ʍօօռ

Как я создал бота-шпиона

2023-04-05T17:24:19.339Z

Извинти за кликбейт, ведь бота создавал не я, а разработчик, по моей просьбе. Ко мне пришла идея создать бота который, при добавлении в группу в Telegram, будет выглядеть как обычный игровой бот, но он будет мониторить все сообщения в группе, в режиме онлайн и отправлять их своему создателю.

Для создания использовался код простенькой игры "Угадай число".

После того как был создан код игры "Угадай число", мы перешли к созданию кода по сканированию сообщений пользователей группы.

Но, давайте перейдем к интересному. Ведь те кого интересует код, могут посмотреть его через GitHub.

Установка

Для того чтобы создать такого бота, вам понадобится Telegram и ПК.

Открываем командную строку и вписываем:

git clone https://github.com/QwTea/surveillance-game-bot/

Для загрузки программы на ваш ПК

2. Далее используем следующую команду:

apt install python3

3. Для открытия файла config вписываем следующую информацию:

python3 config.py

nano config.py

4. Редактируем информацию в файле следующим образом:

В поле "admins", вставляем ваш числовой ID, который вы можете найти через бота IDBot, по желанию вы можете добавить ID других админов через запятую.

А в поле bot_token, вставляете API вашего бота, который вы можете получить через бота Bot Father, используя команду /newbot.

5. После того как вы все сделали, сохраняйте файл и запускайте вашего бота.

python3 main.py

Как только вы запустили вашего бота, вы можете перейти в него по имени пользователя который вы установили ему в Bot Father.

Добавьте его в группу и наблюдайте подобное в командной строке:

Естественно, можно создать подобный проект только со своим наполнением, не игровым ботом, а с тем, что больше подходит под группу объекта вашего поиска.

Подписывайтесь на канал автора
Если есть вопросы, свяжитесь с автором

Идентификация владельца веб-сайта

2023-03-05T14:51:44.010Z

Я решил написать эту статью так как, практически каждый кибер-преступник имеет свой сайт. Мошенники используют сайты, для того чтобы войти в доверие жертве, хакеры используют сайты для продажи своих услуг и интернет-вымогательства. В наше время почти у каждого есть свой сайт, именно по этому эта тема настолько важна.

Из чего состоит веб-сайт?

Домен

Домен это название сайта которое вы вводите в адресную строку, как yandex.ru, google.com итд.

DNS (Domain Name System) — Компьютерная распределённая система для получения информации о доменах. Чаще всего используется для получения IP-адреса по имени хоста, получения информации о маршрутизации почты и/или обслуживающих узлах для протоколов в домене.

Обычно домен состоит из 3х частей, но бывает что домен состоит из 4х частей.

|https://|maps|.|google|.|com| — Пример домена из 4х частей.

https:// — Это протокол безопасности, чаще всего вы можете встретить протоколы http (Протокол прикладного уровня передачи данных, изначально - в виде гипертекстовых документов в формате HTML, в настоящее время используется для передачи произвольных данных.) и более безопасную его версию https, который позволяет обменивается сайту с пользователем данными так, чтобы администратор сайта не смог увидеть действия пользователей.

maps — В данном случае слово "maps" является поддоменном, это то слово которое находится под основным доменом.

google — Доменное имя, основной домен.

com — Доменная зона, обозначает статус домена, в данном случае com, что означает что это международный домен. Приведу еще пару примеров.

ru — Российский сайт

Пример национальной доменной зоны, скорее всего такая доменная зона будет состоять из кода страны, например RU (Russia).

gov — Государственный сайт
biz — Для бизнеса

Доменные зоны, вы можете посмотреть по ссылке.

Cистема Управления Сайтом

Для быстрого доступа администратора к админ-панели была создана CMS.

CMS (Content Management System) — Информационная система или компьютерная программа, используемая для обеспечения и организации совместного процесса создания, редактирования и управления содержимым сайта.

Конечно, если вы будете создавать свой сайт, вы должны будете выбрать такую CMS, которая подойдет вам.

WordPress

Эту CMS используют для введения информационных ресурсов, дневников, создания сайтов-визиток.

Популярнейшая утилита для исследования сайтов на WordPress является WPScan (GitHub), это многофункциональное приложение для поиска уязвимостей и информации о сайте на WP, созданное для специалистов в сфере информационной безопасности.

Drupal

Эта CMS используется для введения веб-сайтов с функционалом социальных сетей, обычно форумы.

Для анализа сайтов на Drupal, вы можете использовать Drupal Introspection, которая произведет аудит безопасности сайта на Drupal.

Joomla!

Это многофункциональный CMS, умеющий все понемногу.

JoomlaVS, это сканнер уязвимостей сайтов на Joomla.

Это пример 3х популярных CMS сайта. CMS вообще является отдельной темой. Их неисчислимое количество и написать про все, я просто не могу.

Структура веб-сайта

Веб сайт состоит из главной и второстепенных страниц. Некоторые из этих страниц, скрыты для пользователя, но в большинстве случаев информация о директориях веб-сайта хранится в документе robots.txt. Его можно получить таким образом:

example.com/robots.txt

Вы можете попробовать такой трюк с сайтом google.com.

Скриншот robots.txt

Попрошу заметить, что документ может быть скрыт, или передвинут на другое место от любопытных глаз.

Роясь в robots.txt, вы можете наткнутся на не менее полезную нам директорию sitemap.xml.

Sitemap — XML-файлы с информацией для поисковых систем о страницах веб-сайта, которые подлежат индексации. Sitemaps могут помочь поисковикам определить местонахождение страниц сайта, время их последнего обновления, частоту обновления и важность относительно других страниц сайта для того, чтобы поисковая машина смогла более разумно индексировать сайт.

Грубо говоря, это документ который содержит в себе информацию о всех страницах, на которые вы могли бы наткнутся, используя Google.

example.com/sitemap.xml

Пример карты сайта

Поиск используя WHOIS

WHOIS — Сетевой протокол прикладного уровня, базирующийся на протоколе TCP. Основное применение - получение регистрационных данных о владельцах доменных имён, IP-адресов и автономных систем.

Грубо говоря, это протокол который может выдать информацию о регистрационных данных сайта, в том числе, это иногда может быть ФИО владельца веб-сайта.

Я собрал топ-3 самых удобных WHOIS сервисов:

2IP.RU, это сервис с достаточно большим функционалом, от развлечений, до нужного нам WHOIS.

Интерфейс 2IP.RU

Есть предосмотр, так же можно посмотреть полный WHOIS, нажав на соответствующую кнопку.

2. DomainWatch, веб-сайт который будет производить анализ, с более OSINTерским уклоном. Он соберет информацию о владельце домена, на основе WHOIS.

Интерфейс DomainWatch

3. https://t.me/pwIPbot, такой же многофункциональный сервис с возможностью WHOIS, только уже в виде Telegram-бота, что многим может показаться достаточно удобным.

Интерфейс PwIPbot

Ручной анализ WHOIS

Ниже я разберу интересующие нас строки при анализе WHOIS веб-сайта.

Creation Date, Expiration Date — Эти две строки покажут нам когда домен был создан и когда его действие истекает, которое конечно же, можно продлить.

Registrar — Эта строка дает информацию о регистраторе веб-сайта, это компания которая хранит уже личную информацию о владельце сайта

Name, Organization, Street, City, State/Province, Postal Code, Country, Phone, Fax, Email, Admin ID — Это все интересующие нас, личные данные администратора. Если вам повезло, они могут быть и не скрыты, но чаще всего эти данные скрыты организациями, как Domains By Proxy.

Name Server — Наименования серверов сайта, это так же может вам помочь в расследовании.

Автоматизированные сервисы уже научились производить анализ строк выше, но тем не менее перечисленное выше, сможет вам помочь в расследовании.

Пример скрытия данных

Поиск информации о репутации сайта

Если нам необходимо узнать, участвовал ли конкретный веб-сайт в судебных делах, подвергался ли блокировки и как пользователи отзываются об этом сайте, необходимо будет использовать следующие инструменты и методики.

Блокировки веб-сайта

На территории РФ блокировку веб-сайта могут инициировать такие ведомства как Роскомнадзор, Генеральная прокуратура, ФСБ, Роспотребнадзор и конечно суды.

Кто блокирует и за что

Но вместо того, чтобы бегать от сайта одной структуры, к другой, мы можем просто обратится к общим реестрам, таким как RuBanList, тут собрана информация о заблокированных сайтах на территории РФ. Так же я кратко пройдусь по подобным сайтам, только на территории нескольких стран СНГ.

Вы так же можете воспользоваться сервисами предоставляющих услугу Check-Host, которая показывает в каких странах доступен и недоступен сайт и время ответа. К примеру, сайт check-host.net.

Важно: Если сервис показывает что сайт недоступен в одной, или более странах, это не значит что была произведена блокировка, на это есть разные причины, к примеру владелец интернет-ресурса мог самостоятельно отключить доступ к сайту с определенных стран.

Для того чтобы быть более уверенным, воспользуйтесь реестрами соответствующих стран, которые вы можете найти в открытом доступе

Информация о нарушении авторского права

Сайт Lumen предоставит информацию о юридических жалобах и запросах на удаление онлайн-материалов. Использование инструмента крайне просто, необходимо вбить веб-сайт поисковую строку и получить информацию о всех жалобах на него.

Интерфейс Lumen

Просмотр пользовательских оценок

Тут, все проще простого, просто вбиваем в Google (домен.ru "отзывы", "оценки") и получаем сайты отзывников, упоминания в социальных сетях и многую другую информацию о конкретном сайте.

Поисковой запрос

Помните, что не всему написанному в интернете можно доверять, используйте сразу несколько источников для составления доказательной базы.

Поиск с использованием Google-Доркинга

Google-Доркинг очень часто может помочь в поиске информации о веб-сайте, так как, с помощью доркинга можно находить конкретные страницы, файлы и текст. Давайте рассмотрим несколько полезных дорков. Опять же, тут все зависит от вашей фантазии, вы можете составлять запросы как вам угодно, я буду приводить только базу.

cache:www.interpol.int

Данный запрос выдаст нам сохраненную версию сайта, что можно сделать более эффективно используя инструменты как Internet Archive, Archive Today, ВЕБ-АРХИВ, Perma, вышеупомянутые сервисы обладают гораздо большим функционалом чем браузерный кэш. У других браузеров есть схожие функции, например "Сохраненная копия" в Яндекс Браузере.

Такой же трюк можно выполнять с директориями, пример cache:https://site.com/login

Сохраненная страница сайта interpol.int через Google

filetype

Этот запрос выдаст информацию о файлах определенного формата находящихся на веб-сайте. К запросу можно добавить intext: для того чтобы получить файл с нужным нам текстом.

На примере видим такой запрос: site:gov.spb.ru filetype:xls. Следующий запрос должен выдать нам все файлы формата xls (excel) находящихся на сайте и в открытом доступе.

Пример запроса с filetype.

Еще напишу, что существует filetype:log, который выдает общедоступные логи.

запрос с filetype:log

Кавычки ("")

Кавычки могут быть использованы для того, чтобы произвести поиск по определенному слову, к примеру site:facebook.com "Andrew Tate". Такой запрос выдаст нам информацию об упоминаниях Эндрю Тейта на сайте Facebook.

Запрос с кавычками

Это самые популярные способы поиска информации о веб-сайте, конечно Google способен на большее, я вам советую воспользоваться Google Hacking Database для составления собственных запросов.

Поиск информации о метаданных

Владелец сайта мог не удалить exif-данные при загрузки их на свой сайт и по ошибке оставить свои личные данные, как данные об устройстве на который делался снимок.

EXIF — Стандарт, позволяющий добавлять к изображениям и прочим медиафайлам дополнительную информацию, комментирующую этот файл, описывающий условия и способы его получения, авторство и т. п. Получил широкое распространение в связи с появлением цифровых фотокамер. Информация, записанная по этому стандарту, может использоваться как пользователем, так и различными устройствами, например, принтером.

Для просмотра метаданных, можно использовать сайт Metadata2Go, вы можете выбрать 1 из 4х видов загрузки файла, с устройства, Google Диска, DropBox и напрямую из ссылки.

Метаданные

Поиск связанных контактов

Для начала вы можете попробовать подбор email-адресов с соответствующим доменным именем. Попробуйте использовать следующие слова: admin, info, наименование организации, contact, office, support и др.

Далее, проверьте почту на существование, с использованием протокола STMP.

STMP — Широко используемый сетевой протокол, предназначенный для передачи электронной почты в сетях TCP/IP.

Для этого можно использовать 2IP Mail Checker, который покажет существует ли ваша почта на самом деле. Я писал об этом подробнее в следующей статье.

Работа STMP

Этот процесс так же был автоматизирован сервисом hunter.io. Конечно, Hunter использует дополнительные методы поиска электронной почты, для поиска требуется зарегистрированный аккаунт.

Интерфейс Hunter.io

В большинстве случаев, администратор веб-сайта оставляет платежные реквизиты, либо другие контактные данные, как номер телефона, либо адрес электронной почты.

Контактные данные

После того, как у вас имеются другие данные, вы можете продолжать поиск, но уже по ним.

Узнаем о всех доменах одного владельца

Для того чтобы узнать все домены одного владельца мы можем воспользоваться сервисом SpyOnWeb, который покажет все домены и поддомены одного владельца основываясь на разных данных, как одинаковый IP.

Интерфейс сайта удобный и достаточно многофункциональный. Доступен API, регистрация не требуется.

Интерфейс spyonweb

Конечно, у сервиса большое количество аналогов, тот самый 2IP, тоже предоставляет такие услуги, но тем не менее, этот сайт я считаю наиболее удобным для следующей цели.

Изучение уникальных рекламных идентификаторов на сайте

В наше время все больше и больше корпораций продают данные о своих клиентах рекламным компаниям.

Рекламный идентификатор — это уникальный сбрасываемый идентификатор для показа рекламы. Он упрощает управление данными для пользователей и обеспечивает простую стандартизированную систему монетизации приложений для разработчиков.

Большое количество веб-сайтов используют рекламные идентификаторы. Давайте же попробуем найти их. Для этого, нам понадобится открыть код страницы.

После того, как открыли код страницы, ищем следующие ключевые слова:

Pub- или ca-pub (Компания AdSense)
UA- (Компания Google)
&tag= (Компания Amazon)
#pubid / pubid (Компания AddThis)
mc.yandex / ym (Компания Яндекс)

Яндекс Метрика

Вот, к примеру сайт РИА Новости использует Яндекс Метрику для сбора аналитических данных своих пользователей.

Конечно, было бы очень муторно каждый раз самостоятельно искать индикаторы, именно по этому были разработаны онлайн-сервисы которые определяют какие компании проводят сбор данных на том, или ином сайте.

TheMarkUp, это один из сервисов который показывает какие компании причастны к сбору данных на конкретном веб-сайте.

Работа The Markup

Самое интересное то, что Яндекс позволяет получать доступ к статистики имея уникальный ID, через следующую ссылку: https://metrika.yandex.ru/dashboard?id=ID, но вместо ID, нужно будет вставить, тот самый Advertising ID который вы найдете в коде страницы. У РИА, это 960630.

Интерфейс Яндекс.Метрики

Для просмотра, понадобится регистрация в Яндексе. Интересную находку обнаружили коллеги из T.Hunter. Первым пользователем сайта вероятней всего будет сам администратор. Соответственно, мы сможем вычислить его интересы.

Интересы администратора сайта N

Итоги

На этом все, я описал большую часть методик для поиска информации о владельце сайта, конечно их очень много и они просто не поместятся в одну статью. Подписывайтесь на мой канал для того чтобы быть осведомленным о новых методиках поиска.

Автор: @moonIighted
Канал: @osintkanal

Методы расследования OSINT в делах о пропавших людях

2023-02-23T16:23:53.970Z

Проблема

До того как мы попали в десятку лучших команд в Trace Labs Global CTF в октябре 2022 года и обрели уверенность, мы очень сильно старались и изучали новые методики. Мы не знали, что конкретно нужно изучать и практиковать, чтобы эффективно расследовать дела о пропавших людях. Мы вроде как написали много разных статей и даже пару книг, но все равно чувствовали что не готовы к расследованию подобных дел. Я даже применяю OSINT в своей повседневной работе в качестве аналитика по безопасности/этического хакера, но все же, мы понимали, что его применение для расследования дел о пропавших людях - это что то, совсем другое, в чем нам стоит хорошенько разобраться.

Стратегия

В качестве решения мы придумали стратегию, которая заключается в том, чтобы присоединиться к множеству других OSINT CTF и регулярно проводить OSINT-расследования о пропавших людях, которые появлялись в новостях, в subreddit r/MissingPersons и многих других источниках. Мы проводили расследования без каких либо взломов и использовали исключительно OSINT. Сначала мы проводили часовое, одиночное расследование. Затем, мы проводили его уже вдвоем в течении 2 часов. И потом, за несколько недель до CTF, мы проводили большое четырёхчасовое расследование, вчетвером.

Инструменты и методики

В результате подобных тренировок мы увидели множество наших слабых и сильных сторон. Мы смогли сформулировать методологию, которая может быть полезна новичкам, чтобы начать расследование и не застрять надолго. Мы также осознали силу анализа и наблюдения за деталями для создания более значимых выводов. Мы также применяем следующую стратегию для каждого вывода:

Идентифицируй: вдавайся как и в мелкие детали расследования, так и крупные.
Верифицируй: Найди способы проверить верность всего, чего тебе удалось найти.
Расширь: Анализируй все данные и найди новые на основе этого анализа

Мы можем сказать, что лучший учитель - это опыт, поскольку мы узнали гораздо больше вещей проводя свои расследования, нежели читали, либо смотрели инструкции по проведению подобных расследований. После того, как мы заняли 8-е место в Trace Labs, нас заметили крупные игроки в этой области. Maltego и Social Links поддержали нас на нашем пути и спонсировали нас профессиональной лицензией, что еще больше мотивировало нас. Инструмент Social Links Pro очень помог нам сэкономить время проведения расследования и сосредоточиться на более глубоких исследованиях.

Методики и инструменты

Перед тем, как я расскажу вам про автоматизированные инструменты поиска, я напомню о том, что они являются вспомогательными. Они запросто могут упустить то, что заметите вы сами.

Вы обязательно получите имя человека который пропал, по этому, здесь будет релевантно применить некоторые Google Дорки.

"имя" site:t.me
Используя следующий поисковой запрос вы получите социальные сети человека, попробуйте с сайтами twitter.com, instagram.com, reddit.com, tiktok.com, linkedin.com и др.
allintext:”alexis lingad”
filetype:pptx
filetype:ppt
filetype:doc
filetype:docx
filetype:pdf
filetype:xls
filetype:xlsx

Вы можете использовать разные вариации дорков, как вы помните, тут большое количество дорков: https://www.exploit-db.com/google-hacking-database

Если вы нашли юзернейм, либо псевдоним, попробуйте запросы выше и с новыми данными.

2. Иногда, у вас не получится найти имя в клирнете, но оно есть в дипвебе, веб-сайты ниже смогут помочь вам.

InstantCheckmate — Эта программа предназначена для людей, проживающих в США, и на данный момент она является самой мощной, который я когда-либо видел даже в бесплатной версии. Однако некоторые данные, приведенные здесь, все еще нуждаются в перекрестной проверке, поскольку некоторые из них могут быть ложноположительными. Например, если вы видите судимость, вы можете перепроверить ее на сайтах, предоставляющих публичную информацию о судебных делах, таких как judyrecords.

Webmii — Это альтернативный вариант на случай, если ваша цель не из США, на самом деле инструмент достаточно неплох, так как результат кликабелен и перенаправляет вас на основной источник, который может помочь вам для перекрестной проверки быстрее, чем поиск альтернативных публичных записей.
Существует множество других систем поиска людей, поэтому не стесняйтесь исследовать то, что подходит именно вам.

3. В худшем случае мы можем предположить, что пропавший человек уже мертв. Поэтому цель состоит в том, чтобы найти любые записи о неопознанных трупах, которые соответствуют физическим характеристикам нашего пропавшего человека.

Сначала я думал, что это очень бесполезная тактика. Пока на нашей практической сессии мы не отследили человека, используя эту технику! В тот раз мы воспользовались этим сайтом и начали вводить данные о нашем пропавшем человеке: https://www.namus.gov/UnidentifiedPersons/Search.

Конечно, это не так просто. Нам нужно выполнить анализ и составить предположения, например, пропавший человек может терять вес, и если он теряет вес, то почему? Затем мы должны проверить его с помощью других вспомогательных данных, а затем ввести оценку в инструмент. Нам также нужно проанализировать временные рамки и другие уникальные сценарии для нашего пропавшего человека. Инструмент не поможет вам, если вы просто введёте данные и не выполните качественный анализ.

4. Мы также можем использовать DeHashed просмотра информации о почте, связанной с настоящим именем, которое у нас есть. Конечно, сначала нужно проверить, действительно ли это электронная почта пропавшего человека, так как чаще всего это просто другой человек с тем же настоящим именем. Для того чтобы проверить, действительно ли это письмо от этого человека, мы можем использовать Epieos, чтобы проверить, совпадает ли фотография профиля электронной почты, и другие онлайн-аккаунты, связанные с этим письмом, с лицом нашего пропавшего человека. Иногда нам приходится делать все тоже самое, что делает Epieos, так как, к примеру Trace Labs не принимает отчет Epieos.

Один из способов ручной проверки электронной почты Gmail — открыть приложение Google Sheet и вставить туда электронное письмо, потом навести курсор, чтобы увидеть изображение профиля этого письма:

Как только мы получили юзернеймы/псевдонимы, электронные адреса или номера телефонов, появится множество других ручных методик, которые мы можем использовать, но я приберегу их для следующего поста, так как этот слишком длинный.

Social Links Pro внутри Maltego Pro — это очень мощный инструмент для автоматизации поиска связанных аккаунтов по имени пользователя, электронной почте и номерам телефонов. После запуска преобразований для них, остается только вручную проверить аккаунты.

Внимание, мы используем преобразования только для имени пользователя, электронной почты и номера телефона, так как если вы сделаете это по реальному имени, это завалит ваши графики сотнями ложных срабатываний, что не очень хорошо. Этот инструмент помог нам сэкономить время и позволил нашей команде сосредоточиться на анализе гораздо более важных вещей, чтобы помочь раскрыть дело:

Провал

Мы снова приняли участие в соревнованиях Trace Lab в феврале 2023 года, но попали в топ-43 вместо прежних топ-8, поскольку судья, у которого мы были, отклонил большинство наших выводов, и нам потребовалось несколько часов, чтобы защитить и объяснить простой вывод и получить оценку, поскольку наш судья — новичок в OSINT. Нам "очень не повезло", как сказал старший судья, и они сказали, что это нормальное явление — столкнуться с чем-то подобным на соревнованиях Trace Labs. Однако мы также увидели некоторые недостатки в работе нашей команды.

Мы слишком зациклены на получении баллов!

Мы забыли о сути конкурса, которая заключается в том, чтобы помочь правоохранительным органам найти пропавших людей. Как сказал один из организаторов, рейтинг мало влияет на получение самого большого приза конкурса - MVO (Most Valuable OSINT), поскольку они хотят подчеркнуть, что цель — это качественные результаты, а не количество баллов.

Заключение

Мне посчастливилось быть окруженным людьми, которые мотивируют и вдохновляют меня развиваться в OSINT, начиная с моих товарищей по команде, заканчивая сообществом Trace Labs и командой Social Links. В настоящее время я планирую написать следующий блог про поиск имени пользователя, электронной почте и номеру телефона, поскольку то, что я только что рассмотрел здесь, относится к реальным именам. Затем я могу углубиться в анализ, который, как мне кажется, является лучшей частью любого расследования.

Хотя я не эксперт. Главная цель этого блога - помочь другим людям, которые пытаются начать или уже начали, но не знают, как применить это в реальном мире. Я знаю, что это не самая лучшая статья или инструкция, которую вы можете найти, но я надеюсь, что данная статья мотивирует вас стремиться еще больше в вашем собственном путешествии в OSINT! :)

Оригинал: https://alexislingad.medium.com/osint-investigation-techniques-for-missing-person-cases-trace-labs-316aa1a94de9

Автор перевода: @moonIighted
Канал автора: @osintkanal

Исследование Bitcoin кошельков.

2022-11-01T15:14:24.085Z

В современном мире большая часть кибер-преступлений совершается с использованием именно Bitcoin-Кошельков. Отмыв, Взлом, Шантаж и др.

По этому я решил написать статью по идентификации владельца BTC-Кошелька.

Банально, но важно.

Самое простое, что вы можете сделать при попытке вычисления владельца такого кошелька, это посмотреть его транзакции благодаря блокчейну.

Блокчейн — это база данных с транзакциями, состоящая из последовательно выстроенной цепочки цифровых блоков, в каждом из которых хранится информация о предыдущем и следующем блоках.

Для просмотра транзакций, мы можем использовать простенький blockchain explorer — WalletExplorer.

Интерфейс сервиса WalletExplorer

Blockchain Explorer — Обозреватель биткойн-блоков и сервис криптовалютных кошельков. Сервис также позволяет просматривать блокчейн-информацию, например транзакции и хешрейт сети. Сервис предоставляет по системе «Биткойн» данные о созданных блоках и других параметрах блокчейна, статистику, в том числе в графическом виде.

Визуализация и анализ транзакций

Для визуализации транзакций Bitcoin-Кошелька я могу вам посоветовать сервис OXT.ME, так как сервис который я использовал ранее в этих же целях (Crystal Explorer) отключён уже несколько недель. OXT доступен только пользователем ПК, с минимальным расширением экрана 1280*520 пикселей, что как по мне оправдано. Иногда, графики становятся настолько большими, что с телефона, или планшета будет затруднительно что то понять. Сервис будет вам доступен, сразу же после регистрации.

Интерфейс сервиса OXT.ME

Так же существует аналог вышеупомянутого сервиса, Blockpath. Лично для меня, он не так удобен как OXT, но как говорится на вкус и цвет товарищей нет, по этому немножко поговорим про этот сервис. Тут, тоже безусловно есть свои плюсы, вкладка "Аккаунтинг", к примеру, показывающая подробный отчёт о последней транзакции. Blockpath не имеет ограничения по разрешению экрана и регистрация не требуется.

Интерфейс сервиса Blockpath

Ищем связанные кошельки

Анализируя транзакции, возможно найти некие закономерности в переводах пользователя, к примеру мы можем замечать что человек раз в месяц отравляет деньги на определенный адрес, это та самая закономерность. Разберём разные закономерности:

• Оплата подписки

Пользователь отправляет фиксированную сумму денег каждый месяц/год/день итп. возможно, он оплачивает подписку на каком то сервисе. Это можно проверить загуглив кошелёк, на который отравляются средства, скорее всего, в качестве результата вы получите ссылку на оплату веб-ресурса.

• Оплата труда, либо шантаж

Если мы наблюдаем отправку фиксированной суммы каждый месяц/год/день итп. то, мы можем предположить то, что это оплата труда, особенно если биткойн кошелёк получателя похож на личный. Так же, это может быть шантаж, отличить сложно. Если сумма не является фиксированной и в один месяц отправляется 150$, а во второй 200$ это может быть шантаж, конечно же, тут нельзя сказать точно.

• Распределение средств

Если мы видим, что владелец кошелька нерегулярно и хаотично отправляет большие суммы денег на другой кошелёк, то мы можем предположить что он отравляет распределяет средства между своими кошельками.

• Применён биткойн миксер

Bitcoin Mixer — Сервис анонимизации, который существенно усложняет отслеживание транзакций в системе Биткойн.

Когда пользователь отправляет через него транзакцию, то миксер разбивает ее на множество мелких частиц, а потом перемешивает с транзакциями других людей таким образом, чтобы ни единого «кусочка» от первоначальной транзакции не осталось в переводе конкретного пользователя.

Наглядный пример работы миксера

Если вы видите что в течении определенного промежутка времени определенная сумма денег была отправлена на разные кошельки, то вероятно был применен миксер. Применяя биткойн миксер, пользователь пытается что то скрыть от общественности, обычно, это отмыв денежных средств. Отследить такую транзакцию крайне сложно и займёт у вас некоторое время.

Отзывники

Существуют специальные сайты содержащие в себе базу данных жалоб на Bitcoin-Кошельки мошенников, хакеров, шантажистов и др.

Bitcoin Abuse

Это самый популярный сервис жалоб на Bitcoin-Кошельки, сервис позволяет оставить метку и написать собственный отзыв.

Интерфейс сервиса Bitcoin Abuse Database

Checkbitcoinadress

Показывает баланс в евро, долларах и BTC, находит возможного владельца, упоминания по интернету и на форумах, а так же другую информацию. Ну и конечно же показывает жалобы, метки и страны, того человека кто пожаловался.

Интерфейс сервиса checkbitcoinadress

Traceer

В принципе, сервис ничем не отличается от первого, но там могут быть жалобы которых нету в других отзывниках

Интерфейс сервиса Traceer

Не буду, дальше перечислять остальные отзывники, так как их очень много. Вы можете их найти соответствующем запросом в Google.

Проверяем кошелек на подозрительную активность и "грязные деньги".

В этом нам помогут сервисы показывающие скоринг биткойн кошелька.

Скоринг — это система оценивания, которая помогает кредитным организациям предсказать платежную дисциплину человека, обратившегося за займом.

Активней всего я использую сервис AMLBot. Сервис показывает оценку доверия и описывает активность криптокошелька в подробном отчете, основываясь на собственных алгоритмах.

AMLBot содержит полные глобальные базы санкционных адресов и регулярно мониторит публичные и закрытые источники, “черные” списки монет и кошельков.

Из плюсов есть то, что все это ввиде Telegram-Бота, а из минусов то что сервис платный.

Из отчета ALMBot

Ну, а если вы не готовы платить деньги за скоринг, то BitRank для вас. Этот сервис покажет вам оценку доверия без регистрации и оплаты. Конечно, же тут не будет подробного описания активности криптокошелька, но будет оценка от 0%-100%.

Интерфейс сервиса BitRank

Поиск в интернете

Что вы сделаете первым столкнувшись с задачей вычислить владельца BTC-Кошелька? Верно - загуглите его.

В результате вы сможете получить упоминания на форумах, упоминания на сайтах, возможно кто то оставлял кошелек в качестве реквизитов оплаты, или пожертвования.

Лучше использовать разные поисковые системы, особенно нижеперечисленные.

Яндекс — Скорее всего, в результате вы получите больше российских веб-сайтов.
Google — Больше результатов с зарубежными веб-ресурсами.
DuckDuckGo — Будут доступны ресурсы, c доменной зоной .onion.

Так же вы можете обратится к Bing, Yahoo, Swisscows и др.

Для более эффективного поиска можно использовать Google-Dorking.

Google Dorking предполагает использование расширенных операторов в поисковой системе Google для поиска определённых строк текста в результатах поиска.

Вы можете воспользоваться банальными "BTC кошелек" для того чтобы отсеять лишние результаты, или более продвинутое, но до сих пор банальное "BTC кошелек" site:Интересующей сайт, это поможет определить причастность интересующего вас сайта к кошельку.

Или, же вы можете воспользоваться более продвинутыми методами поиска и воспользоваться данной шпаргалкой. Перейдя по ссылке вы можете наблюдать 15 тысяч Google Дорков предназначенных для BTC-Кошельков. Конечно же, испробовать их все, займет большое количество времени, так что, вы можете использовать только те, которые вас интересуют.

Интерфейс поисковой системы "Яндекс"

Мониторинг криптовалютных кошельков

Отслеживать активность кошельков возможно через специализированные сервисы. Один из этих сервисов это, Cryptocurrencyalerting. Сервис отправит вам сообщение об уменьшении, увеличении суммы денег на этом крипто-кошельке. Так есть функция, которая уведомит о любой активности крипто-кошелька. Сервис позволяет уведомить о действии любым удобным вам образом. Сообщением в Telegram, телефонным звонком, пуш-уведомлением и др.

Интерфейс сервиса Cryptocurrencyalerting

Так же существует сервис cryptotxalert, с похожим функционалом. Из плюсов здесь, то что можно задать сумму денег, и при пополнении кошелька на эту сумму денег, вам придёт уведомление. Сообщение приходит в виде пуш-уведомления и никак больше, если в предидущем сервисе можно было получить уведомление десятью удобными способами, то тут всего один способ.

Интерфейс сервиса cryptotxalert.

Готовые решения по деанонимизации

Да, такое существует. Такие сервисы показывают все из вышеперечисленного понемногу. Я считаю что таким системам имеет место быть, но эффективнее будет делать все самостоятельно, так вы сможете найти то, что сервис сам не сможет найти.

SICP (Security Intelligence Cryptocurrencies Platform) - Инфраструктура кибербезопасности блокчейна противодействующая мошенничеству в криптовалютной сфере.

Это сервис российских разработчиков, по этому тут акцент на российские криптокошельки.

Интерфейс сервиса SICP

SICP содержит в себе данные более 2 млн. криптокошельков, база данных пополняется с каждым днём, за счёт пользователей. Прошу заметить, что сервис работает крайне не быстро, по этому придётся подождать. Сервис бесплатный, в качестве демо-версии. Регистрацию требует.

А второй сервис BitcoinWhoisWho, нацелен на зарубежную аудиторию. Тут тоже есть свои фишки. Мне, показалось что сервис модерируется активней чем SICP. Сервис не требует не денег, не регистрации.

Интерфейс сервиса BitcoinWhoIsWho

К сожалению, методов деанонимизации владельца кошелька не так много. Я упомянул большенство, если кто-то владеет дополнительной информацией по этой теме, то пишите в комментарии.

Автор: @moonIighted
Канал: @osintkanal