Schwarz_OsintПростой, но сложный GEOINT
А что такое GEOINT?GEOINT, или геопространственная разведка, – это процесс использования и анализа изображений, геопространственной информации для описания, оценки и визуального отображения физических особенностей и установления географической привязки деятельности на Земле. Геопространственная разведка опирается на:изображения и видеозаписи, анализ их содержимогогеопространственную информацию.Звучит сложно, не правда ли? На самом деле все проще, наиболее частый и эффективный метод GEOINT зак...
Schwarz_OsintХронолоцирование медиа-материалов
Данный материал является переводом статьи Chronolocation of Media by sector035. Я не являюсь автором оригинального материала. В этом руководстве я погружусь в мир хронолокации, метаданных и теней.1. ВведениеМеня всегда интересовало, как эксперты криминалисты могли определить дату создания фотографии или событий, изначально не располагая о них никакими данными. Так как я стал постоянным участником сообщества Quiztime, определив достаточно мест во время викторин и более серьёзных исследований, ...
Schwarz_OsintОтслеживание Рейсов в целях GEOINT– Quiztime 30.10.2019
В последнее время было много работы, но мне наконец-то удалось справиться с несколькими недавними задачками из викторины от Quiztime . В этом посте будет рассказано, как мне удалось решить задачу Тилмана Вагнера от 30 октября, но я должен сказать, что это была самая сложная задача викторины, которую мне когда-либо удавалось решить. Конечно этот пост не просто о решении задачи, он больше о том, чему вы можете научиться в процессе, и, должен сказать, я многое узнал, выполняя этот тест. Вот фото...
OSINT and other forms of Intelligence.
Schwarz_OsintПростой, но сложный GEOINT
А что такое GEOINT?GEOINT, или геопространственная разведка, – это процесс использования и анализа изображений, геопространственной информации для описания, оценки и визуального отображения физических особенностей и установления географической привязки деятельности на Земле. Геопространственная разведка опирается на:изображения и видеозаписи, анализ их содержимогогеопространственную информацию.Звучит сложно, не правда ли? На самом деле все проще, наиболее частый и эффективный метод GEOINT зак...
Schwarz_OsintХронолоцирование медиа-материалов
Данный материал является переводом статьи Chronolocation of Media by sector035. Я не являюсь автором оригинального материала. В этом руководстве я погружусь в мир хронолокации, метаданных и теней.1. ВведениеМеня всегда интересовало, как эксперты криминалисты могли определить дату создания фотографии или событий, изначально не располагая о них никакими данными. Так как я стал постоянным участником сообщества Quiztime, определив достаточно мест во время викторин и более серьёзных исследований, ...
Schwarz_OsintОтслеживание Рейсов в целях GEOINT– Quiztime 30.10.2019
В последнее время было много работы, но мне наконец-то удалось справиться с несколькими недавними задачками из викторины от Quiztime . В этом посте будет рассказано, как мне удалось решить задачу Тилмана Вагнера от 30 октября, но я должен сказать, что это была самая сложная задача викторины, которую мне когда-либо удавалось решить. Конечно этот пост не просто о решении задачи, он больше о том, чему вы можете научиться в процессе, и, должен сказать, я многое узнал, выполняя этот тест. Вот фото...
OSINT and other forms of Intelligence.
Share Dialog
Share Dialog
Subscribe to Schwarz_Osint
Subscribe to Schwarz_Osint
<100 subscribers
<100 subscribers
Прим. переводчика. Данный материал является переводом треда CountZe0, я не являюсь автором данного материала.
Также я хотел бы сказать, что люди способные расследовать кражу крипты, это уникальные таланты, это вовсе не значит, что они умеют вполне разборчиво разъясняться. Я потратил два дня, что б это разобрать и сделать это более простым для вас.
В статье упоминаются 16 кошельков, каждый из них имеет свой номер:
0x8c79 -1 №1 TC
0x0642 - 2
0x33e0 - 3
0xeb45 - 4
0x3aE4 - 5
0x8998 – 6 №2 TC
0x78f9 – 7
0x38dB – 8
0x945b – 9 №3 TC
0x8648 – 10 кошелек использованный для кражи
0x974E – 11
0xdE09 – 12
0x2742 - 13
0xb521 - 14
0xA474 - 15
0x8648 - 16
В качестве примера я буду использовать адрес 0x8c7934611b6AD70FBEa13A1593dE167a4689b9A9 (1). Согласно сообщению @zachxbt , хакеры украли 91 NFT.
Давайте воспользуемся Etherscan, чтобы определить происхождение средств, которыми хакеры оплатили транзакции и украли NFT.
Первая входящая транзакция на 0x8c79 (1) была от 0x0642 (2).
Я отмечаю адрес A как “адрес финансирования”, если адрес A отправляет некоторые средства на адрес B, а адрес B никогда не получал средства до этой транзакции, то владелец адреса A, скорее всего, тесно связан с владельцем адреса B.
В нашем случае адрес финансирования будет 0x0642 (2). Он получил все свои средства от 0x33e0 (3). Затем средства были переведены на 0x8c79 (1) и на… Адрес Бинанса! 0x33e0 (3) помечен как мошеннический адрес, участвующий в краже NFT!
0x33e0 (3) получает свои транзакции из 0xeb45e (4).
0xeb45e (4) и 0x33eo (3) (адрес помеченный как мошеннический) отправили по 4,75 и 2,45 ETH на 0x78f9 (1).
Всего было совершено 7 транзакций (по 1 ETH каждая) с 0x78f9 (1) на Tornado cash.
Все средства внесенные на 0x78f9 (1) и на 0xeb45e (4) были смешаны вместе и обналичены в одно и то же время, что означает, что (1) и (4) должны контролироваться одним и тем же лицом.
Теперь давайте исследуем 0xeb45e (4). Кошелек получил свои транзакции из Changenow.io , поэтому мы не можем полагаться на адрес получения транзакций. Но более 90% полученных средств (10.16/10.29 ETH) были отправлены из Opensea.
Кстати, этот адрес (4) забанен в OpenSea, что косвенно доказывает тот факт, что он использовался в противоправной деятельности (но мы, конечно, знаем, что это за деятельность: кражи NFT!)
Мы не смогли получить никакой полезной информации от источников средств, поэтому я попытался определить их место назначения.
0xeb45e (4) получил 10,3 ETH, 4,75 ETH было обналичено на TornadoCash. Куда делись другие средства?
Как вы можете видеть на графике, 0xeb45e отправил средства на 0x3aE4B (5) (1,46 ETH) и 0x89982 (6) (3,06 ETH), остальное было кинуто на Бинанс.
Наверное время вступить в дело правоохранительным органам? К слову вот адрес транзакции:
0x8998 (6) используется для тех же целей, что и 0x78f9 (1) – это адреса для вывода крипты через Tornado, давайте пометим его как Точку вывода №2. (Далее N2 TC и N1 TC).
Как и в предыдущем сценарии, давайте выясним происхождение этих финансов . Большинство из них (32 ETH) были получены от 0x38dB (8) . Это интересный адрес: он получил 95 ETH за продажу Ape # 181 и теперь запрещен на OpenSea.
32 из этих 95 ETH отправились на адрес 0x8998 (6, N2 TC) , еще 32 — на адрес 0x78f97 (7, N3 TC).
0x78f97 (7, N3 TC) является еще одним адресом для вывода средств Tornado, обозначим его номером “N3 TC”.
Кстати, 0x945b (8 N3 TC) получил 0,25 ETH с адреса 0x8998 (6, N2 TC).
И, как и в последнем сценарии, было проведено 4 транзакции (по 10 ETH каждая) с Tornado cash, смешав все украденные токены.
0x945b (9) отправил 2 транзакции в Tornado, по 100 ETH каждая. Те 32 ETH, которые мы отслеживали, консолидированы, смешаны и обналичены в перемешку с некоторыми другими средствами.
Мне кажется, я где-то видел этот сценарий… Давайте выясним происхождение “других средств”: откуда взялись 170 ETH?
Что ж, вот график (картинка ниже).
125 ETH были переведены с 0x8648 (10). Вы можете найти более подробную информацию о краже NFT, связанной с этим адресом, на @zachxbt. Давайте обозначим это как “Кража NFT”.
Еще 40 ETH были получены от 0x974E (11). Этот адрес был частью цепочки транзакций, идущей от 0xdE09 (12), переводившей украденные средства на 0x945b (9, №3 TC). В итоге эти транзакции осели на Бинансовом кошельке 0xb521 (14)
Peel chain - это метод отмывания большого количества криптовалюты посредством длительной серии незначительных транзакций. Небольшая часть “очищается” от адреса субъекта при транзакции с низкой стоимостью. Но в нашем случае была добавлена небольшая порция.
Еще 13 ETH были получены от 0xA474 (15). К слову, 0x8648 (10) (кошелек использованный для кражи) получил транзакции с 0xA474 (14) адреса.
0xA474 (15) получил большую часть средств за продажу токена MATCH #17940, также 0xA474 получал транзакции из ранее упомянутого 0xdE09 (12).
Давайте исследуем аффилированные кошельки 0xdE09 (12). Он помечен как Fake_Phishing5099 в Etherscan и уже упоминался в данном треде несколько раз.
Но перед этим давайте остановимся и немного подумаем. Кто получает деньги с фишингового адреса? Хакер, парень, который отмывает их деньги, спамер… Ну, вот и этот парень.
0x2742 (13) Этот адрес получил 3,06 ETH от 0x33e0 (3). Вы не найдете никакой информации об этом адресе в Google, но если вы введете его в Google pictures...
Какой-то парень был обманут владельцем 0x2742 (13), спамером с ником Kollegah. Он обещал Discord mass DM и потерпел неудачу. После этого часть его данных, включая личную электронную почту, была раскрыта администраторами форума. Вы можете найти его самостоятельно, погуглив 0x2742 (13).
“Коллега” использует аватарку в качестве изображения своего профиля в TG. Итак, существует группа фишинговых адресов с сильными финансовыми связями, отправляющая деньги парню, рассылающему спам в Discord и продвигающему NFT. Мне это кажется подозрительным.
Прим. переводчика. Данный материал является переводом треда CountZe0, я не являюсь автором данного материала.
Также я хотел бы сказать, что люди способные расследовать кражу крипты, это уникальные таланты, это вовсе не значит, что они умеют вполне разборчиво разъясняться. Я потратил два дня, что б это разобрать и сделать это более простым для вас.
В статье упоминаются 16 кошельков, каждый из них имеет свой номер:
0x8c79 -1 №1 TC
0x0642 - 2
0x33e0 - 3
0xeb45 - 4
0x3aE4 - 5
0x8998 – 6 №2 TC
0x78f9 – 7
0x38dB – 8
0x945b – 9 №3 TC
0x8648 – 10 кошелек использованный для кражи
0x974E – 11
0xdE09 – 12
0x2742 - 13
0xb521 - 14
0xA474 - 15
0x8648 - 16
В качестве примера я буду использовать адрес 0x8c7934611b6AD70FBEa13A1593dE167a4689b9A9 (1). Согласно сообщению @zachxbt , хакеры украли 91 NFT.
Давайте воспользуемся Etherscan, чтобы определить происхождение средств, которыми хакеры оплатили транзакции и украли NFT.
Первая входящая транзакция на 0x8c79 (1) была от 0x0642 (2).
Я отмечаю адрес A как “адрес финансирования”, если адрес A отправляет некоторые средства на адрес B, а адрес B никогда не получал средства до этой транзакции, то владелец адреса A, скорее всего, тесно связан с владельцем адреса B.
В нашем случае адрес финансирования будет 0x0642 (2). Он получил все свои средства от 0x33e0 (3). Затем средства были переведены на 0x8c79 (1) и на… Адрес Бинанса! 0x33e0 (3) помечен как мошеннический адрес, участвующий в краже NFT!
0x33e0 (3) получает свои транзакции из 0xeb45e (4).
0xeb45e (4) и 0x33eo (3) (адрес помеченный как мошеннический) отправили по 4,75 и 2,45 ETH на 0x78f9 (1).
Всего было совершено 7 транзакций (по 1 ETH каждая) с 0x78f9 (1) на Tornado cash.
Все средства внесенные на 0x78f9 (1) и на 0xeb45e (4) были смешаны вместе и обналичены в одно и то же время, что означает, что (1) и (4) должны контролироваться одним и тем же лицом.
Теперь давайте исследуем 0xeb45e (4). Кошелек получил свои транзакции из Changenow.io , поэтому мы не можем полагаться на адрес получения транзакций. Но более 90% полученных средств (10.16/10.29 ETH) были отправлены из Opensea.
Кстати, этот адрес (4) забанен в OpenSea, что косвенно доказывает тот факт, что он использовался в противоправной деятельности (но мы, конечно, знаем, что это за деятельность: кражи NFT!)
Мы не смогли получить никакой полезной информации от источников средств, поэтому я попытался определить их место назначения.
0xeb45e (4) получил 10,3 ETH, 4,75 ETH было обналичено на TornadoCash. Куда делись другие средства?
Как вы можете видеть на графике, 0xeb45e отправил средства на 0x3aE4B (5) (1,46 ETH) и 0x89982 (6) (3,06 ETH), остальное было кинуто на Бинанс.
Наверное время вступить в дело правоохранительным органам? К слову вот адрес транзакции:
0x8998 (6) используется для тех же целей, что и 0x78f9 (1) – это адреса для вывода крипты через Tornado, давайте пометим его как Точку вывода №2. (Далее N2 TC и N1 TC).
Как и в предыдущем сценарии, давайте выясним происхождение этих финансов . Большинство из них (32 ETH) были получены от 0x38dB (8) . Это интересный адрес: он получил 95 ETH за продажу Ape # 181 и теперь запрещен на OpenSea.
32 из этих 95 ETH отправились на адрес 0x8998 (6, N2 TC) , еще 32 — на адрес 0x78f97 (7, N3 TC).
0x78f97 (7, N3 TC) является еще одним адресом для вывода средств Tornado, обозначим его номером “N3 TC”.
Кстати, 0x945b (8 N3 TC) получил 0,25 ETH с адреса 0x8998 (6, N2 TC).
И, как и в последнем сценарии, было проведено 4 транзакции (по 10 ETH каждая) с Tornado cash, смешав все украденные токены.
0x945b (9) отправил 2 транзакции в Tornado, по 100 ETH каждая. Те 32 ETH, которые мы отслеживали, консолидированы, смешаны и обналичены в перемешку с некоторыми другими средствами.
Мне кажется, я где-то видел этот сценарий… Давайте выясним происхождение “других средств”: откуда взялись 170 ETH?
Что ж, вот график (картинка ниже).
125 ETH были переведены с 0x8648 (10). Вы можете найти более подробную информацию о краже NFT, связанной с этим адресом, на @zachxbt. Давайте обозначим это как “Кража NFT”.
Еще 40 ETH были получены от 0x974E (11). Этот адрес был частью цепочки транзакций, идущей от 0xdE09 (12), переводившей украденные средства на 0x945b (9, №3 TC). В итоге эти транзакции осели на Бинансовом кошельке 0xb521 (14)
Peel chain - это метод отмывания большого количества криптовалюты посредством длительной серии незначительных транзакций. Небольшая часть “очищается” от адреса субъекта при транзакции с низкой стоимостью. Но в нашем случае была добавлена небольшая порция.
Еще 13 ETH были получены от 0xA474 (15). К слову, 0x8648 (10) (кошелек использованный для кражи) получил транзакции с 0xA474 (14) адреса.
0xA474 (15) получил большую часть средств за продажу токена MATCH #17940, также 0xA474 получал транзакции из ранее упомянутого 0xdE09 (12).
Давайте исследуем аффилированные кошельки 0xdE09 (12). Он помечен как Fake_Phishing5099 в Etherscan и уже упоминался в данном треде несколько раз.
Но перед этим давайте остановимся и немного подумаем. Кто получает деньги с фишингового адреса? Хакер, парень, который отмывает их деньги, спамер… Ну, вот и этот парень.
0x2742 (13) Этот адрес получил 3,06 ETH от 0x33e0 (3). Вы не найдете никакой информации об этом адресе в Google, но если вы введете его в Google pictures...
Какой-то парень был обманут владельцем 0x2742 (13), спамером с ником Kollegah. Он обещал Discord mass DM и потерпел неудачу. После этого часть его данных, включая личную электронную почту, была раскрыта администраторами форума. Вы можете найти его самостоятельно, погуглив 0x2742 (13).
“Коллега” использует аватарку в качестве изображения своего профиля в TG. Итак, существует группа фишинговых адресов с сильными финансовыми связями, отправляющая деньги парню, рассылающему спам в Discord и продвигающему NFT. Мне это кажется подозрительным.
No activity yet