Усе розпочалося з телефонного дзвінка. У результаті з рахунку було викрадено $243 мільйони в біткойнах. Крадіжка сталася у вересні 2024 року — Molfar раніше писав про цей інцидент. Чималу суму зловмисники викрали, використовуючи методи HUMINT. Зателефонувавши одному з великих криптокредиторів і вдаючи представників служби підтримки Google, вони виманили конфіденційну інформацію. Однак злодії прорахувалися — під час відеодзвінків вони назвали свої справжні імена. Це стало поштовхом до використання методик OSINT для ідентифікації шахраїв та притягнення їх до відповідальності.

У своїй колонці OSINT-агенція Molfar розповідає, що таке розвідка з відкритих джерел (OSINT) та як ідентифікувати шахраїв, починаючи з визначення перших кроків розслідування. Ми розкажемо про ключові етапи та основні стратегії збору інформації.

Скільки зловмисників працювало над операцією з викрадення майже 250 мільйонів? Відомо, що двох злочинців — Wiz (Віра Четала) та Лайту (Аакаша) — ідентифікували після того, як вони помилково оприлюднили свої справжні імена під час відеодзвінка із жертвою. Ще один зловмисник — Грівіс (чиє справжнє ім’я — Малоун Лем) — відповідав за збір інформації про жертву. Викрадені гроші він витратив на розкішне життя: дорогі автомобілі та люксові подарунки. Бокс (Джандхіл Серрано), який телефонував жертві як удаваний представник обміну коштів, також витрачав більшу частину награбованого на предмети розкоші. І Бокс, і Грівіс неодноразово пов’язували «брудні кошти» з приватними активами, можливо, помилково чи несвідомо. Врешті-решт злочинці були заарештовані в Маямі та Лос-Анджелесі з конфіскацією майна на понад мільйон доларів, а $500,000 повернули жертві.

Як самостійно знайти шахрая? Етап перший — шукаємо ідентифікатори обʼєкта дослідження

На першому етапі розслідування важливо зібрати базову інформацію про об’єкт дослідження. Ідентифікатори, виявлені на цьому етапі, допоможуть знайти інші контакти та соціальні мережі особи, що дозволить зібрати більше інформації.

Найбільш поширені ідентифікатори:

  1. ПІБ (прізвище, ім’я та по батькові) використовується для Google-пошуку. Може розкрити згадки в соціальних мережах, на форумах та професійних ресурсах. В ідеальних умовах для найбільш точного пошуку за ПІБ необхідно також виявити дату народження особи. Це дозволить звузити пошук або стане корисним, якщо в особи поширене ПІБ.
  2. Телефони/пошти. Ці контактні дані допомагають, знову ж таки, у пошуку через Google, а також за допомогою спеціальних OSINT-інструментів, ботів та програмного забезпечення, які аналізують соціальні мережі й бази даних.
  3. Акаунти в соцмережах. Профілі в соцмережах містять інформацію про друзів, підписки, вподобання, коментарі, геомітки, що допомагає виявляти зв’язки.
  4. Нікнейми. Так можна знайти акаунти в соцмережах. Профілі особи виявляють через пошуковики або спеціалізованим ПЗ.
  5. Фото. Зображення також можна і варто збирати через пошукові системи, ПЗ на основі нейромереж або через боти для пошуку в соцмережах.
  6. Інше. Адреси, документи особи, банківські та криптовалютні рахунки тощо — це і є ті «інші» ідентифікатори, котрі можуть бути використані для пошуку даних про особу.

Залежно від типу вхідних (вже наявних) даних, процес дослідження може відрізнятись. Тож після виявлення початкових ідентифікаторів особи, слід перейти до наступного етапу — аналізу даних ідентифікаторів за допомогою ПЗ та ботів. Цей етап допоможе виявити інші, часто конкретніші, дані.

Етап другий — аналізуємо ідентифікатори за допомогою софту для OSINT-досліджень

Залежно від типу ідентифікатора, а також локації обʼєкта, необхідно використовувати відповідні інструменти для комплексного та цілісного аналізу. А ще часто вони добряче заощаджують час у ході аналізу.

Існує багато ПЗ та ботів, які виступають як агрегатори даних і таким чином дозволяють шукати за цілою низкою ідентифікаторів. Наприклад:

  • Userbox — це агрегатор даних у вигляді Telegram-боту, що знаходить записи про телефони, пошти та соцмережі в злитих базах даних.
  • X-Ray — ще один агрегатор даних, що дозволяє шукати за ПІБ, контактними даними, нікнеймами, соцмережами, фото.

Окрім того, існують такі інструменти, котрі детальніше досліджують ідентифікатори, ніж агрегатори:

  • WhatsMyName — цей софт дозволяє знаходити сторінки в соцмережах, публікації в мережах та акаунти в додатках за нікнеймом.

Можна використовувати також інструменти, що допомагають шукати за фото людини. Такий софт часто показує схожість людини на фото з особами в публікаціях медіа, на сайтах компаній, архівах соцмереж, на сайтах із фотозвітами вечірок, вебкам-порталах чи сайтах ескорт-послуг.

Є також безліч Telegram-ботів, які можуть допомогти в OSINT-розслідуванні. Однак варто зазначити, що серед них чимало російських. Використання таких ресурсів може нести ризики, особливо якщо вони збирають або обробляють дані користувачів. Рекомендується з обережністю підходити до використання таких інструментів і, за можливості, обирати альтернативи з прозорою політикою щодо обробки даних або залучати фахову підтримку спеціалістів Molfar.

Аналізуємо крипто-транзакції

Часто власники криптогаманців, публікують адреси своїх криптогаманців на різних форумах та сайтах, забуваючи, що все це індексується і стає публічним, а отже — відкритим для OSINT-аналітика. Знайти ці витоки даних допоможе базовий пошуковий запит: site:* intext:0x898e73aDd62E53804A17B991A63B6c312A7FE88D. 

З ним здійснюється пошук згадок про цей конкретний криптогаманець на всіх сайтах які проіндексовані у Google.

Окрім агрегаторів даних використовуємо сервіси для аналізу криптогаманців, наприклад breadcrumbs.app. Це платформа для дослідження криптовалютних гаманців. Показує баланс на гаманці, хто, кому, коли і скільки пересилав, усі пов’язані адреси, приналежність до конкретної біржі або скам-проєкту. Відображає теги й позначки, AML-характеристики вхідних та вихідних транзакцій. Зареєстрованому користувачу дає можливість готувати та вивантажувати різноманітні звіти, будувати mind-мапи, ділитись ними.

Blockpath.com — це, заснована на Reddit, безплатна аналітична платформа, яку варто використовувати для дослідження криптовалютних активів Bitcoin. Показує стандартну статистику за транзакціями, візуалізує їх у вигляді блок-схеми.

Варто використовувати ще і спеціалізовані інструменти для аналізу різноманітних блокчейнів і софт, що використовуються для маркування шахраїв і хакерів.

Arkham Intelligence — безплатний сервіс для розслідувань, повʼязаних із криптовалютою. Працює з більшістю блокчейнів, відстежує транзакції, зокрема — у рамках проєктів DeFi.

Словом, використовуючи такі та подібні сервіси можна встановити мережу криптогаманців обʼєкта дослідження, відстежити транзакції між ними, а також встановити напрямок у якому шахрай виводив украдені кошти. Ця інформація, а також інші докази шахрайства, що були виявлені на попередніх кроках розслідування, дозволять зібрати базу доказів, аби притягнення шахрая до відповідальності.

Весь ланцюг розслідування почався з банальної помилки шахраїв — вони назвали свої справжні імена. Крок за кроком ми пройшли всі етапи розслідування та бачимо, що навіть така дрібниця (здавалося б) як імʼя, іноді може стати вирішальною. Врешті, навіть продумані афери, через які викрадаються сотні мільйонів, можуть «посипатись» через дрібницю.

Читайте такожДані про людину – що можна знайти у відкритих джерелах. Показуємо на прикладі