Как деанонят мошенников Ч1

NOPaper

Участник
54
4
9 Янв 2021
Деанонимизируем интернет-мошенников. Получение IP-адреса собеседника.

Представьте себе ситуацию: вы стали жертвой мошенника в интернете и хотите его наказать. Естественно, самым разумным решением будет написать заявление в полицию, но в полиции не способны найти преступника, например, по профилю в Телеграм. Телеграм данные пользователя правоохранительным органам не выдает, и может получиться замкнутый круг. Вам нужен IP-адрес мошенника, и я предлагаю получить его самостоятельно. Для этого достаточно, чтобы злоумышленник просто открыл вашу ссылку на изображение. Сервисов для получения IP-адреса через ссылку достаточно, в нашем материале мы используем один из них. Для создания ссылки-ловушки перейдите на этот Для просмотра ссылки Войди или Зарегистрируйся и укажите ссылку на изображение, которое хотите показать мошеннику. Дальше жмете Установить изображение и получаете ссылку, по которой надо перейти злоумышленнику. ловушка для получения IP Если вы хотите поймать мошенника, делайте ловушку качественной, вам потребуются навыки социальной инженерии и предложение-приманка. Можно, например, написать: «Я выслал вам деньги, вот фотографии чеков /ссылка/, всего 10 000 рублей, проверьте». Если мошенник обманом получил у вас только 5000, он заинтересуется, почему было отправлено больше и где отправленные деньги. Чеки об оплате выложите на хостинг картинок и используйте для ссылки на изображение при создании ловушки. Все должно быть максимально правдоподобно, чтобы мошенник не догадался, что ему устроили западню. Если вы опасаетесь осведомленности мошенника о подобных ловушках, можно замаскировать ссылку при помощи сервиса коротких ссылок, например bitly. После передачи ссылки мошеннику и его перехода по ней на страницу появятся данные о переходе, включая точное время, IP-адрес, браузер и операционную систему. Вам надо периодически обновлять страницу для отслеживания результатов. Хакер попался в ловушку Для получения информации об IP-адресе, перейдите по кнопке с изображением земного шара. Вам будет предложена информация по IP-адресу мошенника, но я бы не преувеличивал точность этих данных, потому как определяется регион регистрации IP-адреса, а не его текущее местонахождение. Однако имея IP-адрес, можно обращаться в правоохранительные органы с заявлением. Этот способ не сработает, если мошенник использует средства сокрытия IP-адреса, например VPN, proxy или Tor. Это станет видно при проверке IP-адреса: вместо интернет-провайдера там будет хостинг-провайдер, например, на картинке ниже это WORLDSTREAM. сведения об IP Конечно, правоохранительные органы могут отправить запрос хостингу или VPN-сервису, но на практике это происходит не часто и еще реже дает положительный результат.



Cross-device tracking. Деанонимизация пользователя ТОР, ВПН и Прокси при помощи звуковых маячков.

Cross-device tracking – тип атак, представляющих возможность отслеживать пользователя параллельно через несколько устройств. Это давняя мечта маркетологов, однако не только маркетологам понравилась эта технология: она оказалась эффективной при деанонимизации киберпреступников, использующих для сокрытия подлинного IP-адреса Tor, VPN и proxy. В данной главе я расскажу о звуковых маячках – очень опасной атаке типа cross-device tracking, позволяющей деанонимизировать пользователей VPN, Tor или proxy, даже если последние все делают правильно. Вам не нужно лезть в дебри технических знаний, вы должны понять лишь принцип ее работы и методы защиты. Наверняка вы сталкивались с социологическими опросами, когда вам звонят домой и спрашивают, смотрит ли кто-нибудь сейчас телевизор и если да, уточняют, какой канал. Таким образом обзванивается, например, 1000 человек и рассчитывается процентное соотношение. Это нужно каналам, чтобы, во-первых, понимать интересы аудитории, а во-вторых, охват – это важно для продажи рекламы. Важно это и маркетологам, чтобы точнее подбирать время заказа рекламы и оценивать объем просмотров заказанной рекламы. Однако этот способ получения данных дорог, имеет высокую погрешность и относительно малый охват. А представьте себе, что ваш голосовой помощник в телефоне, который, как вы наверняка могли убедиться, прекрасно понимает живую речь, будет прослушивать периметр и определять, какой канал вы сейчас смотрите. Для этого реклама на канале будет содержать фразы-маячки (например, будет звучать «реклама на Первом федеральном»), которые телефон ловит, а затем отсылает на сервер информацию, что сейчас вы смотрите определенный канал или слушаете такую-то радиостанцию. Это дешевая и эффективная технология, но инженеры хотят сделать ее еще совершеннее и использовать звуковые сигналы, которые не способен распознавать слуховой аппарат человека. Судя по выступлениям, инженеры неплохо преуспели в этом. Но мы не курс по маркетингу, и эта технология интересует нас исключительно как инструмент деанонимизации. Сайт открылся – и хакер спалился Представьте себя очень опасным хакером, которого разыскивает ФБР. Вы заходите на сайт-ловушку, подготовленный специально для вашей поимки. Это абсолютно безвредный сайт, никаких атак он производить не станет, это может быть даже страничка популярного сайта, владелец которого совместно с ФБР создаст ее для вас. Вы спокойно путешествуете по сайту, простой атакой вас не взломать, вы хорошо подумали о безопасности и используете Whonix. Это действительно очень хорошая защита от способов активной деанонимизации. И вот вы заходите на сайт и слышите звук, но ничего подозрительного и опасного не происходит. Даже если вы что-то заподозрите и закроете сайт, ничего уже не изменить. Этот звук слышит ваш телефон, и для него это сигнал. Предположим, разработчик голосового помощника на вашем мобильном устройстве или одного из приложений, имеющих доступ к микрофону, сотрудничает с ФБР. Данные о получении сигнала будут незамедлительно переданы устройством на сервера вместе с координатами и IP-адресом. Да, на компьютере у вас стоит Whonix, но маловероятно, что и ваш телефон защищен столь же надежно. Вы все делали правильно, просто учли не все. Если вам когда-нибудь потребуется ноутбук с максимальной безопасностью, необходимо отключить звук, лучше паяльником, но можно и при помощи настроек. Мы уже давали подобную рекомендацию в главе о другой угрозе – прослушке через динамики и колонки. Совет При настройке максимальной анонимности отключите динамики, и лучше на уровне проводов. Второй совет вам понравится меньше: если вы Эдвард Сноуден и вас активно разыскивает ФБР, вам стоит отказаться от смартфона. Используйте простой кнопочный телефон либо специальный телефон, ориентированный на безопасность, с сильно ограниченным функционалом и списком установленных приложений. Это же касается и планшета. Совет Откажитесь от смартфона либо используйте специальные модели устройств, ориентированные на безопасность. А если вы простой пользователь и хотите настроить свою безопасность без необратимой потери звука, в главе о настройке браузера мы настроим ограничение воспроизведения звуков. Это хотя и базовая, но надежная защита от деанонимизации при помощи звуковых маячков. Совет Настройте ограничение воспроизведения звуков в браузере. Почему эта атака так эффективна Обычно деанонимизация предполагает получение подлинного IP-адреса, и из этой главы вы знаете, как не просто бывает по IP-адресу установить личность, особенно если киберпреступник находится в другой стране. В случае cross-device tracking телефон может отправить всю информацию на блюдечке: и координаты, и номер телефона, и контакты в адресной книге, и аккаунт Google/Apple, и историю звонков/СМС, и список используемых Wi-Fi – этого более чем достаточно для установления личности. А работает ли способ деанонимизации при помощи звуковых маячков Работает. По данной ссылке вы можете посмотреть демонстрацию деанонимизации пользователя Тор при помощи cross-device tracking, причем в данном случае используются не слышимые для человеческого уха звуки.