Покрокове розслідування міжнародного злочинця за допомогою OSINT: справа Тимура Камільєвича Шахмаметова
Огляд використання OSINT в кримінальних розслідуваннях
Розвідка з відкритих джерел (OSINT) є необхідним інструментом сучасних кримінальних розслідувань, який дозволяє правоохоронним органам відстежувати сліди діяльності в Інтернеті, знаходити зв'язки та складати образ підозрюваних. Використовуючи відкриті дані з соціальних мереж, електронних баз даних і публічних реєстрів, OSINT дозволяє слідчим отримати доступ до онлайн-життя осіб. Така інформація особливо цінна у випадках кіберзлочинності, де традиційні методи розслідування можуть бути неефективними.
У цій статті розглядається OSINT-розслідування ESPY щодо Тимура Камільєвича Шахмаметова, російського громадянина та відомого кіберзлочинця, діяльність якого охоплює створення нелегальних кардингових платформ ( викрадення даних кредитних карт), відмивання грошей та шахрайства з мобільними іграми. Розслідування описує використання інструментів OSINT для збору даних та формування цілісної картини, що стосується фінансових махінацій, продажу вкрадених даних кредитних карт та пошуку злочинця, якого розшукують правоохоронці США. Основна увага була зосереджена на зборі інформації про Шахматова та його зв’язки. Це мало допомогти правоохоронним органам у відстеженні його місцезнаходження, ідентифікації спільників та пошуку нових доказів для його затримання.
Короткий опис справи Тимура Камільєвича Шахмаметова
Тимур Шахмаметов, відомий також під псевдонімом «Joker», є головним організатором однієї з найбільших і найвідоміших кардингових платформ в історії — Joker's Stash. Ця платформа займалася незаконним продажем викрадених даних платіжних карток, що завдало шкоди мільйонам людей по всьому світу. Секретна служба США у співпраці з Державним департаментом США оголосили винагороду до 10 мільйонів доларів за інформацію, яка допоможе арештувати або засудити Шахмаметова.
У вересні 2024 року Офіс прокурора США висунув Шахмаметову звинувачення за сприяння кіберзлочинній діяльності, включаючи банківське шахрайство, шахрайство з платіжними пристроями та відмивання грошей. Аналітики оцінюють, що Joker’s Stash заробила від 280 мільйонів до 1 мільярда доларів через продаж вкрадених реквізитів кредитних карт. Масштаб його злочинної діяльності серйозно вплинув на глобальну фінансову безпеку. У цій статті докладно описано, які методи OSINT використовували для розслідування операцій Шахмаметова та які результати допомогли правоохоронним органам виявити його мережу.
2. Пошук даних та формування профілю
Налаштування розслідувального процесу
Розслідування почалося зі збору відкритої інформації про Шахмаметова. Завдяки інструментам OSINT, таким як IRBIS Profiler, нам вдалося доповнити його профіль особистими даними, зокрема його повним іменем, датою народження та псевдонімами, такими як "JokerStash" і "Vega". Також ми відслідкували його активність на різних платформах, зокрема у VK — популярній російській соціальній мережі. Цей етап допоміг створити базовий профіль особистості, включаючи важливі контактні дані, такі як номери телефонів і електронні адреси.
Акаунт Шахмаметова у VK дав нам важливі географічні дані, зокрема його зв'язок із Санкт-Петербургом. Однак подальше розслідування його реальної діяльності показало, що основна його активність в Інтернеті зосереджені в Новосибірську — місті в Сибіру, де він пов’язаний з компанією мобільних ігор Arpaplus, що займається багатомільйонними проектами. Ця географічна деталь стала вирішальною для того, щоб зосередити розслідування його діяльності саме в Новосибірську.
Процес збагачення даних зосередився на зборі інформації про його телефонні номери, електронні адреси, профілі в соціальних мережах та відомі бізнес-зв'язки. Ці дані стали ключовими для моніторингу діяльності в Інтернеті Шахмаметова, що дозволило слідчим відстежити потенційні зачіпки і скласти більш чітке уявлення про його мережу.
Прив'язка родини та партнерів до справи
Хоча члени родини Шахмаметова — його дружина Анастасія, сестри Алла та Діана, а також мати Тамара — не були безпосередньо пов'язані з його злочинною діяльністю, їхні профілі стали важливими для відстеження де саме він перебував у певні моменти часу. За допомогою інструментів OSINT було виявлено візуальні докази того, хто оточував його і де він проводив час. Пости, фотографії та діяльність членів сім'ї в соціальних мережах допомогли встановити хронологію пересування Шахмаметова, що сприяло його відстеженню.
Аналізуючи відкриту інформацію з соціальних мереж дружини та родичів Шахмаметова, ми також виявили фотографії та місця, які надали суттєву інформацію про його місцезнаходження. Наприклад, фото з соціальних мереж показували його на певних заходах, що допомогло точно визначити його місце перебування в конкретні моменти часу.
3.Встановлення зв`язків та їх побудова на карті
Інструменти OSINT дозволили створити детальну карту зв'язків, яка візуально відображає взаємозв'язки між Шахмаметовим, його родиною, діловими партнерами та іншими особами, залученими в його діяльність.
На карті були позначені такі ключові особи, як Ліхачов Станіслав Олександрович, бізнес-партнер Шахмаметова, який був членом компанії Arpaplus, що займалася розробкою мобільних ігор. Хоча прямих зв'язків зі злочинною діяльністю через ці відносини не виявлено, потрібно було відстежувати ці зв'язки, щоб зрозуміти структуру мережі Шахмаметова і визначити, де він може бути задіяний.
Бізнес-проекти та кримінальні організації
Розслідування виявило причетність Шахмаметова до компанії з розробки мобільних ігор Arpaplus, яку він співзаснував з Ліхачовим. За допомогою OSINT ми змогли пов'язати цей бізнес з його кіберзлочинністю, зокрема відмиванням грошей та фінансовими махінаціями. У 2023 році дохід Arpaplus становив понад 1 мільйон доларів, а кількість завантажень - понад 8 мільйонів. Однак занепокоєння виникло, коли з'ясувалося, що багато завантажень додатку походять з країн Північної Європи, що свідчить про зловмисну діяльність, пов'язану з крадіжкою персональних і фінансових даних.
Інструменти OSINT дозволили слідчим встановити зв’язок між джерелами доходу Arpaplus, фінансовими шахрайствами та платформою для кардингу Joker’s Stash. Ця паралель між мобільним ігровим бізнесом і кіберзлочинністю ще раз підтвердила роль Шахмаметова у використанні легітимних платформ для відмивання грошей і здійснення незаконних транзакцій.
4. Використання OSINT для глибокого пошуку даних
Ідентифікація персональних даних та слідів діяльності в Інтернеті
Розслідування почало набирати обертів, коли ми зосередилися на онлайн-акаунтах Шахмаметова. Основний прорив стався, коли ми виявили його ID користувача у «ВКонтакті», що дозволило ідентифікувати кілька електронних адрес, зокрема jstashhhh@yandex.ru і gsgs.2021@list.ru. Ці електронні адреси були ключами до більш важливих даних. За допомогою OSINT-аналізу ми пов'язали ці електронні адреси з номерами телефонів Шахмаметова, що дозволило отримати додаткову інформацію про його компанію Arpaplus.
Номери телефонів +79139511590 та +79133709629 допомогли встановити зв'язок Шахмаметова з його поточною бізнес-діяльністю та викрити його фінансову мережу. Ця послідовність інформації, від адрес електронної пошти до номерів телефонів, виявила сліди доказів, які привели безпосередньо до Arpaplus і підтвердив активну роль Шахмаметова в цій компанії.
Ці телефонні номери також надали географічну інформацію, що підтвердила його присутність у Новосибірську, зміцнивши доказову базу, що його діяльність зосереджена саме в цьому місті.
Вихід на пов’язані дані та активи
Використовуючи номери телефонів та адреси електронної пошти, пов'язані з Шахмаметовим, слідчі змогли відстежити активи, пов'язані з його злочинною мережею. Це включало фінансові документи та банківську інформацію, пов'язану з «Альфа-Банком», російською фінансовою установою, в якій Шахмаметов мав рахунки. Відстеження активів також виявило фізичні адреси, пов'язані з його бізнес-операціями в Новосибірську.
Електронні докази, отримані за допомогою цих телефонних номерів і електронних адрес, дали слідчим чіткіше уявлення про те, як Шахмаметов відмивав гроші та здійснював незаконні транзакції, ще більше підтверджуючи зв'язки з його кіберзлочинною діяльністю.
Скріншоти та візуальне представлення
Для створення детальних зображень мережі Шахмаметова були використані інструменти OSINT, такі як IRBIS і програмне забезпечення для візуалізації даних. Карти зв'язків і будування взаємовідносин схемами на стіні допомогли правоохоронцям і слідчим візуалізувати, як перепліталися онлайн і офлайн-активності Шахмаметова.
Ці візуальні інструменти забезпечили ясність, дозволивши слідчим відстежувати дії Шахмаметова на різних платформах і в різних місцях. Геолокація його телефонних номерів та електронних адрес, пов'язаних безпосередньо з Новосибірськом, підтвердило перебування саме в цьому регіоні.
Аналіз зв'язків і побудова мережі
Аналіз зв'язків мав вирішальне значення для встановлення зв'язків між різними суб'єктами, залученими до операцій Шахмаметова. Аналізуючи цифрові сліди, залишені на платформах соціальних мереж і в онлайн-транзакціях, слідчі змогли пов'язати численні псевдоніми та акаунти з Шахмаметовим. Цей метод також допоміг визначити нові цілі для подальшого розслідування, виявивши додаткових осіб, причетних до відмивання грошей, атак з вимогами викупу та інших форм кіберзлочинності.
Розслідування діяльності Шахмаметова вимагало аналізу даних із різних джерел, як-от соціальні мережі, фінансові звіти, відкриті бази даних і навіть форуми даркнету. Об’єднуючи інформацію з цих платформ, слідчі змогли створити повний профіль його діяльності за допомогою технологій штучного інтелекту. Це дало змогу підтвердити його причетність до Joker’s Stash та інших кіберзлочинів.
Використання OSINT для розслідувань кіберзлочинів та фінансових махінацій
Інструменти OSINT допомогли слідчим відстежити кіберзлочинну діяльність Шахмаметова, зокрема його участь у продажу викрадених даних кредитних карток. Аналізуючи дані з витоків інформації та зіставляючи їх із фінансовими транзакціями, слідчі змогли простежити рух незаконних коштів і виявити роль Шахмаметова у глобальній мережі відмивання грошей.
7. Виклики в OSINT розслідуваннях
Хибні результати є серйозним викликом для будь-якого розслідування OSINT. У цьому випадку слідчі неодноразово натрапляли на помилкові версії подій, але завдяки ретельній перевірці даних та використанню надійних джерел змогли відокремити достовірну інформацію й уникнути неправильних висновків.
Розслідування щодо Тимура Камільєвича Шахмаметова значно доповнило його кримінальний профіль та допомогло пов’язати ключові дані з його бізнесом та злочинною діяльністю. Завдяки аналізу телефонних номерів, електронних адрес і профілів у соціальних мережах слідчі змогли відстежити його переміщення, виявити бізнес-активності та встановити зв’язки зі злочинними операціями. Розслідування показало, що основна діяльність Шахмаметова зосереджена в Новосибірську, де він керує компанією Arpaplus і водночас займається незаконною діяльністю.
Майбутнє OSINT у розслідуваннях
OSINT залишатиметься важливим інструментом у боротьбі з кіберзлочинцями на кшталт Шахмаметова. З розвитком технологій удосконалюватимуться й методи відстеження та затримання осіб, причетних до кіберзлочинів. Перспективи OSINT виглядають багатообіцяльними, оскільки розвиток аналізу даних, цифрової криміналістики та методів збору розвідданих значно посилюватиме можливості розслідувань.