Применение OSINT в расследованиях

Image for post
Image for post

#osint #расследования

Также читайте меня тут: и

Сегодня речь у нас пойдет об одном из основных инструментов, который я и мои коллеги используем в своей практике расследований — OSINT.

У меня есть исчерпывающий лонгрид об OSINT, поэтому для полного понимания, что это за такая сфера деятельности, рекомендую .

OSINT (Open source intelligence) — разведка на основе открытых источников (если дословно). Часто можно встретить еще несколько терминов: конкурентная разведка, интернет-разведка, бизнес-разведка и прочее. Как не назови, суть от этого не изменится. OSINT — это набор из разных инструментов, которые позволяют нам эффективно искать, собирать и анализировать информацию из открытых источников (по большей части из интернета) с целью получения какого-либо конкурентного преимущества.

Далее мы разберем самые частые задачи, которые приходится решать с помощью инструментария OSINT в расследованиях. Цель всей статьи — это показать ключевые сферы применения OSINT, а не как именно это работает. По поводу методов можно более подробно почитать по ссылке, которую я оставлял выше.

“Пробей человечка”

Самый популярный тип кейса — это сбор информации о физическом лице. Я осознанно не употребляю слова “пробей” (кроме заголовка), потому что очень его не люблю. Мне оно кажется неким пережитком из 90-х годов. Поэтому данная услуга называется “составление справки на физическое лицо” (иногда это можно назвать досье). В некоторых кругах это еще называется “объективкой”.

Как это выглядит?

Все всегда зависит от задач, которые ставит заказчик, но самый популярный тип справки, это так называемый, общий формат. Туда обычно входят общие сведения о человеке: ФИО и год рождения, прописка, место жительства, родственники, контакты, место работы, социальные сети, судимости (если есть), проблемы с налогами или банками (если имеются), имущество и прочие вещи. Бывают задачи и посложнее, но о них говорить не будем, потому что это редкая история. После того, как у заказчика появляется на руках такая справка, он сразу может получить некое представление о искомом человеке и составить свое мнение о нем. Часто вместе с таким “цифровым профилем” мы так же делаем и профиль поведенческий, который дает полное понимание о том, как взаимодействовать с человеком в контексте любой задачи.

Зачем воообще такое заказывают?

Чтобы ответить на вопрос зачем, для начала разберемся кто заказывает такое чаще всего:

  • Службы безопасности;
  • Менеджеры по подбору персонала;
  • Собственники бизнеса.

Можно еще много кого перечислить, но эти три категории самые широкие, если так можно выразиться.

Самая частая необходимость в составлении справки возникает у компаний, которые принимают на работу нового сотрудника и им нужно понимать его благонадежность. Второе по важности — это подготовка к переговорам. Всегда заранее хочется понимать с каким человеком придется разговаривать. Ну и третье — когда человек проходит по какому-то расследованию внутри компании, необходимо понимать его подноготную.

Итого мы имеем три основных причины:

  1. Проверка сотрудника при приеме на работу;
  2. Подготовка к переговорам;
  3. Проверка сотрудника в контексте внутрикорпоративного расследования.

Справедливости ради стоит сказать, что бывают случаи, когда данную услугу заказывают просто обычные люди из серии: “я познакомился с девушкой/парнем и хочу быть в ней/нем уверен”. Но, такое попадает к нам редко.

“Найди человечка”

Данный тип кейсов кардинально отличается от предыдущего. Когда мы делаем справку на человека, ее целью является получение систематизированная информация об объекте и не более. В случае с поиском — это всегда комплекс из разных действий и даже смежных областей по типу профайлинга, потому что очень часто нужен поведенческий профиль человека для сужения поиска. Обычно в данном типе услуг просят две вещи: понять физическое местонахождение человека () в данный момент, или понять, кто скрывается под фейковым аккаунтом. По другому это можно назвать “деанон” (раскрытие реальной личности человека).

Зачем это нужно и кому?

Тут вопрос более открытый, нежели в предыдущем случае. Сначала надо понять в каких случаях ищут человека.

  1. Вас обманули в интернете какие-то мошенники и нужно понять, кто это сделал (деанон). Чаще всего тут же встает вопрос и о его реальном местонахождении в данный момент.
  2. У вас потерялся друг или родственник. Не приходит домой, к примеру, уже двое суток. Очень часто за таким обращаются родители, так как по опыту могу сказать, что чаще всего “потеряшками” являются дети.
  3. Есть достаточно случаев, когда собственника бизнеса “кидает на деньги” его партнер и скрывается в неизвестном направлении. Нужно понимать, где находится человек в данный момент, чтобы передать дело уже в полицию, так как обычно в таких случаях у заказчика есть доказательная база для органов.

Ну, собственно, исходя их этих пунктов, понятно кому чаще всего такая услуга нужна: любому человеку, так как специфика данного типа кейсов очень обширна.

По опыту могу сказать, что такой тип расследований не всегда заканчивается успешно, потому что есть множество технических причин, которые не позволяют в той или иной ситуации до конца выполнить задачу.

“А мы можем с ними работать?”

Одной из ключевых потребностей любой компании является работа с белыми контрагентами. Ни кто не хочет иметь дел с какой-то компанией «однодневкой» или мошенником. Все хотят быть уверены в своих партнерах или клиентах. Так же всегда интересно понимать подноготную своих конкурентов. Именно по этой причине услуга «пробей мне фирму» актуальна сегодня как никогда.

В основном, проверка юр.лица идет, в большинстве случаев, одновременно с проверкой какого-то человека (например ген.дира). Отдельная проверка контрагента понемногу теряет свою актуальность для большинства компаний по причине того, что сегодня на рынке есть готовые автоматизированные решения, которые выдают отчет за пару минут. Естественно, есть несколько «но».

  1. Иногда эти решения крайне дорогостоящие, а те, которые стоят дёшево, не всегда дают валидную информацию.
  2. Мало получить просто готовый отчёт о компании. Его ещё нужно проанализировать и дать заключение по конкретному запросу заказчика. К примеру: «это компания с кем-то аффилированна?» Некоторые сервисы по очевидным маркерам могут ответить и на этот вопрос, но если их нет, то и ответа не будет. В общем я говорю о том, что доверить полную проверку юр.лица только веб-сервисам, пока что слишком рано. Всегда необходимо заключение аналитика.

”Слышал новость?”

Одной из самых нестандартных задач является так называемая “определение валидности новости или какого-то события”. Что это такое? Все из вас наверняка слышали термин “фейк-ньюз”. Странно, что термин появился относительно недавно, потому что в реальности он существует уже далеко не один век. Всегда велись информационные войны и все государства использовали инструмент дезинформации для достижения каких-то целей. Всем это очевидно. Разница с сегодняшним днем лишь в том, что технические возможности шире и есть массовая площадка для распространения новостей — интернет.

Что за формат кейсов иногда приходится решать в рамках данной темы? Самое простое — это сбор доказательной базы о правдивости той или иной новости/события. Возьмем совершенно абстрактный пример. К примеру, вышла новость, что был построен какой-то завод по переработки чего-либо и он вредит местным жителям, потому что много отходов и прочее. Мы открываем гугл-карты и видим, что на месте, которое упоминается в новости, находится чистое поле размером километров 10. Почему можно поверить гугл-картам в данном случае? Дело в том, что спутниковые снимки сегодня довольно часто обновляются, поэтому информация валидная. Это, возможно, крайне примитивный пример, но зато понятный.

Image for post
Image for post
Нашумевшая картинка, которая максимально хорошо показывает всю суть манипулирования новостями

Более сложный вариант, когда идет разговор о репутации человека. Ни для кого не секрет, что сегодня часто бывают заказные дела на то, чтобы дискредитировать какого-то человека. Чаще всего мы в работе сталкиваемся с тем, что такие атаки направлены на разных собственников бизнеса и заказ идет от конкурентов. В общем-то классическая история. В данном случае ведется работа на сбор доказательной базы о том, что все новости и вбросы не настоящие, для того, чтобы сохранить репутацию клиента.

Важное замечание: в начале таких кейсов мы всегда проверяем на сколько наш клиент виновен в том, о чем говорят или пишут. С мошенниками мы не работаем.

Если подвести итог, все это относится к теме “информационных войн” в разных проекциях. По моему мнению — это самые сложные кейсы ну и они возникают довольно редко. Про эту тему я еще напишу как-нибудь пост.

“Нам бы документик найти”

Если вы работаете в какой-либо частной или государственной структуре любого размера, готов поспорить, что хотя бы один раз за все время работы вы слышали от коллег или сталкивались сами со следующим неприятным случаем. В открытом или “условно” открытом доступе вы находили какой-то документ вашей фирмы. Это может быть что угодно, начиная от экселевской таблицы со списком сотрудников и их зарплат, заканчивая грифованными внутренними документами компании. Если вы думаете, что такого не бывает, то знайте, что вы находитесь в мире иллюзий. У каждой второй компании есть такого рода “дырки” и, как показывает мой опыт:
а) эти дырки не закрывают месяцами и годами;
б) таких дырок обычно несколько;
в) они есть у любых компаний в независимости от их величины, оборотки или репутации.

В связи со всеми этими фактами, мы периодически делаем базовый пентест (тест на защищенность) компаниям по этому направлению.

Такую же проверку на “уязвимости” мы делаем и людям. Есть ли где-то в открытом доступе их личные документы (по типу сканов паспорта или водительских прав), фото и прочее.

Другой интересный вариант кейсов, это когда компания хочет получить конкурентное преимущество в отрасли. Если, к примеру, к конкуренту попадает на руки какой-нибудь бухгалтерский отчет или экселевская табличка с зарплатами и мотивацией сотрудников вашей компании, хорошего в этом мало. Умный руководитель начнет переманивать сотрудников на более выгодные условия, как вариант. Это частный пример и не будем особо углубляться в корпоративные войны. Основной посыл в том, что специалист OSINT’ер может найти такие документы и передать их заказчику абсолютно по закону. Если такие документы были найдены с помощью открытых источников, то они становятся публичными.

Можно вспомнить еще много разных случаев с поиском документов, но самое основное я описал.

«Комплексные расследования»

Image for post
Image for post

Ну и теперь давайте подведем некий итог. Проще всего будет описать более-менее простой алгоритм какого-нибудь кейса, чтобы было более наглядно видно, как именно переплетаются все инструменты OSINT в контексте расследования.

Фабула кейса:
Есть заказчик в лице ген.дира компании, которого “кинул на деньги” партнер по бизнесу и уехал в неизвестном направлении.

Задача:
Нужно найти негодяя для того, чтобы передать его в руки полиции, так как есть вся доказательная база. По сути, нужно определить физическое местоположение.
PS: может возникнуть логичный вопрос, почему сразу не передать дело в полицию? Ответ очевиден: можно и нужно, но как показывает практика, искать они его будут долго и хорошо, если найдут. Дело не в их квалификации, а скорее в загруженности.

Исходные данные по негодяю:
ФИО и год рождения, фото, паспортные данные.

Решение:
1. Для начала была сделана полная справка на объект по всем классическим маркерам.

2. Вторым шагом был составлен поведенческий профиль объекта для понимания того, как на него нужно воздействовать и влиять, если получится вступить с ним в диалог. Так же это помогло сузить поиск физического местоположения.

3. Встал вопрос, как выйти на объект в контексте “пообщаться”, потому что, естественно, зарегистрированных на него номеров телефонов не было, а старые не работали. Самое очевидное — поиск соц.сетей.

4. Поиск по фото ничего не дал. Объект ни где не светился.

5. В один момент мы обращаем внимание на название его старой почты (допустим “mehanik-64”). Это наводит на мысль о том, что это может быть его ником, которым он пользуется и посей день.

6. Ищем этот ник везде, находим форум любителей и заводчиков голубей. Заходим в профиль к mehanik-64. В профиле была дата и год рождения (они совпадали с нашим объектом). Далее начали листать фото и на одной из них вдалеке виднелась машина. Увеличили номер, машина числилась за бывшей женой объекта. После этого нам стало ясно, что это точно профиль того, кого мы ищем.

7. Самым очевидным решением дальше было достать все фото из его профиля и посмотреть метаданные. Бывает такое, что внутри может быть гео-привязка места, где было сделано фото. Это ничего не дало.

8. Поиск по картам местности тоже ничего не дал, так как было слишком мало точек-высот, к которым можно было сделать привязку.

9. Далее самое очевидное — вступить в контакт под легендой и подстроиться под поведенческий профиль объекта, чтобы вытянуть информацию. Для этого на протяжении двух дней мы читали разные статьи о породах голубей, чтобы усвоить хотя бы немного сленговых выражений. Пока мы все это читали, выяснили, что любимая порода голубей у нашего объекта — Бакинские.

10. После подготовки, написали ему в ветке форума, что восхищаемся его голубями и всякое такое. После перешли в личные сообщения, где попросили покидать больше фоток его птиц. И, о чудо, на первой же фотке в метаданных мы обнаружили координаты. Мы были уверенны, что фото сделаны именно в момент переписки, поэтому местоположение свежее. В общем эти сведения мы сразу же передали заказчику и буквально на следующий день утром к объекту “постучали в дверь”.

Этот кейс мог решиться многими другими способами, но решился именно так. Я просто описал вам порядок наших действий в данном расследовании для понимания комплексности подхода и как именно помогает OSINT в решении таких задач.

В заключении хочется еще раз подчеркнуть тот факт, что данная статья раскрывает только самые частые сферы применения OSINT исходя из нашего опыта работы. Методы и инструменты я тут не описывал осознано. Для тех, кто хочет больше окунуться в тему OSINT, .

Надеюсь, вам было полезно и интересно!

Также читайте меня тут: и

Written by

Investigations, OSINT, cybersecurity, profiling, self defense.

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store