заинтересоваться темой хакинга и встать на темную сторону.

Сегодня в статье мы разберем как же ловят так называемых «доксеров».

Что такое «доксер»?
Доксер — это лицо, осуществляющее деанонимизацию определенной личности или осуществляющее рассылку персональных данных лица, как с целью материальной выгоды так и с целью деанонимизации жертвы.
Причины доксинга могут быть разные, как личная неприязнь, так и неадекватное поведение жертвы (ответный доксинг на докс, доксинг токсичных людей и т. д.)

Доксинг — процесс сбора информации о жертве, а также ее публикация в открытых источниках.

В 2020 году, когда основная платформа для «доксов» только появилась (я застал данный момент), средний возраст доксеров был 16-23 лет. В 2024 году ситуация изменилась, теперь средний возраст «доксеров» — 11-17 лет. С ростом популярности платформы все больше и больше молодежи чувствуя безнаказанность начало заниматься противозаконной деятельностью.

Некоторые из них эволюционировали и стали так называемыми «сватерами».

Сватинг — процесс направленный на привлечение заведомо невиновного к уголовной ответственности путем вызова экстренных служб на адрес жертвы или же лжеминирования от лица обидчика. В таком случае по адресу жертвы выезжает группа силовиков или же правоохранительных органов.

С основными понятиями мы разобрались, а что на практике?

На самом деле, остаться безнаказанным за свой проступок практически невозможно. За всеми «сватерскими» каналами в соц. сетях тщательно следят МВД и ФСБ, ожидая пока зальют докс на того или иного сватера и просто выезжают по слитым адресам.
Когда установить личность сватера является трудной задачей, в сферу подключается возможности IT.

Зачастую неумелые подростки-сватеры для маскировки используют публичные сервисы, такие как VPN или же браузер «TOR», однако ничего хорошего из этого не выйдет.
Объясню проще — интернет, это не только сетевая часть, но еще и машинная. Допустим у тебя получилось скрыть свое гео благодаря браузеру «TOR», но. конечный сервер то все равно знает твои данные, не так ли?
Зачастую все «почты для рассылок сватерских писем» имеют логирование твоих девайсов и данных при входе, это: разрешение экрана (screen resolution), адрес IPv4 (твой IP), IPv6, cookie, строка User-Agent (информация о системе, браузере), referer (сайт, откуда был совершен переход на целевую страницу)

Строка UserAgent ( инфа о баузере и ОС ПК )

Проблема состоит в том, что все беспокоятся о сетевой анонимности, но при этом забывают про машинную, сейчас объясню.
Чтобы обнаружить нашего товарища нам понадобится сетевой анализатор. Я использую WireShark.
Подключаемся к нашему сетевому интерфейсу и начинаем захватывать «пакеты».

В данном случае нас интересуют два протокола — TCP и UDP.
В чем разница между ними?

Если нам нужно получить точный ответ, то лучше всего использовать протокол TCP, так как он предварительно устанавливает соединение с сервером и осуществляет повторный запрос в случае потери данных, гарантируя тем самым целостность передаваемой информации.
Если точность нам не важна, а важна скорость — используем протокол UDP.
UDP использует простую модель передачи, без явных «рукопожатий с сервером» для обеспечения надёжности. Минус же состоит в том, что данные могут прийти не по порядку, дублироваться или вовсе исчезнуть без следа.

Что такое «пакеты»?

Если говорить по простому, пакет — это набор данных, включающих в себя разные сведения, такие как: IPv4 и порт, с которого был произведен запрос, ID оборудования, mac-адреса устройства (роутер, сетевая карта материнской платы), время отправки, и сама информация, которую мы запрашиваем у нужного нам сервера (в данном случае при рассылке «сват писем» в правоохранительные органы).

Открыв любой «пакет» из WireShark мы можем видеть следующие вещи:

Пакет номер 183. ID Устройства, ArrivalTime(точная дата отправки пакета).

Если спуститься чуть ниже, можно увидеть самую интересную часть:

Красным выделены MAC адреса нашей сетевой карты и роутера. То, что забывают скрывать и на чем ловятся неопытные хакеры. Зеленым отображается передача данных между IPv4, src - источник, dst - назначение

"Mac-адреса" устройства необходимо «криптовать» или «сетать» их значение на NULL с помощью драйверов или специальных скриптов на python/c++/и т. п.

"Mac-адреса" являются физическими адресами вашего "железа", при грамотном использовании IT с помощью адресов можно вычислить точное местоположение вашего устройства.

Строка TCP (Transmission Control Protocol), содержит информацию об изначальном порте и порте назначения (куда отправляется запрос) / IP схожи с теми, что и сверху.

Таким образом, опытные программисты могут очень легко вычислить точечный источник откуда идут запросы на «сватинг».
Например: Мамкин хакер использовал VPN для «сватинга».
Почта имеет IP адрес с которого отправлялся запрос на отправку письма. IP адрес проверяется через сервисы проверки информации, узнается провайдер VPN сервиса. Отправляется письмо провайдеру с требованием выдать человека, который в такую то дату и такое то время подключался к данному IP адресу (почты). VPN сервис получая запрос от правоохранительных органов смотрит логи и выдает настоящий IP адрес клиента. Далее дело за малым, узнав провайдера пишется требование предоставить номер договора и регистрационные данные. Вуаля, 1-2 дня и все Ваши данные находятся у правоохранительных органов (в том числе и история посещения веб-сайтов за последние 6 месяцев).

Более того, после каждого совершения преступления мамкин хакер начинает все больше нервничать и переживать, чтобы его не поймали. Получается замкнутый круг, с каждым разом хакер все сильнее и сильнее переживает, чтобы его не поймали, испытывая сильный стресс. Ведь, если поймают… предъявят за все случаи, особенно когда начнется расследование.

Теперь немного ответов на вопросы:

В: Спасет ли меня VPN, и буду ли я с ним анонимным?
О: Нет, VPN никогда не дает анонимности. Большинство VPN сервисов используют одни и те же протоколы шифрования, более того, с публичными ключами, которые есть в общем доступе, например: AES SHA-256 (256 ключ шифрования для OPENVPN). Написать расшифровщик дело не трудное, в результате чего, полная деанонимизация трафика будет гарантирована.

В: Браузер ТОР, вроде анонимный?
О: Нет, браузер ТОР не анонимен. Да, Вы можете очень легко скрыть свое ГЕО благодаря «мостам», но эти самые мосты — такие же сервера, которые стоят в дата-центре. На большинстве из них есть логирование и слежка трафика.
Сеть ТОР устроена так, что каждый сервер знает друг о друге что-то. Например:
Последний сервер знает информацию о предпоследнем, предпоследний знает об втором сервере, второй о первом, а первый — о Вас. Последняя цепочка с 3 сервера до целевого сайта — не «закриптована», там Вас и могут ждать перехватчики типа «man-in-the-middle» (человек по середине), и вычерпывать Вашу информацию.

В: Какие риски ждут потенциального хакера?
О: Ст. 207 УК РФ, ст. 306 УК РФ, ст. 303 УК РФ, ст. 299 УК РФ

В: Могу ли я как-то стать анонимным полностью?
О: Да, у меня есть курсы по анонимности, но за отдельную плату и только для определенного круга лиц, писать в ТГ: @fur_psych

В заключении хочу сказать, что большинство «сватеров» уже давно были пойманы правоохранителями. Они тоже себя считали «не дураками», и думали, что анонимны…, но в итоге… как-то проеблись?
Если у Вас недостаточно знаний в этой сфере, а уж тем более, анонимности — лучше даже не начинать. Одна ошибка и последствия будут фатальные.