Ловушки, которые используют кибердетективы

Моя цель - предложение широкого ассортимента товаров и услуг на постоянно высоком качестве обслуживания по самым выгодным ценам.

Прежде чем перейти к статье, хочу вам представить, экономическую онлайн игру Brave Knights, в которой вы можете играть и зарабатывать. Регистируйтесь, играйте и зарабатывайте!

Нетипичные приемы логирования и идентификации пользователей сети Интернет всегда привлекали особе внимание со стороны правоохранительных органов, частных детективов и представителей служб безопасности. Сегодня мы расскажем о таких приемах.

DISCLAIMER: Данная статья написана в ознакомительных целях и не является руководством к неправомерным действиям или обучающим материалом для сокрытия правонарушений.

Логирование

Главное в логировании – скрыть сам факт его наличия. Оно подразумевает фиксацию (протоколирование) данных об устройствах, подключающихся к определенному веб-ресурсу.

Иными словами, получение данных о соединении (ip-адресе, провайдере, городе) и устройстве (модели, операционной системе, версии браузера и т.п.) пользователя.

Если логгер у вас представлен в виде обычной гиперссылки, то очевидным способом его маскировки является использование одного из сервисов по сокращению ссылок:

https://clck.ru/

http://bit.do/

https://bitly.com/

https://www.lnnkin.com/

Кроме этого, маскировка логгер-ссылки может быть осуществлена при помощи функции редиректа (или имитации редиректа) через популярные социальные сети.

Например, для социальной сети ВКонтакте такая ссылка будет выглядеть так: https://vk.com/away.php?to=LOGER-LINK_HERE.

Для YouTube редирект можно имитировать при помощи сервиса: https://webresolver.nl/tools/iplogger. Использование редиректа через легитимный портал оправдано тем, что большинство пользователей не изучают гиперссылку целиком. Они ограничиваются тем, что доменное имя, указанное в начале, принадлежит легитимному веб-ресурсу.

Применение токенов

Сокрытие логирования может происходить путем встраивания логгера в документ MS Office. Это позволяют делать такие общедоступные сервисы, как:

http://canarytokens.org/

https://www.locklizard.com/track-pdf-monitoring/

http://www.mailtracking.com/mailtracking/pmdoctrack.asp

Расследователю следует сгенерировать нужный файл и направить его идентифицируемому пользователю. После того, как последний откроет файл, расследователю станет доступна статистика, включающая данные об устройстве пользователя.

Другим приемом скрытного логирования может быть размещение логгера на внешнем веб-сайте. Лучше всего тут работают сайты, имитирующие новостные порталы.

Одним из самых простых способов сделать это является размещение интригующей новости при помощи сервиса Telegra.ph, имеющего невидимый IPlogger.

Для того, чтобы встроить код с сервиса https://iplogger.com в статью используйте элемент вставки кода <>. Схожий функционал предлагает Telegram-бот @FakeSMI_bot позволяющий сгенерировать любую новость, имеющую встроенный логгер, якобы опубликованную на сайте одного из крупнейших СМИ.

Кликджекинг логирование

Использование внешнего веб-сайта, кроме стандартного логирования, открывает перед кибердетективом возможности по установлению аккаунтов соцсетей пользователя при помощи кликджекинга (соцфишинга).

Данная технология предполагает скрытую авторизацию на внешнем веб-ресурсе через профиль в социальной сети. Для ее использования, на веб-сайте необходимо установить специальный скрипт, который предлагают ряд маркетинговых компаний:

https://socfishing.com

http://soceffect.ru

https://dmp.one

https://wantresult.com

HTML5 Geolocation API

Возможности логирования через внешний веб-сайт также можно усилить возможностью получения геолокации пользователя при помощи HTML5 Geolocation API.

Примеры таких решений:

https://github.com/thewhiteh4t/seeker

https://github.com/jofpin/trape

https://github.com/cryptomarauder/TrackUrl

https://iplogger.ru/location-tracker

Недостатком является то, что HTML5 Geolocation API предполагает наличие согласия на предоставление точных данных о его геолокации из GPS, LBS, WiFi. И даже это, при желании можно обойти.

 

Логирование через e-mail

Логирование через электронную почту. Отправил электронное письмо идентифицируемому пользователю и ждешь результата.

По такому принципу работает несколько сервисов:

https://www.readnotify.com

https://www.getnotify.com

http://www.didtheyreadit.com

Стоит отметить, что эффективность их крайне низкая. Это связано с тем, что современные почтовые сервисы блокируют следящие модули.

Однако, у нас есть сервис http://canarytokens.org/ и его функция генерации токена для "unique email adress". Эта функция позволяет получать данные о соединении и устройстве отправителя электронного письма на ящик "TOKEN@canarytokens.org".

Вы также можете подключить свое доменное имя к Canarytokens, что делается, используя готовый образ для Docker. Это позволит вам скрытно идентифицировать всех отправителей электронной почты в ваш адрес.

Логирование в Telegram

Постепенно переходим от логирования к другим приемам.

Теперь речь пойдет об установлении номера мобильного телефона или геолокации пользователя Telegram. С учетом текущей ситуации и повального исхода всех и вся в Telegram, данные методы как никогда актуальны.

Для идентификации пользователей Telegram применяются специальные боты-ловушки, которые получают номер телефона или геолокацию своего пользователя под видом регистрации или осуществления поискового запроса.

Примеры таких ботов: @addprivategroup_bot, @protestchat_bot, @TgDeanonymizer_bot, @TelpoiskBot_bot, @cryptoscanning_bot, @Checknumb_bot, @LBSE_bot, @GetCont_bot. Имеется даже доступный конструктор аналогичных ботов-ловушек: https://github.com/lamer112311/Dnnme2

Лог-звонок в ВК, Whatsapp, Skype

Схожие приемы могут быть применимы и в отношении любого другого онлайн-сервиса. Так, если идентифицируемый пользователь имеет предустановленные мобильные приложения Skype, VK или WhatsApp, то можно сгенерировать гиперссылку для автоматического звонка или отправления сообщения от его профиля на профиль кибердетектива.

<a href="https://wa.me/PHONE_NUMBER?text=write_text_here!">message in WhatsApp</a>

<a href="skype:LOGIN?call">call in Skype</a>

<a href="https://vk.com/call?id=ID">call in VK</a>

Получение региона пользователя через поиск Яндекс

Ну и напоследок. Если Вы общаетесь онлайн с идентифицируемым пользователем, то он можете попросить его прислать результаты поисковой выдачи Яндекса.

Дело в том, что гиперссылка, формируемая в ходе поискового запроса в Яндекс, может содержать параметр lr= или регион нахождения.

Далее можно сверить полученный Ir c базой нумерации регионов, расположенной по ссылке https://yandex.ru/dev/xml/doc/dg/reference/regions.html

А можно поступить проще, подставив искомый параметр lr= в гиперссылку https://yandex.ru/search/?text=Погода&lr=XXXX. В выдаче появится прогноз погоды для искомого региона.

Вот и все на сегодня. Если Вы знаете какой-нибудь интересный метод для идентификации пользователя в интернете, то поделитесь в комментариях. Надеемся, что наша подборка смогла подарить Вам новые знания и инструменты. До новых встреч.

Источник: https://habr.com/ru/company/tomhunter/blog/662221/


Интересные статьи

Интересные статьи

С началом пандемии большинство разработчиков Кремниевой долины начали трудиться из дома. Довольно быстро они стали задаваться вопросом: зачем платить бешеные цены за аренду недвижимо...
Привет, Хабр! Меня зовут Саша Козлов, я занимаюсь разработкой инфраструктуры и системным администрированием в Авито последние три с половиной года. Я расскажу, как мы масшта...
Много всякого сыпется в мой ящик, в том числе и от Битрикса (справедливости ради стоит отметить, что я когда-то регистрировался на их сайте). Но вот мне надоели эти письма и я решил отписатьс...
Изображение: Unsplash Прошедшее десятилетие оказалось насыщенным на различные экономические события, среди которых оказались последствия мирового финансового кризиса и восстановление рынко...
Ведущий разработчик — не зря «ведущий». Эту фразу я услышал на одной из конференций по IT-менеджменту и задался вопросом, а почему «не зря»? Именно он подтолкнул меня написать эту статью. Оце...