Вы используете устаревший браузер!

Страница может отображаться некорректно.

  • добавить в избранное
    Добавить в закладки

Ты наследил – тебя отследили

Прочитали: 2312 Комментариев: 100 Рейтинг: 100

Скажи:
Какой ты след оставишь?
След,
Чтобы вытерли паркет
И посмотрели косо вслед,
Или
Незримый прочный след
В чужой душе на много лет?

Леонид Мартынов

Уже много лет на петербургском пятом канале идет сериал «След». Главный его посыл — преступник всегда оставляет следы, по которым он неизбежно будет вычислен. Правда, в сериале больше речь идет о физических следах человека. Но не меньше, чем в реальной жизни, многие из нас «следят» и в виртуале.

Итак, стоит задача: найти человека (в России или за ее пределами — не суть важно). Как это сегодня делается?

! Мы обращаем внимание наших читателей, что в данном выпуске ссылки ведут на ресурсы, материалы которых при внимательном чтении вызывают массу вопросов. Например:

Как удалось установить The Insider еще в мае 2017 года, в Fancy Bear работают действующие сотрудники ГРУ из войсковой части №26165.

https://theins.ru/politika/120430

Очень интересно, переходим по ссылке. Единственный раз упоминание о Fancy Bear встречается в следующем абзаце:

Десятки организаций в сфере кибербезопасности из разных стран, изучившие деятельность группировок, известных как Fancy Bear и Cozy Bear, собрали достаточно данных, свидетельствующих о том, что представители этих двух группировок действуют из крупных городов России, владеют русским языком, работают по российскому рабочему времени (отдыхая в те дни, которые в России являются выходными) и атакуют те цели, которые могут интересовать российское правительство — как за рубежом (Хиллари Клинтон, Эммануэль Макрон, целый ряд европейских политиков и журналистов, НАТОвские военные объекты, цели в Украине и Грузии и т.д.), так и внутри страны (оппозиционеры, журналисты, сотрудники НКО). Отрицать связь хакеров из этих двух группировок с Россией сегодня уже невозможно.

Все! И никаких «мы установили»…

Тем не менее, методы поиска конкретных людей по оставленным ими следам весьма интересны. Все случаи мы приводить не станем, выберем лишь некоторые.

Итак: искомое лицо по открытой связи сообщило номер своего мобильного. Пробиваем его по открытым базам:

В выложенных прослушках СБУ есть телефон «Ориона», — +380634119133 — и этот номер действительно можно найти в открытых базах: например, в приложении TrueCaller (которое, по сути, является объединенным телефонным справочником всех пользователей этого популярного приложения). В TrueCaller этот номер обозначен как Oreon (такое же написание — через «E» — использовала и СБУ).

https://theins.ru/politika/103853

Ошибка №1. Искомое лицо, занимаясь делами, интересующими третью сторону, использовало открытую линию связи для передачи своих контактных данных.

Ошибка №2. Искомое лицо использовало на работе свой личный телефон.

Затем просматриваем контактную информацию:

В аналогичном сервисе с базой телефонов Get Contact The Insider и Bellingcat удалось обнаружить некий российский номер, обозначенный как «Андрей Иванович Иванников, ГРУ»

Без комментариев.

Теперь поищем в поисковиках. И действительно, «Google знает все»:

Если вбить этот номер в Google или «Яндекс», можно обнаружить заказ в онлайн-магазине на имя Олега и на адрес «улица Полины Осипенко 76».

На самом деле официальная нумерация строений на этой улице заканчивается на доме 22, но если пройти чуть дальше, то там и правда можно увидеть дом с таким номером — это здание штаб-квартиры ГРУ, Хорошевское шоссе 76.

Если вбить этот телефон в Google, первой же ссылкой всплывает и адрес Иванникова.

Исходя из этого имени и адреса Bellingcat и The Insider нашли и сына Иванникова, который сейчас живет и работает в Швейцарии. А уже через сына — опять же, через базу, находящуюся в открытом доступе — удалось найти и домашний телефон.

Ошибка №3. Не следует «светить» свое место работы. Кроме того, стоит следить за тем, что публикуют твои родственники.

Еще один поиск. Было обнаружено место жительства искомого лица:

Вот скан денежного перевода через Westerm Union из материалов дела. Внимательно смотрим адрес отправителя — Москва, Хорошевское шоссе, 76 в заказе брони на booking.com Шишмаков указывает, что будет платить корпоративной кредиткой.

https://theins.ru/politika/108304

Опять использование рабочего адреса, и никакой маскировки. Да еще и корпоративная кредитка при выезде на задание.

Еще одно искомое лицо было найдено через списки участников конференций. Интересно отметить, что персональные данные прислали без каких-либо вопросов:

В «Эврике» также сообщили, что «в открытых источниках» можно найти информацию, что Рошка в 2016 и 2017 годах тоже участвовал в конференции ПАВТ.

The Insider разослал письма всем участникам конференции ПАВТ 2014 года с просьбой выслать состав участников за 2016 и 2017 год. И один из адресатов переслал оба документа.

В 2016 году напротив имени Георгия Рошки значилось «Войсковая часть №26165, специалист».

https://theins.ru/politika/58803

А вот еще одна база данных, но на этот раз – утекшая:

На адрес войсковой части №26165 (подразделение ГРУ, связанное с хакерскими атаками) зарегистрированы автомобили 305 сотрудников, среди которых и выявленный европейскими спецслужбами ГРУшник Алексей Моренец. Как удалось выяснить Bellingcat и The Insider, в относительно легкодоступной базе ГИБДД эти сотрудники указаны со всеми паспортными данными и мобильными телефонами, многие — с указанием этой войсковой части как места работы.

По сути это означает, что любой человек с доступом к базе ГИБДД (а это одна из самых доступных баз данных в России) может получить имена, паспортные данные и мобильные телефоны нескольких сотен сотрудников ГРУ. Причем не простых сотрудников, а служащих именно той самой войсковой части, которую обвиняли в самых скандальных хакерских атаках последних лет.

Другой выявленный западными спецслужбами ГРУшник Алексей Минин указывал в качестве своего адреса улицу Народного Ополчения, 50. Это Военная академия Министерства обороны (она же в/ч 22177).

https://theins.ru/wp-content/uploads/2018/10/minin.jpg

https://theins.ru/politika/120430

Еще одно расследование. В данном случае подозреваемых было много, взяли тупым перебором вариантов:

Когда The Insider и Bellingcat начали искать Мишкина, все, что было известно — данные из паспортного файла на имя «Александра Петрова», которые, как и его фамилия, могли быть фальшивыми. Британские СМИ, впрочем, со ссылкой на свои источники сообщали, что имя Александр было подлинным. Выходцы из Архангельской области также подтверждали, что диалект «Петрова» был довольно натуральным для Котласа (который значился в паспорте прикрытия как его родной город). Это наводило на мысль о том, что и какие-то другие данные из паспортного файла могли быть либо истинными, либо близкими к истине. Как уже было известно из предыдущих расследований (например, в случае с Эдуардом Шишмаковым-Широковым), сотрудники ГРУ, получая паспорт прикрытия, могут сохранять реальное имя и дату рождения.

В распоряжении Bellingcat имеется ряд баз данных по многим регионам, но сложность состояла в том, что Александров Евгеньевичей, родившихся 13 июля 1979 года в России, вероятно, много. The Insider и Bellingcat предположили, что реальным может быть и город, обозначенный в паспортном файле как место получения предыдущего паспорта — Санкт Петербург. Александр Евгеньевич с датой рождения 13 июля 1979 года в Петербурге оказался всего один — и им был Мишкин.

Адрес Мишкина в базе данных был обозначен как «Улица 374» (в этой базе данных он обозначает улицу Академика Лебедева), дом 12, квартира 30.

В базе был и номер телефона, по которому удалось обнаружить еще семерых человек, прописанных по тому же адресу, из чего следовало, что это коммунальная квартира.

Двоих жильцов этой квартиры удалось найти в соцсетях, где они обозначены как выпускники ВМедА. Сам Мишкин в соцсетях не обнаруживался, но, если исходить из полученных данных, представляется весьма вероятным, что он также учился во ВМедА. Мишкин обнаружился и в телефонной базе, но уже как житель Москвы:

#drweb

Поиск по имени и телефону выдал его в базе данных по страхованию автомобилей как владельца Volvo XC90.

#drweb

Отдельно просмотрев историю машины, удалось обнаружить, что она была зарегистрирована в Петербурге в 2012 году, а затем перешла во владение человеку, зарегистрированному в Хорошевском районе:

#drweb

В более свежей базе страхования автомобилей адрес владельца указан более определенно, Хорошевское шоссе 76, адрес штаб-квартиры ГРУ.

#drweb

После этой находки The Insider и Bellingcat начали описанные выше поиски знакомых с Мишкиным во ВМедА, и два выпускника подтвердили, что узнают в портрете «Петрова» человека, учившегося во ВМедА.

https://theins.ru/politika/121142

https://theins.ru/politika/118927

Итого, что привело к раскрытию личности:

  • использование личных устройств во время работы;
  • передача личных данных в небезопасной среде в открытом виде;
  • использование интернет-сервисов с рабочего места и в рабочее время (например, заказ товаров);
  • публикация своих фотографий в общем доступе.
#анонимность #персональные_данные #приватность #слежка

Dr.Web рекомендует

Мы неоднократно писали о том, что в современном мире каждый наш шаг регистрируется в различных базах данных. Приведенные примеры показывают, как легко в случае необходимости и имея на руках крайне малое количество информации можно найти человека.

И еще. Многие компании относятся к защите персональных данных спустя рукава, забывая, что возможность отыскать кого-либо по этой информации зависит лишь от возможностей атакующего. Для рядового гражданина может оказаться сложно найти человека, даже зная его адрес проживания. А атакующие, имеющие доступ к различным базам данных, могут найти (как показывает случай, описанный выше) человека фактически лишь по ФИО и году рождения.

Защита своих персональных данных – личное дело каждого. Чем более беспечно мы относимся к этим данным, тем более вероятно, что когда-то за это придется поплатиться.

Получайте Dr.Web-ки за участие в проекте

Каждая активность = 1 Dr.Web-ка

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Чтобы получать награды надо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: