Mycroft Intelligence


Гео и язык канала: Россия, Русский
Категория: Даркнет


Техно-магия, фокусы и приемы OSINT, корпоративная разведка, утечки, экономическая безопасность, доказательная аналитика и многое другое.
Автор канала: @AlMycroft
Сотрудничество: @mycroftmarket
Обучение OSINT: @AIS_obuchenie

Связанные каналы

Гео и язык канала
Россия, Русский
Категория
Даркнет
Статистика
Фильтр публикаций


Всем привет! Давно не виделись! Майкрофт снова на связи. К сожалению, никто не застрахован от профессионального выгорания и срочных командировок. Я в том числе. Но я не пропал, я все еще с вами. Сейчас все более-менее устаканилось и контент снова будет выходить как прежде! Ставь лайк, если рад снова меня видеть!✊


Теперь к делу. Ситуация в OSINT продолжает обостряться из-за усложнения доступа к различным полезным ресурсам, как со стороны тех самых ресурсов, так и со стороны Роскомнадзора, который с 1 марта запретил популяризировать сами знаете что. Тем не менее, это нас не остановит.

Одна из последних проблем, которую я решал – поиск адекватного инструмента для сбора whois-истории. Российских инструментов, которые бы показывали адекватный переход собственности и переезда на новые сервера я не нашел, а те, что я использовал ранее теперь отказываются показывать данные из ru-зоны. М-да, так дела не делаются.

Но мне на помощь пришел VirusTotal. Вот кого я не ожидал тут увидеть! Оказывается, если вы проверяете домен на вшивость – зайдите в раздел «Relations». Там вы найдете историю whois, SSL сертификатов, поддомены и даже граф связей для пущей визуализации имеющегося инфраструктурного имущества. И это не считая первостепенной для VirusTotal функции проверки сайта на вшивость и паразитов. Таки очень удобно.

Да, VirusTotal продолжает удивлять. Наверное, теперь это мой самый любимый сервис для работы с доменами, как раньше был почивший в бозе Spyce. Мир его праху. Но новые времена требуют новых инструментов. И их есть у нас.

До новых встреч! И, по старой традиции, всем доброй охоты!

#инструментарий

10k 1 143 181

Последнее время меня спрашивают, куда пойти поучиться OSINT. Вопрос непраздный. Тема разведки по открытым источникам набирает обороты. А где обороты - там всегда будут те, кто готовы вас этому научить. Поэтому надо выбирать грамотно.

Что должно быть в хороших курсах? Во-первых, должна быть информация по продвинутому поиску в сети. Это хлеб с маслом любого специалиста по OSINT. Именно умение эффективно использовать поисковики в большинстве случаев приносит основной улов информации.

Во-вторых, должен быть рассказ о безопасности. Какой смысл найти секретные документы Пентагона, нарваться на ханипот и уехать в Гуантанамо до конца своей недолгой жизни? Правильно, никакой. Поэтому на хороших курсах учат не только искать информацию, но и защищаться.

В-третьих, это инструменты. Но не просто инструменты, а практические примеры их использования. Список составить – труда особого не надо, а показать, как правильно использовать – это другое дело. Практика – всему голова. Тут не поспоришь.

В-четвертых, расширение кругозора. OSINT, чаще всего это не главное блюдо, а способ добычи информации для определенных целей. Например, нужно понимать логику бизнес-разведки, если мы играем на стороне корпораций, или смысл социальной инженерии, если делаем пентест. Контекст определяет целеполагание.

В-пятых, это конечно, цена. Есть различные решения. Я, например, в АИС преподаю для сотрудников крупных компаний, поэтому стоимость обучения там соответствующая. Есть средний ценовой диапазон от различных школ – но тут я рекомендую смотреть на автора курса. Если это человек известный и толковый, то можно. А если аноним – то тут вопросики.

Но есть решение и для обычного юзера, который хочет поучиться. У меня есть коллега по цеху – Ильдар Кудашев, молодое дарование. Он, кстати, ведет свой курс по OSINT. И, тащемто, там есть все вышеперечисленное для хорошего курса. И главное – вменяемый ценник. Вот тут можно посмотреть на программу курса.

Майкрофт рекомендует! Всем доброй охоты!

#обучение


Коллеги! Мы начинаем серию статей по организации рабочего места аналитика и специалиста по OSINT. Статья будет дополняться и изменяться. Об этом мы будем сообщать и повторно ее выкладывать. Серию статей мы сведем в один пост, когда она будет закончена.

Эта серия агрегирует в себе идеи опыт, о которых я рассказывал в постах ранее. Она его систематизирует и превращает в «одно окно» по обеспечению безопасности и приватности. Так что прошу любить и жаловать - Часть 1: Железо.

P.S. Не забывайте пересылать эту статью друзьям и коллегам по работе. Им будет полезно, а мне вы поможете развивать канал. И ставьте реакции! Обратная связь это круто. Также если у вас есть идеи, чем дополнить эту статью, пишите мне в личку. Буду признателен за идеи.


Сегодня поговорим по мемы и фейки. Очень часто фейки активно вирусятся и становятся мемами. Поэтому хороший разведчик должен уметь отделять зерна от плевел, понимать, как определить подделку. Сегодня у нас на главное блюдо - история одного мема, которая была собрана по основной технологии разоблачения фейков - обратному поиску. Подробнее в статье.

#расследование


Товарищ Майкрофт докладывает: вторая часть доклада про изучение Lenta[.]ru уже доступна по ссылке. В нем вы узнаете как найти связь (если она, конечно, есть) между доменами через Reverse Google Analytics на примере известного издания и уникального скамерского проекта. Будет интересно!

Всем доброй охоты!

#расследование


Всем привет, на связи Майкрофт! Как и обещал, мы начинаем серию мини-расследований, в рамках которых я буду показывать, как работают те или иные инструменты.

Сегодня у нас интересная история. На IP-адресе известного издания Лента.ру в 2018-2019 годах висел сайт, который занимался торговлей веществами, которые расширяют сознание. Откуда он там взялся - тайна за семью печатями, ведь сервер у Лента.ру выделенный и там не должно быть ничего лишнего. Как мы это увидели? Все подробности в расследовании.

Всем доброй охоты!

#расследование


Всем привет, на связи Майкрофт. Во-первых, поздравляю всех с наступившим 2024 годом и прошедшими праздниками! Лучше поздно, чем никогда, правда? Сегодня у нас будет пост-объявление, или пост-анонс, кому как больше нравится.

Первое, с чего хочу начать.
Формат канала мы будем менять. За прошедшие полтора года я выложил столько инструментов, сколько специалисту по OSINT в общем-то и не надо. У каждого из нас есть свой «тревожный чемоданчик» с десятком заслуженных утилит, которые решают 90% всех вопросов. Поэтому от просто рассказа про инструменты я буду двигаться в строну таких «мини-расследований», в рамках которых на живых примерах я буду показывать принципы их работы, а также необычные артефакты, которые мне удалось обнаружить. Посты будут выходить два раза в неделю, ориентировочно по вторникам и четвергам. Если будет реклама – обязательно будут бонусные посты.

Второе. ГК «Масалович и партнеры» развивается. Поэтому если вы отвечаете в вашей организации за безопасность – напишите мне (@AlMycroft), я расскажу, чем мы можем помочь в нелегком деле проверки контрагентов и соискателей. Кстати, мы традиционно сильны в стратегической аналитике и конкурентной разведке. Поэтому если вы выходите на новый рынок, или же хотите быть на шаг впереди конкурентов и видеть все риски – это тоже к нам. Ну и повоевать мы любим. И в судах, и в СМИ, и в соцсетях.

Если просто интересно за всей этой кухней понаблюдать – милости просим в наш новый телеграм-канал, посвященный нелегкому бизнесу консалтеров в России. Тут и про бизнес, про курьезы, и про жизнь. Мы только начинаем его развивать, поэтому посты начнут системно выходить в ближайшее время.

Ну и третье. Не забывайте подписываться на наши другие каналы. Если вы фанат КиберДеда – проверьте свою подписку на наш корпоративный канал, на нем выходят все ролики после трагического убийства YouTube нашего канала. Да, не забывайте про Дарквеб-канал. Я его немного подзапустил, но скоро и там будут новые посты про жизнь в темном сегменте Интернета. И на закуску – если вы деловой человек и вам интересна безопасность, то можете подписаться на меня в TenChat. Там я пишу бизнесовые статейки про корпоративную безопасность. Например, о том, как понять, что у кандидата под шапкой, не задавая лишних вопросов. Так что подписывайтесь, будет интересно.

До скорой встречи!

#анонс




Был раньше такой шикарный инструмент – Watson от IBM. Умел он искать новости и отрисовывать связи между объектами. Например, интересно вам, как связаны Байден и Путин? Он вам покажет целый граф взаимосвязей через различные статьи, персоналий и объекты. Но увы, век его оказался недолог и проект был закрыт. И вот я нашел нечто похожее. Называется Worldview AI [1].

Этот движок собирает вообще все.
Его всеядность поражает. Тут вам и возможность собирать новости, данные из wiki-проектов, научные статьи, юридические документы и многое другое. Далее он тот весь компот переваривает под капотом с применением искусственного интеллекта.

По итогу у нас появляется поисковая выдача, которая включает в себя ленту публикаций, количественный график распределения результатов по временной шкале для определения всплесков и, конечно, прекрасный сервис географической привязки сообщений.

Что еще есть на дашборде? Естественно, ключевые источники, отсортированные по популярности, а также смежные темы в форме облака слов. А на главное блюдо – короткий синопсис, написанный ИИ на данную тему, с учетом последних событий.

Вместо синопсиса можно попросить машину сделать SWOT-анализ, проанализировать юридические аспекты вопроса, выделить ключевые сущности, нарисовать причинно-следственные связи или иным способом обработать текст. Для аналитика это может быть очень полезно, поскольку позволяет взглянуть на объект интереса с другой стороны.

Но самое вкусное – это факт-экстрактор. Да, эта система может находить в тексте факты и рисовать из них симпатичные графы взаимосвязей. Каждый документ, который попадает в систему, раскладывается на объекты, между которыми устанавливаются реляции. Они представляются либо в формате графика, либо фильтра или раскладываются по временной шкале.

Конечно, это круто, но бывают и ляпы. Анализируя биографию Владимира Путина, робот вдруг понял, что после революции 1917 года он бежал в родовое поместье в Твери. Как вам такое? Рекомендую попробовать самим!

Всем доброй охоты!

#инструментарий


Социальная инженерия продолжает оставаться одной из самых серьезных угроз безопасности, даже для нашего брата-осинтера. Многие об этом слышали, но не знают, как ворваться в этот узкий мирок с обеих ног. Об этом сегодня и пойдет сказ.

Изучать социальную инженерию лучше всего на практике. В свое время я начитался всяких разных книг по этой тематике. Большинство из них были либо пустыми с кучей болтовни, либо всякими «обобщенными фразами», типа делай так и будет тебе счастье. Воды много, а смысла мало. Даже расхваленные книги Кевина Митника мне не особенно помогли. Я так подозреваю, не хотел он учить людей плохому и реальные работающие схематозы предпочел умолчать. Поэтому пришлось учиться всему путем полевых исследований.

С чего эти исследования начать? Я бы порекомендовал начать смотреть фишинговые сайты, как старые, так и новодел. Как показывает практика, дизайн меняется, а ключевые идеи развода остаются. В эволюционном плане люди катастрофически отстают от машин. Но разве фишинговые сайты просто найти? И да, и нет.

Как найти фишинговые сайты? В большинстве фишинговые сайты используют некорректные написания известных адресов. Например, в слове Sberbank вместо S может быть C (Cberbank). В глаза, конечно, бросается, но человек беспечный может и не заметить. Чтобы не тыкать варианты сайтов руками, предлагаю попробовать DNS Twist [1]. Он сам без всяких проблем подберет варианты и сделает первичный анализ, определить IP-адреса, name и mail серверы.

Из любопытного. Некоторые созвучные сайты со Сбербанком ведут на Aviasales. Ошибся на одну букву в написании и вместо банка уехал покупать себе билеты в лето. А на проект «Семейной команды» Роснефти в феврале 2022 года готовили атаку украинские скамеры, но свернули эту работу в связи с началом СВО. И это становится известно буквально после первых пяти минут работы. Прикиньте, что можно нарыть за добрый час?

Всем доброй охоты!

#инструментарий


2 канала для специалистов по информационной безопасности, которые точно вам понравятся.

Не хакинг, а ИБ — канал для безопасников. Сетевая разведка, защита устройств, багхантинг, анонимность.

Белый хакер — канал для хакеров, которые не хотят попасть за решетку. OSINT, CTF, пентест, социальная инженерия и разработка вирусов.


Меня часто спрашивают, почему я никогда не рассказывал про Overpass Turbo [1]? Армянское радио отвечает – потому что это довольно сложный для использования инструмент. Там нужно как минимум уметь чуть-чуть кодить, разобраться в типах запросов и объектов и многом другом. Так что на освоение этого инструмента нужно потратить не одну неделю.

Полезный ли он? Несомненно. Через Overpass Turbo мы можем создавать сложные API-запросы к OpenStreetMap [2]. А это вам не non penis canina est! OpenStreetMap – это супер-размеченная база данных географических объектов. На каждое здание есть отдельная маркировка, определен его тип, географические координаты и все организации.

Да что там здания, на OpenStreetMap размечены дороги, линии электропередач, даже урны в парках и даже поребрики (кому больше нравится – бордюры)! Это значит, что, найдя фотографию урны, уличного фонаря на фоне небоскреба – вы можете найти это место путем запроса в OpenStreetMap, даже не открывая Google-карты. Хотите подсветить все бункеры возле железных дорог – это тоже можно. Ваши возможности поиска по картам опасно приближаются к уровню всемогущества.

Как освоить Overpass Turbo без танцев с бубном? Увольте, голубчик, даже осваивать ничего не нужно. Берете любой ChatGPT (подойдет даже общедоступная 3,5) и попросите составить нужный запрос. В моем случае нейросетка справилась без труда. Так, составляя новые запросы, вы разберетесь в местном синтаксисе и сможете сначала усовершенствовать предлагаемые запросы, а потом и писать свои без цифровых костылей. Попробуйте сами и удивитесь новым возможностям!

Всем доброй охоты!

#инструментарий


Одна из самых больших проблем Google – персонализированная поисковая выдача. Поймите меня правильно, я не против, чтобы моя поисковая выдача полностью соответствовала моим интересам. Это очень удобно, особенно если ты рядовой пользователь. Но вот если ты исследователь и тебе нужны объективные данные, персонификация поисковой выдачи – твой враг номер один.

Все дело в том, что Google пытается умничать. Он ограничивает результаты по вашим запросам исходя в том числе и из вашего географического положения.

Хроника провалов. Первое, что мы пытались делать для получения объективной выдачи – изменяли настройки поиска. Это помогало, но не сильно. Кстати, если вы ищите немецкие запросы и пишете на латинице (английская раскладка), то к вам в выдачу будут попадать и результаты на английском. А если выбрать конкретный язык (например, немецкий) в фильтрах – то уже нет. И страну тоже выберите Германию. Выдача станет чище.

Был еще вариант с VPN, но и он давал осечки. Начиная с нудного ввода миллиона капчи, заканчивая появлением русскоязычных результатов. Google, судя по всему, знает основные сервера популярных VPN-сервисов и не всегда реагирует на подмену IP-адреса на местный.

Хроника победы. Все изменилось, когда мы стали ставить виртуалки. Мы поняли, что Google ловит нас еще на этапе операционной системы, поэтому ставили чистый Линукс с правильными настройками языка и нужным IP-адресом, который брали через резидентскую проксю. Вот тут, наконец, мы стали получать нормальные, вменяемые результаты.

А что, если без танцев с бубном? Оказывается, это возможно. Есть специальный сервис, называется I search from [1]. Тут вы можете выбрать страну и язык, на котором изволите искать информацию. Можно настроить и другие условия, например, искать не просто так, а будучи залогиненным, включать и выключать персонализацию поиска, а также геолоцироваться до конкретного города. Я сравнил с нашей выдачей и результаты очень похожи. Так что могу рекомендовать!

Всем доброй охоты!

#инструментарий


GEOINT – это душа и сердце OSINT. Именно анализ карт дает самые интересные результаты, которые находят своем применение в разных сферах. Само собой, особенно в военной. На вот встает вопрос, где найти качественные и, самое главное, актуальные карты? Особенно, чтобы в динамике можно было посмотреть изменения.

Раньше было проще. Был Maxar [1] (главный по картам в Пентагоне) и купить снимок нужного участка в высоком разрешении было совершенно нетрудно. Дорого, конечно, но нетрудно. Черт возьми, даже Роскосмос в свое время думал продавать снимки Maxar для органов власти [2]. Даже дочку специальную для этого дела сделали, вроде как. Но, как говорится, пацан к успеху шел. И не дошел. После начала СВО доступ к Maxar был огорожен. Аналогично сделал Sentinel [3]. Как говорится, смотреть можно, а трогать нельзя. Но в любом случае теперь покупать карты можно только через кучу прокладок. Да и то не все, сами понимаете.

Что делать? Пока – пользоваться тем, что есть. Можно попробовать заказать у Роскосмоса, но портал не впечатляет [4]. Еще вариант – искать альтернативные карты. Они может и качеством похуже, но все равно выдают достойные варианты. Ну и еще вариант – изучите как следует портал NASA. Там, кстати, есть даже карта с горячими точками [5]. Очень удобно, чтобы определять места работы арты. Так что рекомендую.

Ну и на закуску. Я вообще фанат потыкаться по картам. И больше супер-детализированных карт в сверхвысоком разрешении я люблю только старые карты. Поэтому на портале «Это Место» [6] можно посмотреть, как ваш любимый край выглядел пару сотен лет назад. Зрелище занимательное, уверяю вас.

Всем доброй охоты!

#инструментарий


Как вычислить по IP? Вопрос, достойный самых долгих обсуждений. Для большинства пользователей ответ – никак. И все довольно просто. Когда вы находите чей-то IP-адрес, то видите не его личный адрес, а адрес сети провайдера, внутри которой сидят сами пользователи. Используя GeoIP, например, вот этот [1], я могу вычислить примерный регион, где находится проверяемый. Например: я сижу в офисе на Шоссе Энтузиастов в Москве, а GeoIP указывает на Государственный исторический музей прямо в центре столицы. Вот такая точность.

Но как же тогда оперативники вычисляют преступников?
Методами полевой работы, конечно. Поймав IP-адрес, они пишут запрос провайдеру, собирают логи, а именно кто в их внутренней сети сидел под таким-то IP в конкретное время и заходил на конкретные сайты. Вот тут-то провайдер уже сообщает реальный IP-адрес пользователя внутри своей сети, а с ним ФИО и адрес абонента. И пативэн уже в пути. Так деанонят и в соцсетях, и в Телеге.

Так как же найти IP-адрес бармалея? На помощь нам приходят ловушки. Они бывают как массмаркетовые, так и крафтовые. Массмаркет – это Bitly [2]. Укоротил ссылку, сделал переадресацию и порядок. Каждый, кто пройдет, оставит свой IP. Еще вариант – Grabify [3]. Работает точно также. Но есть и более изощренные крафтовые схемы. Для мамонта делается специальный сайт, зайдя на который он и отдаст свой IP. Ну или отдельная страничка с трекером на вполне себе официальном ресурсе, например, на сайте газеты. Главное, чтобы проверяемый совершил целевое действие – перешел по ссылке.

Как себя обезопасить? Все просто: используйте firewall [4], VPN [5] или заверните весь траффик в Tor [6]. Я уже рассказывал, как это делается в предыдущих постах. Делов там на час, а пользы от безопасности – тонна. Не поленитесь это сделать и никакие ловушки вам будут не страшны. Ну, почти. Если вы не ломали Пентагон, то искать вас у провайдеров VPN или бегать за хозяевами нод Tor из Австралии и Сингапура никто не будет.

Всем безопасности!

#инструментарий

23k 2 532 153

OSINT в Телеге остаётся вопросом животрепещущим. Все из-за того, что позиционируется Телеграм как соцсетка с высоким уровнем приватности, соответственно, расследования в ней осложнены. Так-то оно так, да не так. Умельцы придумали целый ворох инструментов для сбора разного рода информации. И их так много, что одного канала для них не хватит.

Слава яйцам, у нас есть Github. Я обожаю осинтеров и программистов за наличие супер-активного комьюнити. Там бесплатно можно найти то, что должно продаваться за большие деньги. Это касается и аналитики Телеги. На мой взгляд, один из лучших Telegram-OSINT листов собрал человек под именем cqcore [1].

Что там есть? Все, что нужно уважающему себя джентльмену от разведки. Это огромная подборка блогов по всестороннему исследованию Телеги, самые крутые расширения для браузера (tgstat они не заменят, но будут удобно лежать под рукой). Список порадует вас офигительным подбором сторонних инструментов. Без шуток, некоторые из них для меня оказались открытием! И что самое приятное, есть ссылки на другие awesome-листы.

Низкий поклон за труд, как говорится. Так что если вы хотите начать конкретно изучать OSINT в Телеге - начните с этого ресурса. Он будет отличным подспорьем!

Всем доброй охоты!

#инструментарий


Когда речь заходит про анализ социальных сетей нельзя не вспомнить про парсеры. Парсеры изначально создавались для сбора баз данных о пользователях соцсетей. И собрать такую базу можно было по любому критерию. Хотите базу из жителей Барнаула от 18 до 35 лет, которые играют в дартс? Легко. Список людей, у которых день рождения? Тоже можно. Или день рождения любимого человека? Не вопрос. Магия парсеров в их невероятной гибкости.

Зачем это нужно?
Для таргетированной рекламы, конечно. Допустим, мы торгуем кроссовками и нам нужны люди, которые эти кроссовки хотят купить. Как их найти? Элементарно, Ватсон! Ставим на контроль группы конкурентов и собираем тех, кто недавно в них вступил. И именно на них нацеливаем рекламную кампанию, пока они не купили у конкурентов. Так что возможности сбора базы ограничиваются лишь вашей фантазией.

Парсеры неоднократно нам помогали в расследованиях. Собрать пересечения студенческой и лютой оппозиционной группы для построения графа и выявления лидеров мнений? Или же поиск детей, которые могут стать целью для групп смерти? Анализ подростковой преступности? Да, все эти задачи можно решить (и решались) с помощью парсеров.

Что он умеет?
Да практически все. Функций в большинстве из них – не перечесть. Из важного: поиск пересечений между группами, сбор страничек со ссылками на другие соцсети и контакты, выявление активистов, сбор лайкеров с фотографий и постов, парсинг самих комментариев для последующего семантического анализа, поиск новостей и постов по ключевым словам и геометкам. И это далеко не все.

Как говорится, тут надо не слушать, а пробовать. Перейдите на парсер Баркова и просто посмотрите, сколько там всяких функций. Второй парсер в моем списке – Target Hunter. Он чуть послабее, но тоже имеет все самые главные фичи. И, кстати, стоят они копейки по сравнению с другими системами работы с соцсетями. И большой плюс – есть режим оплаты на один день. Идеально для разовых исследований. Из минусов - работает только с ВК и Одноклассниками.

Всем плодотворной работы!

#инструментарий







Показано 20 последних публикаций.