Эта удивительная история в своё время обошла меня стороной, но буквально на прошлой неделе мне написал один из наших подписчиков и поделился этой статьей со мной, тут присутствуют как приемы социальной инженерии, так и социотехнические. А впрочем, читайте и сами всё увидите, обещаю, будет интересно.
Из переписки Ольги стало известно, что она отсылала своему «анонимному другу» посылку из Израиля в Черкассы через знакомого. Возникло географическое название и некий загадочный «анонимный друг», запомним это.
Теперь попробуем получить отправные данные от самого «Евгения Вольнова». Например, узнаем, с какого IP он выходит в свет. Для этого я отослал ему несколько бессмысленных писем, на которые по логике он должен был бы ответить. И ответ поступил, IP не анонимайзеров или серверов OpenVPN, а очень даже IP оператора связи. Проделав эту нехитрую процедуру несколько раз и изучив через skype-kit что отдаёт его skype-клиент, я увидел — IP меняются, но пул оператора остаётся неизменным. Оператором оказался Черкасский провайдер «Mclaut». Засветилось знакомое слово Черкассы. На этом можно считать, вычисление города, где живёт «Евгений Вольнов» успешно завершённым. Также стало очевидным, что этот «знаменитый пранкер» — обычный тупица.
Зайдя на этот сервис и зарегистрировав там тестовую учётную запись я обнаружил подпрограммы сервиса, которые имеют следующую функциональность:
Учитывая тот факт, что сессии в «задарме» не сопоставляются с IP адресом клиента, утащив авторизационные печенья можно легко было под ними авторизироваться и войти в учётную запись под этим пользователем.
Для этого «Евгению Вольнову» я отправил «ядовитую» смс с эксплоитом, прочитав которую, его печенье(cookie) отправилось ко мне на скрипт. Соответственно, печенье было скопировано после чего я успешно зашёл в его «личный кабинет». Несколько скриншотов:
Всплывают интересные подробности, его примари-email привязанный к учётной записи задармы: [email protected], вбив его в восстановлении пароля «вконтакте», получаем страничку к которой он привязан: http://vk.com/fatal_anal это страница одного из администраторов крамольной и ныне закрытой группы «детская мода» «вконтакте». UPD:сейчас емейл у этой учетной записи заменен на: [email protected]
К данной учётной записи «вконтакте» помимо одного из email адресов «Евгения Вольнова», закреплен ещё и сотовый телефон: +380986506942 сотовый Павла Жовнера, давно уже ставший достоянием общественности во время его деанонимизации.
Думаю эта информация будет интересной многочисленным борцам с педофилами.
Следом изучена его СМС детализация, ничего интересного найдено не было, кроме момента, что на номер зарегистрировано большое количество учётных записей «вконтакте», хотя известно, что на один номер нельзя зарегистрировать более одной учётной записи. Однако, добиться такого эффекта можно переадресовав СМС сообщения с разных номеров на какой-то один, а далее — массовая регистрация.1)
Так была слита вся детализация звонков, вся информация из кабинета, привязанный сотовый, логины, пароли (пароли для SIP аккаунтов в открытом виде), детализация СМС текста, электронные кошельки, с которых пополнялся баланс. Любая, даже самая мелкая, деталь может оказаться решающей в деле деанонимизации.
Далее, используя функцию «задармы» «виртуальная АТС», я поставил его SIP учётную запись на прослушивание. Все входящие звонки на его виртуальный номер записывались и отсылались на мой e-mail. Однако, удовольствие длилось не долго, через пару дней он заметил это и немедленно написал в службу технической поддержки.
Самое важное — это его детализация звонков за весь период использования учётной записи. Детализация исследовалась, все номера (особенно украинские) были загуглены, а так же пробивались «вконтакте» на предмет связи с «Евгением Вольновым». Особенно важными для исследования номерами были номера с кодом 0472 – Черкассы, город его проживания.
Один номер привлек внимание:
19946564;47633;2013-07-06 18:43:49;79019043090;380472505850;UKRAINE;answered;60;0.0720;0.0720
Погуглив номер, находим: пиццерия «Пармезан» в городе Черкассы. Из переписки Ольги Стельмах и IP «Евгения Вольнова» известно, что Черкассы — его текущий город проживания, хотя, скорее всего, в нём он живёт на съёмной квартире, как уже писала Стельмах....
Изначальная информация о Евгении Вольнове
После того, как Евгений Вольнов показал свое лицо в передаче «Минаев Live» стало понятно, что обретение этим лицом имени и фамилии — дело техники, кто-то должен его видеть, кто-то должен его знать. Одним из таких людей была его бывшая девушка «redmisa», в миру она Ольга Стельмах.Из переписки Ольги стало известно, что она отсылала своему «анонимному другу» посылку из Израиля в Черкассы через знакомого. Возникло географическое название и некий загадочный «анонимный друг», запомним это.
Теперь попробуем получить отправные данные от самого «Евгения Вольнова». Например, узнаем, с какого IP он выходит в свет. Для этого я отослал ему несколько бессмысленных писем, на которые по логике он должен был бы ответить. И ответ поступил, IP не анонимайзеров или серверов OpenVPN, а очень даже IP оператора связи. Проделав эту нехитрую процедуру несколько раз и изучив через skype-kit что отдаёт его skype-клиент, я увидел — IP меняются, но пул оператора остаётся неизменным. Оператором оказался Черкасский провайдер «Mclaut». Засветилось знакомое слово Черкассы. На этом можно считать, вычисление города, где живёт «Евгений Вольнов» успешно завершённым. Также стало очевидным, что этот «знаменитый пранкер» — обычный тупица.
Часть 2: Потрошим «задарму»
Всем хорошо известен номер «Евгения Вольнова» +79019043090. Пробив его через базу данных Роскомцензуры, я выяснил, что он относится к VoIP сервису «Задарма». Теперь, вскрытие этого номера было довольно важно, так как люди, использующие VoIP из-за её фактически нулевой себестоимости, довольно активно используют её и в своей повседневной жизни: звонки друзьям, родственникам, родителям, на работу и так далее.Зайдя на этот сервис и зарегистрировав там тестовую учётную запись я обнаружил подпрограммы сервиса, которые имеют следующую функциональность:
- Детализация исходящих вызовов за весь период использования номера;
- Детализация СМС сообщений, так же за весь период времени, целиком, как входящие, так и исходящие;
- Текущее соединение (IP адрес и декларируемое название программного обеспечения) и вся регистрационная информация, включая и привязанные сотовые телефоны к учётным записям;
- Возможность включить запись телефонных разговоров с отправкой их на e-mail;
- Возможность просматривать информацию о своих электронных кошельках, функция в общем то скрыта, но сообразительные её найдут.
Учитывая тот факт, что сессии в «задарме» не сопоставляются с IP адресом клиента, утащив авторизационные печенья можно легко было под ними авторизироваться и войти в учётную запись под этим пользователем.
Для этого «Евгению Вольнову» я отправил «ядовитую» смс с эксплоитом, прочитав которую, его печенье(cookie) отправилось ко мне на скрипт. Соответственно, печенье было скопировано после чего я успешно зашёл в его «личный кабинет». Несколько скриншотов:
Всплывают интересные подробности, его примари-email привязанный к учётной записи задармы: [email protected], вбив его в восстановлении пароля «вконтакте», получаем страничку к которой он привязан: http://vk.com/fatal_anal это страница одного из администраторов крамольной и ныне закрытой группы «детская мода» «вконтакте». UPD:сейчас емейл у этой учетной записи заменен на: [email protected]
К данной учётной записи «вконтакте» помимо одного из email адресов «Евгения Вольнова», закреплен ещё и сотовый телефон: +380986506942 сотовый Павла Жовнера, давно уже ставший достоянием общественности во время его деанонимизации.
Думаю эта информация будет интересной многочисленным борцам с педофилами.
Следом изучена его СМС детализация, ничего интересного найдено не было, кроме момента, что на номер зарегистрировано большое количество учётных записей «вконтакте», хотя известно, что на один номер нельзя зарегистрировать более одной учётной записи. Однако, добиться такого эффекта можно переадресовав СМС сообщения с разных номеров на какой-то один, а далее — массовая регистрация.1)
Так была слита вся детализация звонков, вся информация из кабинета, привязанный сотовый, логины, пароли (пароли для SIP аккаунтов в открытом виде), детализация СМС текста, электронные кошельки, с которых пополнялся баланс. Любая, даже самая мелкая, деталь может оказаться решающей в деле деанонимизации.
Далее, используя функцию «задармы» «виртуальная АТС», я поставил его SIP учётную запись на прослушивание. Все входящие звонки на его виртуальный номер записывались и отсылались на мой e-mail. Однако, удовольствие длилось не долго, через пару дней он заметил это и немедленно написал в службу технической поддержки.
Самое важное — это его детализация звонков за весь период использования учётной записи. Детализация исследовалась, все номера (особенно украинские) были загуглены, а так же пробивались «вконтакте» на предмет связи с «Евгением Вольновым». Особенно важными для исследования номерами были номера с кодом 0472 – Черкассы, город его проживания.
Один номер привлек внимание:
19946564;47633;2013-07-06 18:43:49;79019043090;380472505850;UKRAINE;answered;60;0.0720;0.0720
Погуглив номер, находим: пиццерия «Пармезан» в городе Черкассы. Из переписки Ольги Стельмах и IP «Евгения Вольнова» известно, что Черкассы — его текущий город проживания, хотя, скорее всего, в нём он живёт на съёмной квартире, как уже писала Стельмах....