Зарубежный исследователь hatless1der в своём личном блоге поделился довольно актуальной проблемой, с которой сталкивались очень многие в своей обыденной жизни вне зависимости от профессии.
Вашему вниманию предоставляется перевод этой увлекательной истории как примера применения своих навыков в бытовых реалиях.
Я получил это письмо на свой почтовый ящик для бизнеса еще в 2022 году, и оно попало прямиком в папку спама, как это и должно было быть...
Здравствуйте, уважаемый.
Я - г-жа Ноэми Рафаэль, супруга покойного г-на Итана Рафаэля, бизнесмена и политика. Перед его внезапной смертью мы положили на депозит в одном из ведущих банков страны сумму в 4,6 млн. долларов.
Мне поставили очень плохой диагноз, поэтому я решила пожертвовать эти средства честному человеку. Моя цель - поддержать стариков, беззащитных и брошенных детей, моя задача - помочь тем, кто находится в неблагоприятном положении, и выполнить клятву, которую я дала своему покойному мужу.
Я сообщу вам подробности, как только получу от вас ответ. Ваш срочный ответ очень важен в связи с состоянием моего здоровья.
Г-жа Ноэми Итан Рафаэль
Это настолько старая афера, что во многих странах мира она превратилась в клише. Заокеанский миллионер, возможно, принц, или, в данном случае, богатый и умерший бизнесмен, чье живое доверенное лицо чудесным образом выхватило меня из общей массы всех людей на земле, владеющих электронной почтой, чтобы я стал единственным обладателем странного специфического состояния! Какая удача!
Не говоря уже о том, что мне не хватает фортуны, даже чтобы выиграть в ежемесячной лотерее визиток в местном ресторане Subway. Похоже, дела у меня наконец-то пошли на лад!
Вот вопрос. Вы когда-нибудь задумывались, кто находится на другой стороне одного из этих писем?
И хотя в то время это казалось невозможным узнать, я решил попытаться разоблачить мошенника на другом конце переписки и посмотреть, какую же игру он затеял для меня, своей незадачливой и "неблагоприятном положении" жертвы. В результате получился дикий аттракцион OSINT и социальной инженерии, который я никогда не забуду!
Чтобы решить эту задачу, для начала мне нужно было определить цель. Хотя по ходу дела она может меняться, но на начальном этапе я знаю, что мне нужна от мошенника информация, которая поможет мне идентифицировать его в реальной жизни.
Отлично, но как мне это сделать?
Мне нужно подумать о том, с какими людьми мошенник рассчитывает иметь дело, когда добьется успеха в виде ответа на письмо. Не очень сообразительные? Возможно, не разбираются в технологиях? Может быть, жадные? Для достижения своей цели мне определенно придется сыграть определенную роль, и я полагаю, что чем больше я буду вести себя так же, как и предыдущие жертвы, тем больше вероятность того, что я смогу что-то вытянуть из них.
Как все это будет реализовано? Пока я не знаю.
Хотя я почти полностью уверен, что имею дело с только что созданным бросовым адресом электронной почты, возможно , что они не совершили какую-то ошибку, и не провести исследование этого адреса. Поэтому для начала я выполняю все обычные пункты: прогоняю письмо через инструменты для сбора данных о нарушениях, https://haveibeenpwned.com, https://emailrep.io, Google, проверяю часть имени пользователя в https://whatsmyname.app и т.д. и т.п. Если вы хоть немного занимались OSINT, то эти моменты вам хорошо знакомы, а если нет, то я рекомендую вам ознакомиться с моим предыдущим блогом о работе с адресами электронной почты (Advanced OSINT: The Art of Pivoting – @hatless1der | Blog)
Как и ожидалось, эти попытки оказались неудачными. Теперь я знаю, что с этого момента мне нужно начать активное взаимодействие со скамером, поэтому я запускаю виртуальную машину, открываю Gmail для незнакомых лиц и приступаю к работе. Я не собираюсь отправлять им письмо с рабочего аккаунта и раскрывать информацию о себе, поэтому все будет происходить под моим любимым псевдонимом. (Бонусные очки тому, кто узнает, откуда взялось имя Tommy Gemcity) Подсказка: оно может быть написано иначе, чем на самом деле.
Здравствуйте, госпожа Рафаэль
Я получил Ваше письмо по электронной почте в связи с кончиной Вашего мужа и Вашим желанием сделать пожертвование честному человеку. Я не могу выразить Вам свою благодарность за Ваше предложение щедрости! Я надеюсь, что мы сможем встретиться в ближайшее время, и мне жаль, что Вы, возможно, находитесь в плохом состоянии здоровья.
Искренне, Томми Гемон
Президент Клуба охотников за сокровищами
Таким образом, я, по сути, отправил им пустую почту с нового аккаунта, которого они никогда раньше не видели, но учитывая уверенность, что в поисках жертвы они разослали спам на бесчисленные адреса электронной почты, я сомневался, что они вообще обратят на это внимание. Я оказался прав. Вы также можете обратить внимание на мою электронную подпись, где я пытаюсь (безвредно) зафишить их в ответ. Клуб охотников за сокровищами? Это звучит достаточно интересно, чтобы щелкнуть на ссылке в моей подписи? Если да, то их IP-адрес будет мгновенно перехвачен, прежде чем они будут перенаправлены на совершенно нормальный и безобидный сайт, который я запрограммировал как конечный пункт назначения. Как, спросите вы? Существует ряд сайтов и инструментов, которые останутся неназванными, помогающие Вам создать нечто подобное и даже позволяющие выбрать один из готовых URL-адресов или использовать укорачиватель ссылок, чтобы ваша ссылка для захвата IP-адреса выглядела более легально ( не нарушайте законы, не нарушайте политику)
Признаюсь, я начал немного нагло, и на этой ранней стадии игры наш противник был слишком мудр, чтобы нажать на мою хитрую ссылку в подписи. Но давайте продолжим.
Проходит несколько дней, и я получаю хорошие новости! Для перевода моих миллионов необходимы: ФИО, адрес, телефон и копия паспорта или удостоверения личности. УДИВИТЕЛЬНО!
Но неожиданно я струсил. Видите ли, я немного опасаюсь давать свою информацию в Интернете. Или я так говорю...
Спасибо большое!
К сожалению, я опасаюсь давать слишком много личной информации в ИнтернетеМой клуб кладоискателей часто становится мишенью для людей, пытающихся нас обмануть, поэтому я всегда стараюсь быть очень осторожным.
Я надеюсь, что моя потребность в заверениях приведет к тому, что мошенник даст мне что-то, с чем я смогу работать. Посмотрим, с чем они вернутся...
Уважаемый Томми Гемон, спасибо за ответ. Я рада, что Вы остерегаетесь предоставлять свою информацию. Это дало мне уверенность в том, что вы не будете злоупотреблять этими средствами, когда получите их. Я хочу еще раз заверить Вас, что все законно и Ваши данные в безопасности. Я только перешлю их в свой банк и дам Вам контактную информацию.
Я приложил документы на средства, чтобы заверить Вас, что все законно и без риска.
Блестяще! Оказывается, у них были некоторые опасения и на мой счет, но теперь я доказал, что являюсь достойным получателем этого "законного и безрискового" состояния, которое, по совпадению, является моим любимым видом состояния! Давайте посмотрим на эти ОФИЦИАЛЬНЫЕ документы:
Я не специалист по банковскому мошенничеству, но я сразу определил подлинность этих документов, когда заметил, что в них использовано не менее 6 различных видов шрифтов. И хотя я никогда не видел, какие документы нужно оформлять, когда опускаешь в банк такую монету, я определенно представляю себе множество печатей и подписей, так что проверяйте и проверяйте! По-моему, выглядит неплохо!
Мошенники все еще ждут мою личную информацию, и я им помогаю: сообщаю адрес и телефон самого большого жилого комплекса в США и, конечно же, ссылку, которая приведет их прямо на веб-страницу Google files, при этом удобно перехватывая любой IP-адрес, который они могут использовать в данный момент. Да, я снова попробую этот трюк. Что я теряю?
Однако я действительно начинаю задаваться вопросом... какова их конечная цель? Не может же это быть просто кража личных данных? Возможно, по ходу дела мы узнаем больше.
Как видите, меня перебрасывают на новый, гораздо более официально звучащий адрес электронной почты. Я перескажу эту часть истории, потому что она включает в себя несколько сообщений, в которых они уверяют меня будто готовы перевести деньги, но им нужна фотография моего удостоверения личности, а я, перебирая в уме различные причины, по которым я не могу прикрепить к своему письму простую JPG, пытаюсь удержать их на линии, чтобы получить что-нибудь полезное.
Но тем временем произошло нечто удивительное... они перешли по ссылке!
У меня есть IP-адрес, с которым можно работать! Конечно, я не держусь за мысль, что это будет чей-то реальный IP, а не один из миллиардов легкодоступных VPN-адресов, доступных буквально каждому, кто хоть немного умеет пользоваться Google, но я все равно проверю...
Я вижу, что интернет-провайдер (ISP) - Orange, Кот-д’Ивуар, и проверяю его в нескольких инструментах, таких как https://maxmind.com, https://ipinfo.io и https://dnslytics.com, чтобы узнать их мнение. Все они говорят, что Orange - это провайдер, район - Абиджан в Кот-д'Ивуаре, и теперь я вижу, что они отрицают VPN/proxy/TOR/relay. Это выглядит очень многообещающе!
Еще один сайт, где я люблю смотреть чей-то IP, это сервис под названием https://iknowwhatyoudownload.com, проверяющий загрузку и раздачу торрентов. Во многих частях мира этот сайт все еще популярен, и хотя он не может дать мне никакой ценности с точки зрения идентификации человека, я могу использовать его для получения представления о том, может ли IP-адрес принадлежать VPN или нет, глядя на объем траффика. Многие VPN-адреса при проверке через этот сайт показывают очень длинный список торрентов (часто X-rated), который превышает объем, потребляемый обычным домашним пользователем. В данном случае на IP-адресе было всего несколько результатов для некоторых ТВ-шоу, что даёт отличия от коммерческого VPN-адреса.
Возможно, вы скажете себе: "Все это замечательно, Гриффин, но это не приближает нас к идентификации человека!". И будете правы. Без юридического ордера или какого-то специального доступа найти человека, стоящего за этим IP, не удастся. Или все же удастся?
Видите ли, у нас остался один "отчаянный шаг", и это наш старый добрый друг - данные о нарушениях. Я называю его "отчаянный шаг", потому что за годы работы с IP-адресами он срабатывал лишь несколько раз из-за ряда факторов, связанных с возможностью их изменения, а также с переходом на IPv6 вместо IPv4, но проверить его все равно стоит. Как выяснилось, этот IP-адрес был частью утечки данных, и также он был привязан к чьей-то учетной записи. В дальнейшем мы будем называть этот IP "PB", по полю Name на скриншоте ниже.
Это (потенциально) отличная новость! Я говорю "потенциально", потому что подобная информация должна сопровождаться большим количеством звездочек. Во-первых, в моей ситуации этот человек не сидит за клавиатурой. С другой стороны, мы не знаем, находится ли этот IP-адрес, полученный в результате взлома, все еще у этого человека. Список можно продолжать, но на данный момент мы будем называть "PB" лицом, представляющим интерес, и посмотрим, что из этого выйдет.
Теперь мы переходим к самому интересному - OSINT! Мы работаем с электронной почтой и именем и хотим узнать, кто этот человек, чем он занимается и где он находится в мире.
Найти точку опоры относительно жизни в сети этого человека сначала было непросто, поскольку в социальных сетях он использует не свое (предположительно настоящее) имя "PB, а что-то наподобие "Bright Man".
Вот вам небольшой совет... Я смог найти профиль Facebook этого человека, позволив Google сделать за меня работу, создав Google dork для просмотра результатов, проиндексированных из Facebook, которые включали части имени "PB" в URL. Что-то вроде site:facebook.com "TERM1 AND TERM2". Видите ли, многие пользователи Facebook могут завести учетную запись, используя свое полное имя, а затем изменить отображаемое имя на новое, как это сделал Mr Bright Man, но они никогда не меняют URL (да, это особенность). Таким образом, если Джон Смит заводит аккаунт в Facebook по адресу facebook.com/john.smith, а затем меняет свое имя на Jethro Gibbs, то его URL остается неизменным. Я даже не могу сосчитать, сколько раз я находил чей-то аккаунт в Facebook, просто пробуя firstname.lastname в URL, попробуйте как-нибудь!
Ладно, мистер "Яркий Человек" - это всего лишь лицо, представляющее интерес, и, вполне возможно, не имеет отношения к афере, так что я его затушевываю, но скажу, что у него была довольно обширная активность в Интернете, чтобы изучить его:
Кроме того, мне удалось собрать несколько телефонных номеров и адресов электронной почты по подсказкам, оставленным в его сообщениях и видеороликах в Интернете, а также определить примерное место его проживания по геолокации нескольких его видео на YouTube. Таким образом, теперь у меня есть достаточное представление о том, кто этот человек, если это окажется полезным в дальнейшем.
Пока я изучаю "яркого человека", в моем мозгу все еще горит один вопрос: какова конечная цель мошенника? Понятно, что мошенничество - это деньги, но пока самое страшное, что они пытались сделать, - это получить копию моего паспорта, адреса и телефона. Могут ли они это монетизировать? Конечно. Это больший труд, чем просто заставить меня каким-то образом перевести им деньги? Да.
И тут в мой почтовый ящик наконец-то приходит ответ. Он немного мелковат для чтения на картинке ниже, поэтому позвольте мне просто испортить вам сюрприз... Это мошенничество с предоплатой. Мне сообщают, что счет, на котором хранятся мои $4,6 млн, является "приостановленным счетом", который необходимо активировать путем уплаты комиссии, прежде чем они смогут выдать полную сумму. Мне предлагают два варианта: 1 активировать счет и потребовать начисленные весьма значительные проценты за счет комиссии в размере 1260 долларов США, ИЛИ активировать счет и отказаться от начисленных процентов за счет меньшей комиссии в размере 860 долларов США. Классика!
Какой идиот, ненавидящий деньги, откажется от сотен тысяч долларов накопленных процентов только для того, чтобы сэкономить 400 долларов на комиссиях? ТОЛЬКО НЕ ЭТОТ БУДУЩИЙ МИЛЛИОНЕР!!! Запишите меня на эту комиссию в $1260 прямо сейчас, пожалуйста, и спасибо вам большое!
Значит, это конец? Это действительно все, что было в планах? Ну, нет. Я не готов к тому, что все закончится. Как и Тед Лассо, я знаю, что конец рано или поздно наступит, но я не позволяю себе думать о том, что все кончено, до последнего момента. Память золотой рыбки!
Я собираюсь предпринять еще одну попытку получить информацию от мошенников и посмотреть, к чему это приведет. Если оценить произошедшее, то я понимаю, что они хотят, чтобы я послал им деньги, я знаю, что у них должен быть способ получить эти деньги, и я знаю, что их банковская информация может дать мне новые подсказки, поэтому я продолжаю действовать. Я готов отправить деньги, только скажите, куда...
Вот кошмар! Томас Смит??? Это просто кричит о явной подделке.
Но подождите.
Разве они не ждут, что я отправлю им деньги на этот счет? Значит, они намерены их получить. Должно быть, в этом есть что-то большее, чем то, что я думал. Может быть, Томас Смит - реальный человек? Может быть, Томас Смит - тоже жертва! Видите ли, есть такая штука, как денежный мул - по сути, это посредник, обычно не участвующий в реальной афере и способствующий перемещению средств. В некоторых случаях их обманывают, в некоторых - принуждают, а в некоторых - они действительно могут получить часть денег за выполнение таких услуг, как обналичивание и отправка остатка в другое место. (Аферы с работой на дому?)
Мне нужен план. Найти Томаса Смита где-нибудь в мире будет невозможно без какой-либо дополнительной информации, поэтому я играю роль беспомощной, неуклюжей жертвы в надежде получить что-то, что я смогу использовать в своих целях. Я говорю мошеннику, что мой банк не позволит мне перевести деньги, несмотря на все мои усилия, но сообщаю, что у меня есть доступ к PayPal и Venmo, если только они готовы предоставить адрес электронной почты или номер телефона, по которому я смогу найти их счет. Но пойдут ли они на это?
Стало известно больше! Давайте займемся поиском г-на Смита и посмотрим, что он из себя представляет. Сначала мы проверим профиль PayPal с помощью функции поиска по электронной почте в мобильном приложении и посмотрим, что появится.
Лицо! Начало положено, вдобавок у нас все еще есть электронная почта. Если вы читали другие мои блоги, то знаете, как мне нравится инструмент https://epieos.com для поиска учетных записей по электронной почте. В данном случае я обнаружил, что электронная почта связана с учетной записью Томаса в Google и что Томас оставил несколько отзывов о предприятиях в довольно узкой географической зоне.
Используя очень распространенное имя Томас и некоторые названия городов, расположенных неподалеку от того места, где он оставлял отзывы о ресторанах, я начинаю использовать функцию предварительного поиска в Facebook. Комбинируя его имя с названиями различных городов, я не сразу нахожу аккаунт с лицом, удивительно похожим на PayPal, на который мне указал мошенник.
Успех!!! Изучая жизнь Томаса, я понимаю, что он, скорее всего, не является участником международной схемы электронного мошенничества, а, скорее всего, невинная жертва. Мне хотелось бы узнать его контактные данные или место жительства, поскольку я намерен передать его местным властям, которые смогут ему помочь. Я возвращаюсь к его сетевой жизни, чтобы собрать больше информации. В поисках подсказок я читаю множество различных отзывов о бизнесе, которые написал Томас, и обнаруживаю один из них посвящен церкви. Этот отзыв наводит меня на мысль, что Томас очень активен в этой церкви, и я задаюсь вопросом, есть ли в их социальных сетях другие его фотографии или информация о жизни.
Бинго! Читаю дальше и нахожу другие сообщения, в которых он упоминается. Там объясняется его биография и перечисляются члены его семьи, включая жену, вплоть по именам. Этой информации мне более чем достаточно, чтобы зайти на сайты поиска людей, например https://truepeoplesearch.com, и начать искать адреса. Я нахожу адрес, который кажется актуальным, но, чтобы убедиться в этом, я набираю в Google портал ГИС округа, чтобы найти информацию о налогах на недвижимость по этому адресу. Вы удивитесь, если узнаете, как много округов США имеют подобные сайты и возможности поиска.
Как раз то, на что я надеялся. Томас и его жена до сих пор числятся в собственности, и с помощью сайтов поиска людей мне удалось собрать информацию о них, а также найти дополнительные социальные сети. Этой информации более чем достаточно, чтобы кто-то мог связаться с Томасом и помочь ему выбраться из ситуации, в которой он, возможно, застрял. К сожалению, мошенничество с пожилыми людьми - довольно распространенное явление, и зачастую оно наносит огромный ущерб жертвам, которые могут невольно потерять большие суммы денег за короткий промежуток времени, даже не успев понять, что что-то не так. Я надеюсь на счастливый конец этой истории - кто-то сможет помочь Томасу, и я знаю именно тех людей, которые смогут это сделать.
Мои выводы были собраны в отчет, и, несмотря на то, что я так и не доказал, что за аферой стоит Bright Man, я предоставил властям более чем достаточно информации, чтобы продемонстрировать происходящее и заставить их хотя бы помочь Томасу. Все это было передано другу из американского агентства, которое занимается именно такими преступлениями, и у которого оказался коллега и друг прямо в районе проживания Томаса, который мог бы проследить за развитием событий.
Ух ты, какое это было путешествие! Играя роль невежественной жертвы, я смог взять обычное мошенническое письмо, получить потенциально идентифицируемую информацию от человека или людей, находящихся на другом конце света, и, используя OSINT, собрать значительный объем информации об интересующем меня человеке, а главное - идентифицировать и привести к вероятной жертве, которая, возможно, действительно нуждалась в помощи. Я бы сказал, что в целом это довольно впечатляющий результат!
Спасибо, что дочитали до конца. Надеюсь, вам понравилась эта история, возможно, вы почерпнули для себя что-то новое, а главное - стали чуть лучше понимать опасности, таящиеся в Интернете.
