Разберем самые частые задачи, которые приходится решать с помощью инструментария OSINT в расследованиях.
Привет, ребята! Сегодня речь пойдет об одном из основных инструментов, который я и мои коллеги используем в своей практике расследований — OSINT.
Что такое OSINT
OSINT (Open source intelligence) — разведка на основе открытых источников (если дословно). Часто можно встретить еще несколько терминов: конкурентная разведка, интернет-разведка, бизнес-разведка и прочее. Как не назови, суть от этого не изменится. OSINT — это набор из разных инструментов, которые позволяют эффективно искать, собирать и анализировать информацию из открытых источников (по большей части из интернета) с целью получения какого-либо конкурентного преимущества.
Далее мы с вами разберем самые частые задачи, которые приходится решать с помощью инструментария OSINT в расследованиях. Цель всей статьи — это показать ключевые сферы применения OSINT, а не как именно это работает.
1. “Пробей человечка”
Самый популярный тип кейса — это сбор информации о физическом лице. Я осознанно не употребляю слова “пробей”, потому что очень его не люблю. Мне оно кажется неким пережитком из 90-х годов. Плюс ко всему, термин “пробив” — не самая лучшая ассоциация с темой расследований, так как он находится в серой, а зачастую, и в черной зоне законодательства. Поэтому данная услуга называется “составление справки на физическое лицо” (иногда это можно назвать досье). В некоторых кругах это еще называется “объективкой”.
1.1 Как это выглядит?
Все всегда зависит от задач, которые ставит заказчик, но самый популярный тип справки, это так называемый, общий формат. Туда обычно входят общие сведения о человеке: ФИО и год рождения, прописка, место жительства, родственники, контакты, место работы, социальные сети, судимости (если есть), проблемы с налогами или банками (если имеются), имущество и прочие вещи. Бывают задачи и посложнее, но о них говорить не будем, потому что это редкая история. После того, как у заказчика появляется на руках такая справка, он сразу может получить некое представление о искомом человеке и составить свое мнение о нем. Часто вместе с таким “цифровым профилем” я так же делаю и профиль поведенческий, который дает полное понимание о том, как взаимодействовать с человеком в контексте любой задачи.
1.2 Зачем вообще такое заказывают?
Чтобы ответить на вопрос зачем, для начала разберемся кто заказывает такое чаще всего:
Службы безопасности;
Менеджеры по подбору персонала;
Собственники бизнеса.
Можно еще много кого перечислить, но эти три категории самые широкие, если так можно выразиться.
Самая частая необходимость в составлении справки возникает у компаний, которые принимают на работу нового сотрудника и им нужно понимать его благонадежность. Второе по важности — это подготовка к переговорам. Всегда заранее хочется понимать с каким человеком придется разговаривать. Ну и третье — когда человек проходит по какому-то расследованию внутри компании, необходимо понимать его подноготную.
Итого мы имеем три основных причины:
Проверка сотрудника при приеме на работу;
Подготовка к переговорам;
Проверка сотрудника в контексте внутрикорпоративного расследования.
Справедливости ради стоит сказать, что бывают случаи, когда данную услугу заказывают просто обычные люди, из серии: “я познакомился с девушкой/парнем и хочу быть в ней/нем уверен”. Но, такое попадает ко-мне редко.
2. “Найди человечка”
Данный тип кейсов кардинально отличается от предыдущего. Когда я делаю справку на человека, ее целью является получение систематизированная информация об объекте и не более. В случае с поиском — это всегда комплекс из разных действий и даже смежных областей по типу профайлинга, потому, что очень часто нужен поведенческий профиль человека для сужения поиска. Обычно в данном типе услуг просят две вещи: понять физическое местонахождение человека в данный момент, или понять, кто скрывается под фейковым аккаунтом. По другому это можно назвать “деанон” (раскрытие реальной личности человека).
2.1 Зачем это нужно и кому?
Тут вопрос более открытый, нежели в предыдущем случае. Сначала надо понять в каких случаях ищут человека.
Вас обманули в интернете какие-то мошенники и нужно понять, кто это сделал (деанон). Чаще всего тут же встает вопрос и о его реальном местонахождении в данный момент.
У вас потерялся друг или родственник. Не приходит домой, к примеру, уже двое суток. Очень часто за таким обращаются родители, так как по опыту могу сказать, что чаще всего “потеряшками” являются дети.
Есть достаточно случаев, когда собственника бизнеса “кидает на деньги” его партнер и скрывается в неизвестном направлении. Нужно понимать, где находится человек в данный момент, чтобы передать дело уже в полицию, так как обычно в таких случаях у заказчика есть доказательная база для органов.
Ну, собственно, исходя их этих пунктов, понятно кому чаще всего такая услуга нужна: любому человеку, так как специфика данного типа кейсов очень обширна.
По опыту могу сказать, что такой тип расследований не всегда заканчивается успешно, потому что есть множество технических причин, которые не позволяют в той или иной ситуации до конца выполнить задачу.
3. “А мы можем с ними работать?”
Одной из ключевых потребностей любой компании является работа с белыми контрагентами. Ни кто не хочет иметь дел с какой-то компанией «однодневкой» или мошенником. Все хотят быть уверены в своих партнерах или клиентах. Так же всегда интересно понимать подноготную своих конкурентов. Именно по этой причине услуга «пробей мне фирму» актуальна сегодня, как никогда.
В основном, проверка юр.лица идет, в большинстве случаев, одновременно с проверкой какого-то человека (например ген.дира). Отдельная проверка контрагента понемногу теряет свою актуальность для большинства компаний по причине того, что сегодня на рынке есть готовые автоматизированные решения, которые выдают отчет за пару минут.
Естественно, есть несколько «но»:
Иногда эти решения крайне дорогостоящие, а те, которые стоят дёшево, не всегда дают валидную информацию.
Мало получить просто готовый отчёт о компании. Его ещё нужно проанализировать и дать заключение по конкретному запросу заказчика. К примеру: «это компания с кем-то аффилированна?» Некоторые сервисы по очевидным маркерам могут ответить и на этот вопрос, но если их нет, то и ответа не будет. В общем я говорю о том, что доверить полную проверку юр.лица только веб-сервисам, пока что слишком рано. Всегда необходимо заключение аналитика.
4. ”Слышал новость?”
Одной из самых нестандартных задач является так называемая “определение валидности новости или какого-то события”. Что это такое? Все из вас наверняка слышали термин “фейк-ньюз”. Странно, что термин появился относительно недавно, потому что в реальности он существует уже далеко не один век. Всегда велись информационные войны и все государства использовали инструмент дезинформации для достижения каких-то целей. Всем это очевидно. Разница с сегодняшним днем лишь в том, что технические возможности шире и есть массовая площадка для распространения новостей — интернет.
Что за формат кейсов иногда приходится решать в рамках данной темы? Самое простое — это сбор доказательной базы о правдивости той или иной новости/события. Возьмем совершенно абстрактный пример. К примеру, вышла новость, что был построен какой-то завод по переработке чего-либо и он вредит местным жителям, потому, что много отходов и прочее. Мы открываем гугл-карты и видим, что на месте, которое упоминается в новости, находится чистое поле размером километров 10. Почему можно поверить гугл-картам в данном случае? Дело в том, что спутниковые снимки сегодня довольно часто обновляются, поэтому информация валидная. Это, возможно, крайне примитивный пример, но зато понятный.
Более сложный вариант, когда идет разговор о репутации человека. Ни для кого не секрет, что сегодня часто бывают заказные дела на то, чтобы дискредитировать какого-то человека. Чаще всего я в работе сталкиваюсь с тем, что такие атаки направлены на разных собственников бизнеса и заказ идет от конкурентов. В общем-то, классическая история. В данном случае ведется работа на сбор доказательной базы о том, что все новости и вбросы фейковые, для того, чтобы сохранить репутацию клиента.
Важное замечание: в начале таких кейсов я всегда проверю насколько наш клиент виновен в том, о чем говорят или пишут. С мошенниками я не работаю.
Если подвести итог, все это относится к теме “информационных войн” в разных проекциях. По моему мнению — это самые сложные кейсы ну и они возникают довольно редко.
5. “Нам бы документик найти”
Если вы работаете в какой-либо частной или государственной структуре любого размера, готов поспорить, что хотя бы один раз за все время работы вы слышали от коллег или сталкивались сами со следующим неприятным случаем. В открытом или “условно” открытом доступе вы находили какой-то документ вашей фирмы. Это может быть что угодно, начиная от экселевской таблицы со списком сотрудников и их зарплат, заканчивая грифованными внутренними документами компании.
Если вы думаете, что такого не бывает, то знайте, что вы находитесь в мире иллюзий. У каждой второй компании есть такого рода “дырки” и, как показывает мой опыт: а) эти дырки не закрывают месяцами и годами; б) таких дырок обычно несколько; в) они есть у любых компаний в независимости от их величины, оборотки или репутации.
В связи со всеми этими фактами, я периодически делаю базовый пентест компаниям по этому направлению.
Такую же проверку на “уязвимости” я делаю и людям. Есть ли где-то в открытом доступе их личные документы (по типу сканов паспорта или водительских прав), фото и прочее.
Другой интересный вариант кейсов, это когда компания хочет получить конкурентное преимущество в отрасли. Если, к примеру, к конкуренту попадает на руки какой-нибудь бухгалтерский отчет или экселевская табличка с зарплатами и мотивацией сотрудников вашей компании, хорошего в этом мало. Умный руководитель начнет переманивать сотрудников на более выгодные условия, как вариант. Это частный пример и не будем особо углубляться в корпоративные войны.
Основной посыл в том, что специалист OSINT’ер может найти такие документы и передать их заказчику абсолютно по закону. Если такие документы были найдены с помощью открытых источников, то они становятся публичными.
P.S.: в связи с постоянными утечками ПДн, особое направление в расследованиях приобретает история с поиском источников утечки.
Можно вспомнить еще много разных случаев с поиском документов, но самое основное я описал.
6. «Комплексные расследования». Разбираем пример
Ну и теперь давайте подведем некий итог. Проще всего будет описать более-менее простой алгоритм какого-нибудь кейса, чтобы было более наглядно видно, как именно переплетаются все инструменты OSINT в контексте расследования.
1️⃣ Фабула кейса: Есть заказчик в лице ген.дира компании, которого “кинул на деньги” партнера по бизнесу и уехал в неизвестном направлении.
2️⃣ Задача: Нужно найти негодяя для того, чтобы передать его в руки полиции, так как есть вся доказательная база. По сути, нужно определить физическое местоположение.
PS: может возникнуть логичный вопрос, почему сразу не передать дело в полицию? Ответ очевиден: можно и нужно, но как показывает практика, искать они его будут долго и хорошо, если найдут. Дело не в их квалификации, а скорее в загруженности.
3️⃣ Исходные данные по злоумышленнику: ФИО и год рождения, фото, паспортные данные.
4️⃣ Решение:
1. Для начала была сделана полная справка на объект по всем классическим маркерам.
2. Вторым шагом был составлен поведенческий профиль объекта для понимания того, как на него нужно воздействовать и влиять, если получится вступить с ним в диалог. Так же это помогло сузить поиск физического местоположения.
3. Встал вопрос, как выйти на объект в контексте “пообщаться”, потому что, естественно, зарегистрированных на него номеров телефонов не было, а старые не работали. Самое очевидное — поиск соц.сетей.
4. Поиск по фото ничего не дал. Объект ни где не светился.
5. В один момент мы обращаем внимание на название его старой почты (допустим “mehanik-64”). Это наводит на мысль о том, что это может быть его ником, которым он пользуется и посей день.
6. Ищем этот ник везде, находим форум любителей и заводчиков голубей. Заходим в профиль к mehanik-64. В профиле была дата и год рождения (они совпадали с нашим объектом). Далее начал листать фото и на одной из них вдалеке виднелась машина. Увеличил номер, машина числилась за бывшей женой объекта. После этого мне стало ясно, что это точно профиль того, кого я ищу.
7. Самым очевидным решением дальше было достать все фото из его профиля и посмотреть метаданные. Бывает такое, что внутри может быть гео-привязка места, где было сделано фото. Это ничего не дало.
8. Поиск по картам местности тоже ничего не дал, так как было слишком мало точек-высот, к которым можно было сделать привязку.
9. Далее самое очевидное — вступить в контакт под легендой и подстроиться под поведенческий профиль объекта, чтобы вытянуть информацию. Для этого на протяжении двух дней я читал разные статьи о породах голубей, чтобы усвоить хотя бы немного сленговых выражений. Пока я все это читал, выяснил, что любимая порода голубей у нашего объекта — Бакинские.
10. После подготовки, написал ему в ветке форума, что восхищаюсь его голубями и всякое такое. После мы с ним перешли в личные сообщения, где я попросил покидать больше фоток его птиц. И, о чудо, на первой же фотке в метаданных я обнаружил координаты. Я был уверен, что фото сделаны именно в момент переписки, поэтому местоположение свежее. В общем, эти сведения я сразу же передал заказчику и буквально на следующий день утром к объекту “постучали в дверь”.
Этот кейс мог решиться многими другими способами, но решился именно так. Я просто описал вам порядок моих действий в данном расследовании для понимания комплексности подхода и как именно помогает OSINT в решении таких задач.
В заключении хочется еще раз подчеркнуть тот факт, что данная статья раскрывает только самые частые сферы применения OSINT исходя из моего опыта работы.
Надеюсь, вам было полезно и интересно!
Comments