Дорогие подписчики нашего канала!
Для всех членов нашей команды этот год был непростым, но мы многого добились и добьёмся ещё больше в новом году! Желаем вам успехов в реализации ваших идей и пусть Новый год нас всех порадует множеством новых интересных проектов!
С Новым годом, друзья! 🍾🎉

11 ботов, которые можно запустить из любого чата:

@pic - поиск по картинкам
@gif - поиск по анимации
@bold - форматирование текста
@imdb - поиск по фильмам
@youtube - поиск видео на Ютубе
@wiki - поиск статей в Википедии
@vkmusic_bot - поиск аудио ВКонтакте
@myshowsmebot - поиск по сериалам
@biblebookbot - поиск по Библии
@ya - поиск в Яндексе
@foursquare - поиск мест в Forsquare

Два последних бота запрашивают доступ к геолокации для более точного ответа

@bombershelper #bombershelper

OSINT в Facebook:

Для аккаунта Facebook:
whopostedwhat.com — найдет посты в Facebook
lookup-id.com — покажет ID аккаунта.
@usersbox_bot — найдет аккаунты в ВК у которых в поле facebook указан искомый логин, введите в боте facebook: <логин>.
@getfb_bot — поиск страницы в Facebook по номеру телефона

Поиск по nickname:
@maigret_osint_bot — поиск аккаунтов в других социальных сетях.
social-searcher.com/search-users/ — поиск совпадений по никнейму.
namechk.com/ — поиск совпадений по никнейму

Поиск через URL:
facebook.com/browse/fanned_pages/?id=USERID — найдет лайки пользователя, замените USERID на ID аккаунта
facebook.com/friendship/USERID/USERID — будут отображаться общие друзья, общие записи и фотографии
и т. д., замените USERID на ID аккаунта

FuckFacebook — найдет номер телефона, имя аккаунта, адрес, поиск в глобальной утечке Facebook

sowdust.github.io — есть фильтр по дате, группе, и локации, можно найти посты пользователя, фото

Парсер:
phantombuster.com — скачает всю публичную информацию аккаунта

Классные ресурсы для OSINT? Тогда подпишись на @VirusTotaIAV_bot

PDFCandy ( https://pdfcandy.com/edit-pdf-meta.html ) — сервис дает вам возможность извлекать и изменять метаданные PDF.

Wigle ( https://wigle.net/ ) — может отображать SSID и BSSID точек доступа Wi-Fi на карте.

PublicWWW ( http://publicwww.com/ ) — сервис ищет исходный код страниц. Находит никнеймы, ссылки в коде, сравнивает иконки сайтов, что позволяет искать близнецов; находит любые похожие идентификаторы или фразы, кошельки, токены, а также позволяет найти поставщиков рекламных виджетов и т. д.

Knock Subdomain Scan ( https://github.com/guelfoweb/knock ) — сканирует поддомены в целевом домене и может создать выходной файл с результатами.

🔍 Как деанонимизировать пользователя Telegram-аккаунта.

Telegram — один из самых популярных мессенджеров в мире. Почему? Павел Дуров выстроил маркетинговую стратегию своего проекта на идее «защищённости». Под лозунгом «Taking back our right to privacy» в пользователей вселялась уверенность, что никакие спецслужбы не смогут прочесть их сообщения. И это сработало!

Но вот вопрос: Telegram реально анонимен или Дуров — просто хороший продажник? Всё, что нужно знать о «конфиденциальности» этого мессенджера, — при регистрации здесь нужно указать номер сотового. Худшего решения просто не существует! Сложно ли установить, кто владелец учётной записи Telegram? Да нисколько. Нужно только знать, куда тыкнуть, а дальше мессенджер сам выдаст всю нужную информацию.

О’кей! Что у нас есть? Сам аккаунт, а точнее его числовой идентификатор (ID), username (символьный псевдоним), никнейм (иногда это имя и фамилия, иногда — псевдоним), аватарка и, наконец, сообщения, которые отправляются с аккаунта. Недурно! За всем этим кроется практически полный пакет данных о пользователе Telegram.

Начнём с ID. Что по нему можно узнать? Номер телефона (@QuickOSINT_bot или «Глаз Бога»), примерную дату создания аккаунта (@creationdatebot), историю смены никнеймов (@SangMataInfo_bot), чаты и группы с членством целевой учётной записи (@telesint_bot).

«Это всё, конечно, замечательно, но сам-то ID как узнать?» — спросите вы. Очень уместный вопрос! Сделать это можно, во-первых, через сторонний Telegram-клиент — например, Graph Messenger. Там можно узнать ID любого профиля, нужно только нажать кнопку в виде трёх точек в правом верхнем углу экрана. Удобно! Но есть и другой способ (на случай если первый запрещён религией или не подошёл по другой причине) — боты. Это @getmyid_bot (нужно переслать сообщение жертвы) или @telesint_bot (нужно отправить username).

Дальше — никнейм и username. Здесь всё просто: пользователи часто используют один и тот же никнейм для всех своих аккаунтов. Если мы найдём учётные записи жертвы на других сервисах, это может дополнить виртуальный портрет цели. Воспользуемся инструментами для поиска по никнейму! Это, например, @maigret_osint_bot, утилита Sherlock, namechk.com, knowem.com и др.

А ещё неплохо бы проверить, какие псевдонимы жертва использовала раньше (@SangMataInfo_bot, @telesint_bot). Это даст нам ещё больше информации! Т.е. текущий никнейм может быть новым, а потому нигде не «засвеченным». Но вот старые... Здесь шанс есть, и немаленький.

Следующий этап — аватарка. Скачиваем её, затем ищем точные копии фотографии (точный (с помощью кавычек) поиск в Яндексе и Google). Если на фотографии есть лицо, можно и нужно использовать продвинутые инструменты поиска — «Глаз Бога», findclone.ru, primeyes.com, tineye.com, search4faces.com.

Теперь — сообщения жертвы в публичных чатах. За это отвечает @telesint_bot. Там могут быть полезные зацепки, — аудио, фото или видео, — к которым можно применить уже перечисленные способы. Кроме того, так можно определить лингвистическое поведение жертвы — стиль письма, типы используемых эмодзи, экспрессивность речи и т.д. Это может помочь, когда мы найдём другой аккаунт цели (например, на форуме киноманов) и захотим убедиться, что профиль действительно принадлежит ей.

БОНУС! Псс, парень, не хочешь немного социальной инженерии? Давайте не забывать про человеческий фактор — люди сами сдадут себя с потрохами, если «обработкой» занимается профессионал. Познакомьтесь с человеком, войдите доверие, встройте логгер (iplogger.ru, grabify.link) в безобидную ссылку и убедите владельца аккаунта перейти по ней. Что произойдёт дальше, все знают, — в нашем распоряжении окажется IP-адрес жертвы.

t.me/bombershelper

"Браузер" в Термукс.

Всем привет, знали ли вы, что в термукс можно просматривать обычные веб-сайты? Для этого мы будем использовать утилиту w3m, которая имеет очень много функций, но сегодня я покажу вам лишь одну - это как просто открыть сайт и просмотреть его.

Для установки браузера в termux мы будем использовать приведенную ниже команду. Эта команда установит пакет w3m в ваш termux.
pkg install w3m

Теперь все установлено, и нам просто следует указать URL-адрес сайта, который вы хотите посетить с помощью браузера . Пример ниже.

w3m https://google.com/

Теперь вы можете видеть сайт в термукс ,вы также можете перемещаться, как вы обычно делаете в Chrome, используя стрелки в левом нижнем углу экрана, и вы можете посетить любую ссылку, дважды щелкнув по ней.
https://t.me/bombershelper

Сервисы для накрутки ТикТок:

https://zefoy.com - 1000 просмотров, 25 подписчиков, 100 репостов, 25 лайков, 25 лайков на комменты, зрители для трансляции.

https://homedecoratione.com - 1000 просмотров, 50 лайков на комменты.

https://fireliker.com - 200-500 просмотров.

#OSINT #CHINA Сегодня поговорим о ресурсах для проверки субъектов бизнеса в Китае. Безусловно, существуют организации, которые оказывают профессиональные услуги таких проверок. Среди них: ASIA VERIFY, CHINA CHECKUP, ASIA EXPLORER CONSULTANCY LIMITED, CORPORATION CHINA, QLARIUM/TIIDAN. Однако их услуги могут быть дороги. А, с началом СВО, их еще и не всегда возможно оплатить.

Государственные реестры (налоговый, кредитный):
▫️chinatax
▫️gsxt

Факты нарушений в деятельности компаний:
▫️zxgk

Сведения о судопроизводстве:
▫️wenshu
▫️splcgk
▫️tingshen
▫️openlaw

Сведения о наличии потребительских споров:
▫️12315

Сведения об исполнительных производствах:
▫️zxgk

Сведения о банкротстве:
▫️pccz

Государственные закупки и поиск тендеров:
▫️ccgp
▫️bidcenter

Финансовая отчетность и объявления:
▫️cninfo

Частные реестры данных о субъектах бизнеса:
▫️qcc
▫️qixin
▫️tianyancha

Подробнее о проверках юрлиц в Китае. Подборка источников для OSINT в Поднебесной.

@tomhunter

Предлагаем ознакомиться с самыми крупными и интересными проектами в Telegram в сфере информационной безопасности:

👨🏻‍💻 @Social_Engineering — Один из самых крупных ресурсов в Telegram, посвященный Информационной Безопасности, OSINT и Cоциальной Инженерии.

🔥 @black_triangle_tg — крупнейший ресурс посвященный движению за свободу программного обеспечения и изобличающий истинное лицо проприетарных технических гигантов.

📌 @SecAtor - руки-ножницы российского инфосека. Расскажем про войны спецслужб в киберпространстве, про активность вымогателей и коммерческих хакерских групп, про свежие уязвимости в ПО, а также инсайды отрасли ИБ. Все, о чем Вы хотели узнать, но боялись спросить.

🗞 @Seclabnews — ежедневно рассказывает о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру.

https://t.me/bombershelper

❗️ Прошу всех лиц, желающих приобрести у меня какие бы то ни было данные, четко осознавать:

1⃣ Любые реализации данных возможны исключительно субъектам бизнеса. Физические лица не имеют, за небольшим исключением, законных оснований обрабатывать данные третьих лиц.

2⃣ Цели планируемой обработки данных, которые должны соответствовать действующему законодательству.

3⃣ Важность банальной вежливости и корректности в общении.

https://t.me/bombershelper

#OSINT Сегодня раскрою вечный вопрос любого школьника... как узнать номер телефона пользователя мессенджера Telegram. Методы спецслужб обсуждать не будем, поговорим только про общедоступные приемы.

1️⃣ Поискать данные в одной из утечек. Тут вам помогут различные боты: 1, 2, 3, 4. Если пользователь относится к категории "продвинутых", то ничего вы не найдете. Тут важно понимать, что все-все базы Telegram содержат данные на 5-7% пользователей максимум.

2️⃣ Воспользоваться функцией "ДОБАВИТЬ КОНТАКТ". При этом пользователь увидит Ваш номер телефона, а Вы - его. Правда, в том случае, если он обменяется контактами.

3️⃣ Прислать пользователю бот-ловушку. Например, @inform_baza_bot, @dossier_baza_bot, @addprivategroup_bot, @protestchat_bot, @TgDeanonymizer_bot, @TelpoiskBot_bot, @cryptoscanning_bot, @Checknumb_bot, @LBSE_bot, @GetCont_bot. Информация о пользователе станет доступна в @TgDeanonymizer_bot или @cryptoscanning_bot по ID.

ℹ️ Наплодить своих ботов-ловушек можно при помощи сервисов 1 или 2.

Как за 2 минуты распознать канал мошенников?

Хоть в большинстве своём каналы по трейдингу являются разводом, но некоторые делают это очень грамотно и профессионально. Таких распознать сложнее, о их уловках мы расскажем позже. Сейчас вам нужно изучить азы, чтобы потом не было стыдно рассказать друзьям и знакомым о вашем опыте «инвестирования».

1 признак:

Канал обычно имеет до 10.000 подписчиков, иногда и больше. Владельцы таких каналов и рады бы отжарить 50-100к людей, но в это нужно вкладывать больше деньги, которых у них нет. Но с каждым вашим депозитом денег на реинвестирование в рекламу и расширение становится больше.
Ещё чаще даже жалкие каналы с 5-10к подписчиков это на 50-90% боты, накрутить их займет несколько часов, стоит очень дёшево. Как отслеживать трафик канала, чтобы понять, есть ли там боты, либо закуп рекламы осуществлялся на «мусорных» каналах - расскажем в следующих постах. По сути для анализа нужен специальный сервис типа «telemetr» и минимальное понимание как им пользоваться. Например, график роста канала четко отображает количество новых пользователей в определённый промежуток времени, а так же, где в это время выходила реклама (либо вообще не выходила), вам останется лишь сложить 2+2.

2 признак:

Отсутствие на канале аналитики. Когда вымышленный трейдер ещё не настолько развит, чтобы хватало мозгов на конструктивные, интересные посты с аналитикой - он постит много банального юмора, копирует посты с других каналов, присутствует большое количество тупых комментариев по рынку из серии:
«Все наконец-то разворот, btc летит на 27.000$», и конечно же бесконечные отчеты по сделкам, которые ранее не давались в канале публично. Мошенник может ставить одновременно шорт и лонг и дублировать на канал естественно ту сделку, где было угадано направление, а сам просто оставаться в нуле. По тому же принципу происходит его типа профитный отчёт из випки.

3 признак:

Отчеты по торговле в формате скриншотов с высоким pnl (прибыль в сделке на данный момент). На таких скринах нет суммы сделки, хотя и такие изображения не составит труда подделать любому дизайнеру. Там только красивая картинка с биржи с формате (PNL 450% ETHUSDT Long).
Что привлекает новичков, которые в надежде совершать такие же сделки, отдают им свои последние деньги. Причина отсутствия сумм сделки в их скриншотах очень проста - их депозиты настолько малы, что хвастаться там нечем и у большинства подписчиков денег намного больше чем у их «менторов»

4 признак:

Отсутствие чата. Один из главных моментов, на что точно стоит обратить внимание. Ведь за ним приходится следить 24/7, и не только для того, чтобы всякие умники там не рекламировали свои продукты, но и чтобы никто из подписчиков не узнал какой ты на самом деле «трейдер».

Это только малая часть пунктов, которые должны четко показать, что вас хотят обмануть. Позже разберем остальные и более интересные схемы.

#сливсхем

Небольшой лайфхак для разработчиков Telegram или админов каналов/ботов о том как получить ID любого человека или чата без сторонних клиентов

1. Переходим в бота @asmico_attach_bot
1.1. Добавляем его к себе в аттач меню или сразу кликаем по ссылке
2. Открываем чат в котором вы хоттите узнать ID
3. Жмем на иконку скрепки внизу и выбираем бота TestAttach
4. Листаем вниз и видим json, находим там необходимый ID

У LockPicking’а, как направления, есть много общего с другими дисциплинами из мира хакинга.
Не все параллели сразу очевидны и понятны, но они есть.

Мы любим использовать LockPick для того, чтобы объяснять абстрактные принципы атак, защиты, расследования инцидентов и т.д. Объяснение этих принципов на физическом объекте в разы лучше доходит до аудитории, которая никогда в жизни не слышала про модели угроз и не знает, чем отличается атака от уязвимости или чем отличается защищенность от безопасности.

Так почему вообще возможно открыть замок без ключа?

Комбинаторная сложность 5-ти пинового замка, если упростить, будет 4 в степени 5 (комбинаций может быть больше, но все зависит от конкретного производителя и модели замка), у нас получается 1024 комбинации, которые сложно перебирать и нерентабельно изготавливать под каждую модель замка.  

Тут стоит вспомнить выступление одного из создателей RSA (Rivest–Shamir–Adleman) Adi Shamir’а на Turing Award  где он озвучил три "закона" защищенности:

- Absolutely secure systems do not exist
- To halve your vulnerability, you have to double your expenditure
- Cryptography is typically bypassed, not penetrated

Так же и с замками, настоящий злоумышленник будет искать способы обойти защиту максимально простым путем.

Продолжая параллели с криптографией, атаки на замки можно разделить на две категории:

- атаки на модели
- атаки на имплементацию

К атакам на модели можно отнести все bypass’ы, которые позволяют не взаимодействовать с секретом замка, а напрямую манипулировать запорным механизмом. Это ошибки проектирования как самого замка, так и его окружения.

Атаки на имплементацию напрямую связаны с процессом фабричного производства и его погрешностями. Если рассматривать цилиндрический пиновый замок, то в процессе производства просверленные отверстия не полностью соответствуют модели и имеют небольшие погрешности (смещения, углы, размеры).

Эта маленькая мелочь позволяет нам уменьшить комбинаторную сложность замка на два порядка, до 20. Но что более интересно, мы может подбирать состояние отдельных пинов по очереди, двигаясь постепенно от одного к другому. Эта возможность появляется благодаря обратной связи с пинами, которые зажимаются между цилиндром и корпусом. Таким образом, в моменте нужно найти только один ключевой пин, который был зажат и аккуратно протолкнуть им замочный пин. Повторяя этот процесс столько раз, сколько у нас пинов, мы открываем замок.

🎉🎉🎉 Ура! Спешим поделиться с вами прекрасной новостью:

Мы запустили новую версию бота, он стал быстрее, безопаснее и умнее.

🤖 Telegram-бот для безопасных телефонных звонков прямо через Telegram, с возможностью изменять исходящий номер. Пополнение баланса криптовалютой. Приглашайте друзей и зарабатывайте!

🎁 Да, мы как всегда дарим приятные бонусы при регистрации для всех новых пользователей.

Мы уже работаем над новыми возможностями, которые расширят функционал бота и приятно вас порадуют 😉

Следите за новостями – вас ждут приятные подарки!

Мы вернулись 🚀🚀🚀

🔗 Ссылка на бота


=≠======≠======≠=====≠=====≠=====≠

🎉🎉🎉 Hurrah! We would like to share with you great news:

We have launched a new version of the bot, it has become faster, safer and smarter.

🤖 Telegram bot for secure phone calls directly through Telegram, with the ability to change the outgoing number. Top-up of the balance with cryptocurrency. Invite friends and Earn!

🎁 Yes, as always, we give pleasant bonuses upon registration for all new users.

We are already working on new features that will expand the functionality of the bot and please you 😉

Stay tuned - nice gifts are waiting for you!

We are back 🚀🚀🚀

🔗 Link

МТС
• Пробив по номеру – 1 000 ₽
• Пробив по данным – 1 000 ₽
(для пробива необходимо: ФИО и ДР) (цена за один номер 1 000 ₽, если у абонента более одного номера – 500 ₽ за каждый доп. номер, начиная со второго)
• Блокировка номера – от 4 000 ₽
• Детализация звонков и смс (первый месяц) – от 20 000 ₽
6 000 ₽/мес начиная со второго месяца
• Детализация звонков и смс с Базовыми Станциями – от 45 000 ₽
(цена может отличаться в зависимости от региона)
• Детализация СМС с текстом один месяц (Москва) – от 85 000 ₽
(цены на другие регионы уточняйте)


БИЛАЙН
• Пробив по номеру – 800 ₽
• Пробив по данным – 800 ₽
(для пробива необходимо: ФИО, ДР, Серия и Номер Паспорта) (цена за один номер 800 ₽, если у абонента более одного номера – 400 ₽ за каждый доп. номер, начиная со второго)
• Блокировка номера – от 3 500 ₽
• Детализация звонков и смс – ФИЗ лицо (первый месяц) – 2 000 ₽
1 500 ₽/мес начиная со второго месяца
• Детализация звонков и смс с Базовыми Станциями (1 сутки) – 6 000 ₽
• Детализация звонков и смс с Базовыми Станциями (1 месяц) – 12 000 ₽
• Детализация звонков и смс с Базовыми Станциями (6 мес) – 25 000 ₽
• Местоположение абонента (вспышка) – 3 500 ₽
• Детализация СМС с текстом один месяц (Москва) – от 85 000 ₽
(цены на другие регионы уточняйте)

МЕГАФОН
• Пробив по номеру – 1 700 ₽
• Пробив по данным – 1 700 ₽
(для пробива необходимо: ФИО и ДР) (цена за один номер 1 700 ₽, если у абонента более одного номера – 850 ₽ за каждый доп. номер, начиная со второго)
• Блокировка номера – от 4 500 ₽
• Детализация звонков и смс – 21 000 ₽
6 000 ₽/мес начиная со второго месяца
• Детализация звонков и смс с Базовыми Станциям – от 45 000 ₽
(цена может отличаться в зависимости от региона)
• Детализация СМС с текстом один месяц (Москва) – от 85 000 ₽
(цены на другие регионы уточняйте)

ТЕЛЕ2
• Пробив по номеру – 4 500 ₽
• Блокировка номера – от 5 000 ₽
• Детализация звонков и смс ФИЗ лицо (первый месяц) – 10 000 ₽
5 000 ₽/мес начиная со второго месяца
• Детализация c Базовыми Станциями – от 45 000 ₽
(стоимость может отличаться в зависимости от региона)
• Детализация СМС с текстом один месяц (Москва) – от 85 000 ₽
(цены на другие регионы уточняйте)

ЙОТА
• Детализация c Базовыми Станциями – от 45 000 ₽
• Детализация СМС с текстом один месяц (Москва) – от 85 000 ₽
(цены на другие регионы уточняйте)

Ростелеком
• Детализация c Базовыми Станциями – от 45 000 ₽
• Детализация СМС с текстом один месяц (Москва) – от 85 000 ₽
(цены на другие регионы уточняйте)

Украина
• Мобильный пробив – 90 $
• Вспышка (одно местоположение телефона в дневное время) – 300 $
• Детализация с БС (6 мес) – 320 $
• Прослушка мобильных телефонов (только GSM) – цена обсуждается индивидуально

Предусмотрены скидки для постоянных и оптовых клиентов!

#Osint_tools
Прекрасный инструмент для counter_osint:

@EmailLeaks_bot

Проверьте подтекает ли ваша почта.
Также гляньте, может и ваш телефон стал объектом утечки @PhoneLeaks_bot;
Однако, в текущих реалиях я думаю это уже не новость, а то ли еще будет?
Как говорит дядюшка Муз Zitz: Не протекайте 😉