Преступник взломал ПК и оставл SVF файл с информацией о выкупе, нам с помощью OSINT необходимо узнать: Его имя, Емейл, Локацю, установить его крипто-транзакции и глянуть чем еще он промышляет в DarkWeb.Вот фотография, которую оставил нам хакер.Используя командную строку в Kali linux, вводим команду strings и имя файла, выглядеть оно будет примерно так: $ strings sakurapwnedletter.svg | lessВот так будет выглядеть выдачаКликнув на строчку namespaces мы узнаем, что нашего фигуранта зовут: SakuraSnowAngelAikoSakuraSnowAngelAiko – Вот и первый результат! Имя есть пора выяснять E-mail.Обратимся к гуглу и посмотрим, что он нам выдаст.Не так уж и много информации, но с этим уже можно работать.Но нам все еще нужен его Емейл. Как указано в его рабочем профиле, Aiko инженер-программист, значит у него должен быть GitHub.А вот и он: https://github.com/sakurasnowangelaikoТеперь обратимся к его PGP.https://github.com/sakurasnowangelaiko/PGP/commit/df43e6813e861a01fe3a9996214b01fe5e95c81cРасшифровать его нам поможет вот этоn decoder: https://cirw.in/gpg-decoderДалее немного сложнее, мы займемся финансовой разведкой и установим крипто-кошельки хакера, и какие транзакции он на них совершал.Исходя из активности видим что очень часто используется ETH.Иногда мы выкладываем информацию, который бы лучше не делиться, там же в категории update лежит и крипто-кошелек нашего хакера.0xa102397dbeeBeFD8cD2F73A89122fCdB53abB6efТеперь нам нужно определить, из какого майнингового пула наш хакер получил транзакции 23/01/2021.Для этого нам потребуется сервис https://etherscan.io . Он бесплатен и позволяет по адресу кошелька глянуть, чем занимался наш Аико.Там же мы можем видеть, что хакер отправлял с своего кошелька TetherСледующая действие, хакер понял, что мы его ищем и скидывает нам следующее сообщение:Ну что сказать. Нервы заставляют делать ошибки, но для нас это хорошо.Конечно на этом этапе, мы уже понимаем, что наш Хакер не самый умный на свете, потому что удалив старый аккаунт, он упоминает свой никнейм в новом. Следующий вопрос, также указывает на iq - 100 у нашего “объекта” исследования, а именно: На каком url храняться пароли. Казалось бы задачка уже на уровне CIA, но нет. Все проще.Дальше идет финт ушами, в дарк-вебе есть место куда со своим хэшем вы можете спокойно кидать свои пароли, штука в том, что хэш должны знать только вы.Выглядит это место для анонов примерно вот так, ответ находится в верхнем левом углу.Далее нам нужно найти MAC-адрес вайфая нашего хакера, делается это с помощью инструмента wigle.net. Работает. Нужный ввод DK1F-G (на сайте надо регистрироваться, но это того стоит) Мы в финальной фазе поиска нашего хакера, теперь нам нужно установить его гео-локацию.Необходимо найти:Аэропорт из которого он вылетел, где он отдыхал перед отлетом, а также озеро которое он выложил у себя в Twitter.Последняя фотка сделанная перед перелётом выглядит так:Не буду это расписывать, но через поиск Google Lens, можно прийти к выводу, что это Вашингтон.А по этой картинке вполне можно понять, где отдыхал наш хакер перед перелетом.Озеро устанавливается по простому поиску в Google EarthНу а где же живет наш хакер?Мы уже знаем ответ из этой картинки:Данный материал переводом видеозаписи Motasem Hamdan от Schwarz_Osint.В принципе все окончено, и не потребовалось никаких разведок и специальных служб.Большинство актуальных OSINT инструментов вы сможете найти: - OSINT Инструменты 2022 часть1 >>>- OSINT Инструменты 2022 часть2 >>>- НОВОСТИ ADVISOR BM >>>