як робити OSINT-розслідування — поради від спільноти Molfar

Основи OSINT-розслідувань від Molfar: базові правила та інструменти

Четвер, 24 Серпня, 2023

Корисне, Середовище

Звоник Богдан

Molfar — українська OSINT-агенція, яка з початком повномасштабного вторгнення приєдналася до кіберспротиву російській агресії. Торік спільнота розслідувачів Molfar, яка налічує 60 людей, провела 1271 розслідування й опрацювала інформацію з 720 відкритих та закритих світових реєстрів даних. Основні теми їхніх розслідувань: ідентифікація воєнних злочинів та спростування російської пропаганди. 

Серед кейсів роботи агенції — спростування наративу західного проросійського журналіста Макса Блюменталя, нібито це не російські війська зруйнували маріупольський драмтеатр. На це розслідування у своєму матеріалі покликалося видання The Times. Також станом на сьогодні агенції вдалося деанонімізувати 1400 військових, що брали участь у різанині в Бучі, та членів їхніх родин (проєкт «Книга орків»). The Guardian опублікували розслідування спільноти щодо удару по Кременчуку, в якому довели факт спланованого теракту, а ще — розслідування, присвячене ракетній атаці по багатоповерхівці у Дніпрі, — осінтери опублікували імена 52 осіб із 52-го гвардійського полку, причетних до терористичного акту. З більш оптимістичного й веселого — аналіз змін витрат росіян на ритуальні послуги в порівнянні з минулими роками. 

Публікуємо важливі поради від фахівця Molfar Павла Фіялковського, який розповів на лекції в межах проєкту Comunity Leaders від MDF про правила розслідування на базі відкритих даних та в яких неочевидних місцях можна шукати інформацію осінтерам.

Що таке OSINT і хто такі осінтери?

OSINT — це скорочення від Open Source Intelligence, що означає розвідку серед відкритих джерел: сайтів, соцмереж, великих реєстрів. Основні правила роботи в OSINT, за словами Фіялковського — пошук першоджерел, урахування особливостей перекладу та фактчекінг для виявлення фейків. Серед головних проблем в інформаційному просторі зараз: misinformation, або помилкові відомості без навмисного наміру зашкодити, fake news — навмисно розповсюджувана неправдива інформація — та невідповідність публічних заяв фактам.

Осінтери — це фахівці, які збирають та аналізують інформацію з відкритих джерел за допомогою спеціальних технік та інструментів.

Під час роботи з інформацією головне — знати, звідки в неї ростуть ноги

За словами Фіялковського, головне правило роботи OSINT-розслідувача — завжди шукати першоджерела або підтвердження інформації з кількох незалежних та авторитетних джерел. Якщо вони відсутні — інформацію треба звіряти в кількох менш надійних джерелах.  

Важливо звертати увагу на саме джерело, зокрема, на репутацію організації, яку цитують у медіа. Якщо це соціологічні дані — треба відстежити, чиї інтереси представляє соціологічна компанія, чи додаються пояснення, чи розкритий механізм опрацювання даних, яка вибірка та дата опитування. Також Фіялковський додає, що не варто переходити за лінком, який веде на маловідоме чи підозріле джерело на кшталт bbccnn.com.

У публікації, яка містить конфлікт, треба оприлюднити позицію всіх сторін. Також варто зважати, що брехню часто підмішують до загальновідомих правдивих фактів. Фіялковський зазначає, що люди схильні вірити «таким самим звичайним людям, як вони» у соцмережах. 

Фейки: гроші, бот-генератори та ШІ

Серед основних ознак фейкових новин — клікбейтні заголовки, відсутність авторства, першоджерел і дати публікації, а також недостатня чи хибна аргументація.

Зазвичай фейкові новини народжуються з поста в соцмережах, який активно лайкають і коментують боти. Сьогодні існують бот-генератори, які генерують «людей» пачками, а Facebook не може розрізнити, що це несправжні люди. 

Наприклад, Фіялковський згадує, як під одним таким постом виринула в коментарях чорношкіра жінка зі слов’янським іменем. 

«Скажімо, Світлана Іванова. Якщо зайти до неї на сторінку, то видно, що зображення профілю згенероване на сайті https://this-person-does-not-exist.com/ — ресурсі, який генерує фото нереальної людини» — розповідає Павло. — У неї були фото котів, теж згенеровані ШІ, і вказані кілька локацій: місце народження в Новому Уренгої, жила в Лесото й потім працювала в Нью-Йорку. Facebook бачить, що людина ніби їздить світом, постить якихось котів — значить не буде її банити. І якщо 1500 таких ботів скерувати на якусь новину — її можуть пропихнути вище», — розповідає Павло Фіялковський.

В українському інфопросторі прикладом ресурсу, який розповсюджує фейки, є antikor.com.ua. Згідно з розслідуванням Fake.net.ua, там регулярно публікуються матеріали з образами та наклепами, у тому числі й проплачені тексти. Серед ознак ресурсу, що розповсюджує фейки: відсутність зворотного зв’язку з редакцією, вказівок авторства, імен журналістів та першоджерел, натомість можуть вказуватися ціни розміщення фейкового матеріалу в листуванні. 

Читайте також: Навчити мислити критично. Як працюють українські фактчекери в умовах війни

Головна зброя OSINT — пошук у Google

Шукаючи щось в інтернеті, Павло Фіялковський радить пам’ятати про два базові правила: треба використовувати пошукові оператори (символи, які уточнюють пошук; наприклад, лапки) та модифікатори в Google і не цуратися користуватись іншими пошуковими системами, окрім Google.

Найперше для розслідувача — подумати про власну безпеку

Щоб безпечно та анонімно проводити OSINT-розслідування, Павло Фіялковський радить дотримуватися кількох правил:

Насамперед перевіряємо соцмережі

Наприклад, за досвідом розслідувача, у Linkedin часто залишають покликання на інші соцмережі та контакти для зв’язку. За допомогою сервісу Х-ray contact через Linkedin можна виходити на пошту людини. Якщо відомий номер телефону — його можна додати в контакти у Viber, Telegram та WhatsApp, добираючи різні варіанти його написання (з пробілами, дефісами та дужками).

Для пошуку в Instagram можна переглядати лайки та коментарі, пройтися всіма підписниками й підписками акаунту. Окремо варто звернути увагу на нікнейм — найімовірніше, він буде такий самий, як і в інших соцмережах. Є окремий сервіс https://whatsmyname.app/, на якому можна пробити певний нік людини на всіх сайтах.

Також варто звертати увагу на родинні зв’язки та подорожі об’єкта дослідження. Серед іншого, чим володіють його родичі — для цього є https://opendatabot.ua/en та https://youcontrol.com.ua/en. Так можна розширювати коло, простежуючи контакти та зв’язки між людьми.

«Був випадок, коли пробили одного користувача, якого знайшли на ресурсі friends finder-x — на ньому люди шукають собі сексуальних партнерів. І він шукав собі якихось міцних чоловіків для того, щоб допомогли йому впоратися з його дружиною на Кайманових островах. Там була дата публікації, був його нік, вказана дата народження, але змінений рік. І був вказаний справжній рік, але змінена дата народження його дружини. Ми зайшли в Instagram його дружини, і вона саме в цей день була на Кайманових островах. Тут усі зірки зійшлися, що це саме він. У цьому нічого страшного, але це працює як червоні прапорці для бізнес-партнерів», — каже Павло Фіялковський.

Люди рідко думають, який контент постять, дбаючи лише про лайки. OSINT-розслідувачі звертають увагу на знімки на робочому місці з видом з вікна, групові фото та фото з позначенням геолокації. 

Люди люблять постити свої документи

У цьому немає нічого поганого, доки вас не почнуть досліджувати, зауважує Фіялковський. Нещодавно Molfar вивчав інформацію про молодіжний клуб «Вагнерьонок» — вагнерівці вирішили переманити до себе ЛДПРівську молодь (Ліберально-демократична партія Росії, — ред.), інвестуючи в різні хакатони та молодіжні клуби. В одного із цих «вагнерят» захист даних був на високому рівні, але спільнота знайшла його фото з квитком, коли хлопець летів у Чечню на навчання, й у квитку зазначалося його справжнє ім’я та прізвище. Він блюрив своє обличчя, дотримувався заходів анонімності, але не звернув увагу, що запостив свої квитки. Так само Фіялковський згадує про COVID-сертифікат або водійські права, які також об’єкти досліджень можуть ненароком запостити. 

Серед іншого, Molfar намагалися деанонімізувати одного ФСБшника й водночас письменника, який написав романтичну драму «про молодого развєдчіка». Осінтери визначили, де він служив, саме через його письменницький досвід. На сайті, де працівник ФСБ продавав свою книгу, була його фотографія в кабінеті. У російських офіцерів на стінах висить купа документів у файликах. На столі у цього росіянина ж лежав альбом із номером і назвою військової частини, в якій він працює. 

Під час дослідження в TikTok Фіялковський радить звертати увагу на нікнейм, електронну пошту, покликання, прикріплені в профілі. Якщо написати нік людини й додати site:tik-tok.com, то Google шукатиме коментарі людини у браузерній версії TikTok. 

Pinterest — ще одне джерело інформації, де є спільні дошки, за якими можна відстежувати спільні вподобання людей. 

Читайте також: Ресурси для проведення розслідувань про Росію з будь-якої точки світу

Фотографії людей, товарів та їхні метадані

Зображення розслідувач Molfar радить шукати у Google Lens, «Яндекс.Зображеннях», а конкретні обличчя — на FindClone, PimEyes та Search4Faces.

«Google Lens використовуємо насамперед для того, щоб знайти певні товари. Наприклад, ми досліджуємо політика, який, можливо, незаконно заробив на свій годинник. Але ми не знаємо, що то за годинник, бо його погано видно. Виділяємо всю картинку, шукаємо через Google Lens та дізнаємося, де й за скільки його можна купити. Загальні зображення краще шукати через «Яндекс.Зображення». Якщо у вас є фотографія в матеріалі, в якій ви сумніваєтеся — «Яндекс.Зображення» буде гарним інструментом для перевірки цього. FindClone та Search4Faces непогано шукають обличчя у «Вконтакте» та «Одноклассниках». PimEyes шукає обличчя не лише у соцмережах, а й в усьому інтернеті загалом», — говорить Павло.

Щоб перевірити наявність метаданих у зображення, Фіялковський використовує додатки EXIF data та Metedata2go. Комп’ютери часто підписують власників файлів: хто його створив, коли саме та коли востаннє файл модифікували. Дуже часто фотографії навіть зберігають у собі геолокацію. Тому аби скидати фото анонімно, треба чистити метадані, або ж не надсилати їх файлами. Соцмережа сама «підіжме» картинку й зітре її метадані.

Ресурс Х-ray contact також збирає дані з набору джерел і віддає результати у вигляді профілю людини. Туди можна вносити ПІБ, номер телефону, пошту, нікнейми, й ресурс показуватиме все, що потенційно може бути пов’язане з цією людиною. Павло Фіялковський зазначає, що росіян можна там шукати безплатно. 

Читайте також текст про зображення в медіа та як їх використовувати ефективно, а ще як розпізнати картинку, згенеровану ШІ

Molfar | OSINT | розслідування