+7 (812) 677-17-05

Ловушки, которые используют кибердетективы

#

DISCLAIMER: Данная статья написана в ознакомительных целях и не является руководством к неправомерным действиям или обучающим материалом для сокрытия правонарушений.

Логирование

Главное в логировании – скрыть сам факт его наличия. Оно подразумевает фиксацию (протоколирование) данных об устройствах, подключающихся к определенному веб-ресурсу.

Иными словами, получение данных о соединении (ip-адресе, провайдере, городе) и устройстве (модели, операционной системе, версии браузера и т.п.) пользователя.

Если логгер у вас представлен в виде обычной гиперссылки, то очевидным способом его маскировки является использование одного из сервисов по сокращению ссылок:

https://clck.ru/

http://bit.do/

https://bitly.com/

https://www.lnnkin.com/

Кроме этого, маскировка логгер-ссылки может быть осуществлена при помощи функции редиректа (или имитации редиректа) через популярные социальные сети.

Например, для социальной сети ВКонтакте такая ссылка будет выглядеть так: https://vk.com/away.php?to=LOGER-LINK_HERE.

Для YouTube редирект можно имитировать при помощи сервиса: https://webresolver.nl/tools/iplogger. Использование редиректа через легитимный портал оправдано тем, что большинство пользователей не изучают гиперссылку целиком. Они ограничиваются тем, что доменное имя, указанное в начале, принадлежит легитимному веб-ресурсу.

Применение токенов

Сокрытие логирования может происходить путем встраивания логгера в документ MS Office. Это позволяют делать такие общедоступные сервисы, как:

http://canarytokens.org/

https://www.locklizard.com/track-pdf-monitoring/

http://www.mailtracking.com/mailtracking/pmdoctrack.asp

Расследователю следует сгенерировать нужный файл и направить его идентифицируемому пользователю. После того, как последний откроет файл, расследователю станет доступна статистика, включающая данные об устройстве пользователя.

Другим приемом скрытного логирования может быть размещение логгера на внешнем веб-сайте. Лучше всего тут работают сайты, имитирующие новостные порталы.

Одним из самых простых способов сделать это является размещение интригующей новости при помощи сервиса Telegra.ph, имеющего невидимый IPlogger.

Для того, чтобы встроить код с сервиса https://iplogger.com в статью используйте элемент вставки кода <>. Схожий функционал предлагает Telegram-бот @FakeSMI_bot позволяющий сгенерировать любую новость, имеющую встроенный логгер, якобы опубликованную на сайте одного из крупнейших СМИ.

Кликджекинг логирование

Использование внешнего веб-сайта, кроме стандартного логирования, открывает перед кибердетективом возможности по установлению аккаунтов соцсетей пользователя при помощи кликджекинга (соцфишинга).

Данная технология предполагает скрытую авторизацию на внешнем веб-ресурсе через профиль в социальной сети. Для ее использования, на веб-сайте необходимо установить специальный скрипт, который предлагают ряд маркетинговых компаний:

https://socfishing.com

http://soceffect.ru

https://dmp.one

https://wantresult.com

HTML5 Geolocation API

Возможности логирования через внешний веб-сайт также можно усилить возможностью получения геолокации пользователя при помощи HTML5 Geolocation API.

Примеры таких решений:

https://github.com/thewhiteh4t/seeker

https://github.com/jofpin/trape

https://github.com/cryptomarauder/TrackUrl

https://iplogger.ru/location-tracker

Недостатком является то, что HTML5 Geolocation API предполагает наличие согласия на предоставление точных данных о его геолокации из GPS, LBS, WiFi. И даже это, при желании можно обойти.

Логирование через e-mail

Логирование через электронную почту. Отправил электронное письмо идентифицируемому пользователю и ждешь результата.

По такому принципу работает несколько сервисов:

https://www.readnotify.com

https://www.getnotify.com

http://www.didtheyreadit.com

Стоит отметить, что эффективность их крайне низкая. Это связано с тем, что современные почтовые сервисы блокируют следящие модули.

Однако, у нас есть сервис http://canarytokens.org/ и его функция генерации токена для “unique email adress”. Эта функция позволяет получать данные о соединении и устройстве отправителя электронного письма на ящик “TOKEN@canarytokens.org”.

Вы также можете подключить свое доменное имя к Canarytokens, что делается, используя готовый образ для Docker. Это позволит вам скрытно идентифицировать всех отправителей электронной почты в ваш адрес.

Логирование в Telegram

Постепенно переходим от логирования к другим приемам.

Теперь речь пойдет об установлении номера мобильного телефона или геолокации пользователя Telegram. С учетом текущей ситуации и повального исхода всех и вся в Telegram, данные методы как никогда актуальны.

Для идентификации пользователей Telegram применяются специальные боты-ловушки, которые получают номер телефона или геолокацию своего пользователя под видом регистрации или осуществления поискового запроса.

Примеры таких ботов: @addprivategroup_bot, @protestchat_bot, @TgDeanonymizer_bot, @TelpoiskBot_bot, @cryptoscanning_bot, @Checknumb_bot, @LBSE_bot, @GetCont_bot. Имеется даже доступный конструктор аналогичных ботов-ловушек: https://github.com/lamer112311/Dnnme2

Лог-звонок в ВК, Whatsapp, Skype

Схожие приемы могут быть применимы и в отношении любого другого онлайн-сервиса. Так, если идентифицируемый пользователь имеет предустановленные мобильные приложения Skype, VK или WhatsApp, то можно сгенерировать гиперссылку для автоматического звонка или отправления сообщения от его профиля на профиль кибердетектива.

<a href=”https://wa.me/PHONE_NUMBER?text=write_text_here!”>message in WhatsApp</a>

<a href=”skype:LOGIN?call”>call in Skype</a>

<a href=”https://vk.com/call?id=ID”>call in VK</a>

Получение региона пользователя через поиск Яндекс

Ну и напоследок. Если Вы общаетесь онлайн с идентифицируемым пользователем, то он можете попросить его прислать результаты поисковой выдачи Яндекса.

Дело в том, что гиперссылка, формируемая в ходе поискового запроса в Яндекс, может содержать параметр lr= или регион нахождения.

Далее можно сверить полученный Ir c базой нумерации регионов, расположенной по ссылке https://yandex.ru/dev/xml/doc/dg/reference/regions.html

А можно поступить проще, подставив искомый параметр lr= в гиперссылку https://yandex.ru/search/?text=Погода&lr=XXXX. В выдаче появится прогноз погоды для искомого региона.

Вот и все на сегодня. Если Вы знаете какой-нибудь интересный метод для идентификации пользователя в интернете, то поделитесь в комментариях. Надеемся, что наша подборка смогла подарить Вам новые знания и инструменты. До новых встреч.

20.04.2022 Блог
Читайте все свежие новости первыми. Подписывайтесь на нас в Telegram
Том Хантер Том Хантер Pentest Guru

Мистер Том Хантер, вдохновитель нашей компании по обеспечению кибербезопасности

Спасибо

Спасибо, что заполнили форму! Мы свяжемся с вами в ближайшее время по указанным контактным данным!

Обратный звонок

Заполните форму и наш специалист свяжется с вами в ближайшее время.

    Принимаю соглашение об использовании персональных данных