Есть несколько путей, по которым правоохранительные органы или хакеры устанавливают личность владельца email. Как правило, это происходит через получение IP-адреса, по которому затем вычисляют личность владельца. Как по IP-адресу устанавливается личность, мы описывали тут.
IP-адрес не единственный инструмент для установления владельца email, современные почтовые сервисы часто располагают информацией о телефоне пользователя и его платежных данных – все это может вести к деанонимизации, как и содержание электронного почтового ящика, которое при анализе может точно указать на владельца.
Официальный запрос
Многие полагают, что возможность отправить официальный запрос и получить данные есть только у сотрудников правоохранительных органов и спецслужб, однако это заблуждение. Мошенники нередко умело маскируют свои запросы под запросы правоохранительных органов, подделывают судебные решения и получают данные о жертвах. Я сталкивался с подобными случаями. «Отрисовать» судебное решение в даркнете стоит недорого, а проверить его подлинность умеет далеко не каждый владелец почтового сервиса.
Этот трюк вряд ли сработает с такими гигантами, как Google или Protonmail, но все же стоит держать это в уме. Рекомендация в данном случае одна – пользоваться проверенными почтовыми сервисами, имеющими квалифицированный юридический отдел.
Совет
Используйте проверенные почтовые сервисы, имеющие квалифицированный юридический отдел.
В сервисе Protonmail есть возможность управлять сохранением данных и почти полностью отключить его. Мне не известно, чтобы сервис Protonmail обманывал пользователей, храня больше данных, чем разрешено в настройках, однако исключать это не стоит.
Совет
Ограничьте логирование, если ваш почтовый сервис позволяет управлять сохранением логов.
Нередко в ответном запросе почтовые сервисы выдают правоохранительным органам не только информацию по запрашиваемому аккаунту, но и информацию по другим аккаунтам пользователя. На этом часто горят киберпреступники, которые делают один аккаунт для «работы», а другой для себя. Первое время они строго разделяют аккаунты, но со временем теряют бдительность и заходят на эти аккаунты с одного и того же IP-адреса.
Поиск
Иногда для установления личности владельца достаточно вбить электронный адрес в поиск. Это бывает нечасто, но не упомянуть этот способ я не мог.
Запрос в социальные сети
Правоохранительные органы нередко проверяют, не зарегистрирован ли email в социальных сетях. Иногда страничка может рассказать о владельце больше, чем требуется для установления личности.
Взлом аккаунта
Подобным образом был деанонимизирован хакер Fly, который запомнился тем, что купил героин на SilkRoad и отправил его Брайану Кребсу – журналисту, занимающемуся расследованиями хакерских преступлений. Предварительно он оповестил полицию о незаконном «приобретении» наркотиков, видимо, надеясь на арест Брайана.
А как деанонимизировали хакера? Взломали его рабочую почту, куда приходили отчеты от шпионских программ, установленных его жертвам. Почта была анонимной и не содержала данных, указывающих на владельца, однако одной из жертв, от которой приходили отчеты, оказалась его жена. Так удалось установить не только личность, но и текущее местонахождение семейной пары. В 2014 году хакер Fly был арестован в Италии и позже выдан властям США.
Активная деанонимизация
Активная деанонимизация предполагает отправку ссылки или файла, результатом открытия которых является получение атакующим IP-адреса жертвы. Самый простой вариант – отправить подобную ссылку, при переходе по которой отразится IP-адрес перешедшего.
Однако, если жертва скрывает свой IP, например используя VPN, этот метод не сработает, необходимо прибегнуть к использованию шпионского программного обеспечения либо к методам деанонимизации пользователя VPN.
Несколько лет назад была взломана Hacking Team – итальянская компания, занимающаяся разработкой шпионского программного обеспечения для правоохранительных органов и спецслужб. Анонимный хакер выложил 400 ГБ данных, содержавших не только разработки компании, но и все ее переписки с клиентами.
Одна из переписок содержала общение сотрудника ФБР с представителем технической поддержки компании. Сотрудник ФБР интересовался возможностью установления подлинного IP-адреса пользователя, из информации о котором был лишь IP-адрес выходной ноды Тор-сети.
В итоге было решено, что установить его личность можно, отправив email с прикрепленным файлом, содержащим шпионское программное обеспечение, разработанное Hacking Team.Примерно так же деанонимизируют и пользователей email.
Для защиты от данных атак любые полученные файлы и ссылки стоит открывать исключительно в песочнице либо в виртуальной операционной системе. Это не дает стопроцентной гарантии защиты от заражения, так как у продвинутых недоброжелателей с высокой вероятностью есть инструменты для выхода за пределы виртуальной системы, однако это несравнимо сложнее простого заражения жертвы.
Совет
Любые получаемые по почте файлы и ссылки открывайте в песочнице либо в виртуальной среде.
Извлечение IP-адреса из метаданных письма
Данный способ требует наличия входящего письма от жертвы. Немногие знают, что, отправляя электронное письмо, вместе с ним вы отправляете и свой IP-адрес, а получатель всегда может его увидеть.
Если у вас почтовый ящик Protonmail, то для получения информации об IP-адресе отправителя в меню управления письмом выберите Просмотр заголовков.
В открывшейся ссылке в самом верху будет Received: from и IP-адрес отправителя, в случае использования веб-сервиса там будет IP-адрес веб-сервиса.
В других почтовых службах или клиентах метаданные почти всегда можно найти в меню управления письмом. Им будет посвящена отдельная глава курса, так как помимо IP-адреса там содержится еще много любопытной информации.
Теперь один важный момент: некоторые пользователи в сети утверждают, что описанный выше способ не работает, иные утверждают, что он работает всегда и везде. И то, и другое ‒ неправда. Данный способ работает тогда, когда письмо отправляется с почтового клиента, установленного на компьютере или мобильном устройстве, и не работает, когда письмо отправляется с веб-клиента, например с сайта https://protonmail.com. По имеющейся у нас статистике, сегодня через инсталлируемые (=устанавливаемые на устройство) клиенты отправляется порядка 30% всех писем.
Защита от данного способа получения IP-адреса – использование VPN, Tor или proxy, которые можно прописать во многих инсталлируемых почтовых клиентах.
