Отслеживание и деанонимизация преступников в DarkNet с использованием SocialPath

SocialPath - это приложение написанное на Django для сбора информации в социальных сетях по конкретному имени пользователя. Оно собирает сведения из Twitter, Instagram, Facebook, Reddit и Stackoverflow, сортирует по частоте используемых слов, хэштегам, времени, упоминаниям, смежным аккаунтам и представляет в виде диаграмм с использованием D3js. Такой подход помогает отслеживать пользователей с уникальными никнеймами в даркнете.

Введение

В моих предыдущих статьях вы могли прочитать о том, как собирать геопространственные данные, информацию о доменах, находить утечки или вредоносные программы. Настало время заглянуть в социальные сети с точки зрения OSINT.

Социальный медиа-интеллект (SOCMINT) одна из главных составляющих OSINT, непрерывно связанная с агентурной разведкой (HUMINT). В настоящее время люди используют различные платформы для обмена информацией о себе и не догадываются о том, кто и зачем может использовать сведения об их привычках, интересах, посещенных местах и, очевидно, мнении. Мониторинг социальных сетей широко используется различными агентствами для поиска по используемым пользователями словосочетаниям, хэштегам, для отслеживания активности и установлении взаимосвязей. Есть много сценариев, при которых SOCMINT полезен, например, при слежке за активностью бот-сети в твиттере, поиске фотографий по геолокациям или выявлением действующих преступников. Последнее возможно благодаря использованию одного и того же никнейма одним пользователем во всех социальных сетях. Это обычное дело, если вы популярны и хотите, чтобы вас все знали лишь по одной строке. Однако, всегда стоит помнить, что смешивать личность из даркнета с хакерских форумов, с реальной страницей из социальных сетей - не есть хорошо.

Как правило, такой подход обеспечивает молниеносную победу правоохранительных органов над вами. Я читал множество кейсов, в которых торговцы наркотиками из даркнета использовали один и тот же ник на сайте торговой площадке и в Твиттере. Отсутствие базовой операционной безопасности (OPSEC) привело к поимке этих парней.

Я провел исследование, в ходе которого выяснил, что повсеместное использование одних и тех же никнеймов во всех социальных сетях довольно распространено для пользователей даркнета.

Исследование

На основании открытых уголовных дел, обвинительных заключений, объявлений Министерства юстиции и различных статей, я собрал методы, которые правоохранительные органы используют для расследования дел с пользователями даркнета, вовлеченных в незаконную деятельность. Лично меня чтение таких вещей, как рассекреченные документы, запросы, жалобы или поощрения FOIA увлекают больше, чем любые книги. Читая такие сведения, вы можете получить представление о каком - то конкретном деле, сделать свои собственные выводы и исследовать методы, используемые правоохранительными органами для деанонимизации пользователей Darknet.

Для проведения исследования, я выделил для себя один форум в даркнете, с которого и будут собраны общедоступные сведения о преступниках, чтобы затем найти их в различных социальных сетях, таких как Facebook, Instagram, Twitter, Stackoverflow и Reddit. Здесь стоит сделать важное замечание - выбор форума играет очень важное значение в итоговых результатах, которые будут получены по окончанию расследования. Если вы выбрали какой - нибудь македонских сайт, то и искать аккаунты преступников стоит в соответствующих соц. сетях.

Повторюсь, что данный способ мы будем использовать для деанонимизации пользователей, которые используют один и тот же никнейм на всех сайтах, на которых они регистрируются. Чтобы убедиться, что оба аккаунта (даркнет и клирнет) принадлежат одному и тому же лицу, проводится дополнительный анализ фотографий, слов, таймлайнов или интересов.

Одни и те же аккаунты

Давайте рассмотрим дело Соединенных Штатов против Абдуллы Альмашвали.

Поиск по адресу электронной почты, связанный с публичным PGP ключом, который был указан на одном из сайтов, позволил обнаружить профили его владельца в социальных сетях. После этого правоохранительные органы получили ордер на "обыск" для каждого аккаунта с доступом к личной переписке. Основной ошибкой здесь было использование одного и того же ника из электронной почты на остальных сайтах, на которой регистрировался преступник.

Все сайты социальных сетей регулируются надлежащим законодательством, и правоохранительные органы могут выудить из них достаточно информации, получив ордер на обыск. Ниже вы можете найти пример того, какую информацию правоохранители вытащили из аккаунта на Reddit, из дела против Маркоса Пауло Де Оливьерия-Аннибале.

Фотографии

Повсеместное использование одного и того же никнейма - не лучшая идея, но повсеместное изображение одних и тех же изображений в профиле - еще хуже. Дело NarcoBoss (Соединенные Штаты Америки против Генри Коффи) показывает, что одним из поводов для объединения двух аккаунтов была одна и та же картинка профиля, которую он использовал на двух рынках даркнета.

Иногда одна картинка вместо тысячи слов, а дело «США против Уайетта Пасека» показывает, что после выявления подозреваемых в социальных сетях все было предельно ясно. По какой-то причине торговцы наркотиками хотят чувствовать себя рок-звездами и повсюду хвастаться своим богатством, но в конце концов это оказывается лишь еще одним доказательство в суде.

Словосочетания

Интересным аспектом исследований такого типа является сравнение использованных слов. Специалистам по лингвистическому анализу часто приходится определять настоящую страну происхождения человека. Некоторые слова, предложения или идиомы имеют уникальное значение в разных странах, и на основе этого проводится исследование, чтобы можно было связать стиль письма людей. Аккаунты OxyMonster были объединены из-за «большого сходства в использовании слов и знаков препинания».

У людей есть привычки совершать одну и ту же ошибку снова и снова в определенных словах, это также может быть использовано против них.

Кроме этого, при проведении экспертизы, содержимое каждого сообщения проверяется вручную, чтобы установить связь с ранее найденными фотографиями, сообщениями в социальных сетях и другой информацией. Еще одно доказательство по делу Med311n свидетельствует о том, как агенты нашли фотографии с книгой «Гоморра» на заднем плане и нашли упоминание о ней на форуме Уолл-стрит-маркета.

Ручной просмотр всех постов, твитов или фотографий, возможно связанных с отдельным человеком, очень утомителен и требует много времени.

Упоминания о других пользователях также интересуют следователей, поскольку они создают сеть, с которой взаимодействует подозреваемый. Среди найденных упоминаний могут быть его настоящие друзья не соблюдающие информационную гигиену, виртуальные друзья или другие его аккаунты.

Временные метки

Не стоит отчаиваться, если вы не нашли достаточно компромата. Не забывайте, что вся активность пользователей в социальных сетях отслеживается и логгируется. Большое значение играют временные метки, которые показывают, когда пользователь каким-либо образом был активен, опубликовал фотографию, прокомментировал или взаимодействовал с кем - то. Я снова упомяну дело Med3l1n в качестве примера того, как можно связать действия социальных сетей и человека из Darknet. Отсутствие активности на рынке в даркнете и фотографии из отпуска в Майами, в социальных сетях, позволили правоохранителям выяснить, что это один и тот же человек.

Любой, кто проводит такое расследование, должен учитывать часовой пояс. Ранее мы искали страну происхождения при помощи лингвистической экспертизы. Но поводом, чтобы вас найти, может послужить и часовой пояс. Говорить о том, что вы работаете с 9 до 5 и сообщать при этом часовой пояс - не лучшая идея.

Прочее

Это смелый поступок - зарегистрировать товарный знак, связанный с вашим профилем в DarkNet. Любой, кто занимается криминальной деятельностью в даркнете, должен ожидать, что его никнейм уже есть в базе данных правоохранительных органов, и каждое упоминание о нем отслеживается или будет отслеживаться в виртуальном мире и в реальной жизни.

Конечно, это не решающее доказательство, а лишь возможная улика для всего дела, которое включает перехват посылок, физическое наблюдение или записи мобильных звонков. Но разведка социальных сетей играет решающую роль во всем расследовании.

Проблема, которая появилась при проведении исследования, заключалась в том, как сравнивать пользователей из разных социальных сетей. А еще как сравнить их активность, аватарки, используемые слова и сообщества?

SocialPath

SocialPath - это простое приложение для поиска учетных записей в таких социальных сетях, как Facebook, Instagram, Twitter, Reddit и Stackoverflow. В качестве бэкенда я выбрал Django, а на фронте активно используется D3js для рисования графиков. Получаемые результаты представлены в виде плиток с изображениями профиля и базовой информацией, такой как биография, URL из биографии, подписчики или друзья. Страница сведений содержит диаграммы, основанные на активности пользователя, то есть heatmap календарь, диаграмму lolipop, диаграмму прокрутки и wordcloud.

При вводе имени пользователя, происходит редирект в панель инструментов с учетными записями, которые вы уже искали ранее. Начнется процесс сбора информации и в течение пары минут, будет получено изображение профиля вместе с основной информацией о нем.

Если искомый профиль действительно существует, вы можете нажать на его фотографию и перейти на страницу с подробной информацией. Если пользователь с указанным никнеймом не существует, вы увидите сведения о похожих учетных записях. Эта опция также активирована по-умолчанию в разделе WorldCloud, если учетная запись существует.

Полные данные включают в себя вышеупомянутые интерактивные диаграммы для каждого существующего пользователя. Календарь Heatmap, известный многим из Github, показывает, когда пользователь совершает какое - либо действие, к примеру, публикует фотографию или твит. Нажатие на каждый активный квадрат перенаправит вас к списку действий, совершенных с этого конкретного дня.

На диаграммах Lolipop собраны хэштеги с Twitter, Facebook и Instagram, теги с Stackoverflow и сабреддиты с Reddit. Он показывает, сколько раз пользователь включал хэштег, сколько раз он был активен в определенном теге или субреддите.

Частота слов иллюстрируется с помощью таблицы прокрутки. Трудно визуализировать все слова, использованные человеком единожды. Поэтому я собираю 500 самых популярных слов, используемых пользователем в комментариях, твитах, постах и т. Д. И их частоту.

Wordclouds используются для представления разнообразия взаимодействия с пользователем. Например, для Reddit он показывает положительные отзывы, поэтому легко проверить конкретный пост с конкретными отклонениями. Это быстрый способ определить, нравится ли пользователю сообщество и какой пост набрал больше или меньше голосов. После нажатия на конкретный номер, произойдет перенапревление на соответствующий пост или комментарий.

Ограничения

Приложение использует API-интерфейсы, поэтому вам необходимо указать все соответствующие ключи в файле конфигурации. Из-за действующей политики Facebook загружаются только те сообщения, для которых API не нужен. Также Stackoverflow не требует аутентификации для менее чем 300 запросов в день (я ее не стал реализовывать). Instagram позволяет использовать их общедоступный API, но иногда с ним возникают проблемы, поэтому лучше собственноручно скопировать Cookie в файл с конфигурацией.

Вы можете посмотреть все таски в интерфейсе администратора.

Это первая версия, и, возможно, в ней есть некоторые недостатки, поэтому любая проблема или запрос на получение ответа приветствуются.

Если вам нужна помощь в OSINT-расследовании, вы можете написать мне @the_wojciech, если нет, можете просто следить за моими исследованиями.

Предоставляя учебные пособия и делясь знаниями, я надеюсь частично покрыть свои медицинские счета. Если вам нравится моя работа и вы используете мои инструменты, пожалуйста, помогите мне, сделав пожертвование на Paypal.

Вывод

По понятной причине я не буду публиковать результаты своего исследования, но вы можете повторить это самостоятельно. Занимаясь нелегальной деятельностью в даркнете, следует помнить, что используемый вами никнейм априори скомпроментирован, и не должен использоваться где - то еще. Суровая реальность часто оказывается жестокой, и преступники очень часто попадают в собственные ловушки. SocialPath показывает, что создавать приложения для разведки не сложно, поэтому у правоохранительных органов припасены более мощные инструменты, обладающие огромной базой данных с ранее захваченных рынков и предполагающие мониторинг в реальном времени.

Прочитать оригинал этого материала на английском можно здесь.

Cybred - канал об информационной безопасности и конкурентной разведке, вдохновленный идеями олдскульных андеграундных интернет-сообществ о свободе распространения информации в сети и всеобщей взаимопомощи.