OSINT для правоохранительной деятельности: практический курс

Практический курс по разведке по открытым источникам для сотрудников правоохранительных органов. Вы освоите полный цикл OSINT-расследования: от постановки задачи и поиска данных о физлицах до анализа финансовых рисков, работы с техническими инструментами и фиксации доказательств по профессиональным стандартам.

1. Методология и планирование OSINT-расследования

Методология и планирование OSINT-расследования

Представьте: следователь получает задачу — проверить гражданина по подозрению в мошенничестве. Он заходит в Google, вводит фамилию, листает первые страницы результатов, находит пару ссылок и формирует отписку: «данных не обнаружено». Через месяц другой специалист за три часа находит десять аккаунтов подозреваемого в соцсетях, три зарегистрированных компании и следы криптопереводов. Разница — не в доступе к информации, а в методологии.

OSINT (Open Source Intelligence) — разведывательная деятельность, основанная на сборе и анализе информации из открытых источников. В правоохранительной сфере это системный процесс, а не случайный поиск. Без чёткой методологии расследование превращается в хаотичный серфинг, который съедает время и не даёт результата.

Цикл OSINT-расследования

Любое OSINT-расследование проходит через пять последовательных фаз, каждая из которых завершается конкретным промежуточным продуктом.

Фаза 1 — Постановка задачи. Здесь формулируется цель расследования, определяется объект (физическое лицо, организация, домен, IP-адрес), задаются временные рамки и юрисдикция. Ключевой принцип: задача должна быть конкретной и проверяемой. Не «узнать всё о человеке», а «установить связь между гражданином Ивановым и ООО «ТехноСервис» за период с января по декабрь 2025 года».

Фаза 2 — Сбор данных. Поиск информации по заданным критериям с использованием инструментов и источников. На этой фазе важно фиксировать каждый шаг: какой запрос использован, какой источник дал результат, какова дата обращения.

Фаза 3 — Верификация. Проверка достоверности собранных данных через перекрёстные источники. Информация из одного источника — это гипотеза, информация из трёх независимых источников — подтверждённый факт.

Фаза 4 — Анализ. Установление связей между объектами, построение хронологии событий, выявление закономерностей. Именно здесь разрозненные факты превращаются в доказательную базу.

Фаза 5 — Фиксация и отчёт. Оформление результатов в форме, пригодной для использования в процессуальной деятельности: с указанием источников, хешей файлов, цепочки хранения.

Планирование: от задачи к гипотезе

Планирование — это не формальность, а фундамент всего расследования. Начните с гипотезы — предположения, которое вы будете подтверждать или опровергать. Гипотеза задаёт вектор поиска и не даёт уйти в сторону.

Пример гипотезы для правоохранительной деятельности: «Гражданин Петров, находящийся в розыске, использует никнейм «shadow_kz» на нескольких платформах и проживает в Алматы». Из этой гипотезы вытекают конкретные шаги: поиск аккаунта shadow_kz в соцсетях, проверка геолокационных данных, анализ связанных email-адресов.

Составьте план расследования — таблицу с колонками:

| Элемент плана | Содержание | |---|---| | Цель | Что именно нужно установить | | Объект | ФИО, никнейм, email, телефон, домен | | Источники | Какие реестры, соцсети, базы данных использовать | | Инструменты | Какие технические средства применить | | Временные рамки | Период поиска и дедлайн расследования | | Ожидаемый результат | Какой формат доказательств нужен |

Управление информационным потоком

Главная ловушка OSINT — информационная перегрузка. При поиске по имени «Иванов» в Google вы получите миллионы результатов. Задача — не собрать максимум, а собрать релевантное.

Используйте принцип воронки: начинайте с широкого поиска, затем последовательно сужайте критерии. Первый проход — общий поиск по имени и фамилии. Второй проход — поиск с учётом города и профессии. Третий проход — поиск по конкретным платформам и связанным идентификаторам.

Для управления потоком данных ведите журнал расследования — хронологическую запись каждого действия. Формат записи: дата и время, выполненное действие, источник, полученный результат, степень достоверности. Этот журнал впоследствии станет частью отчёта и цепочки хранения доказательств.

Этические и юридические рамки

OSINT в правоохранительной деятельности работает в жёстких правовых рамках. Три принципа, которые нельзя нарушать:

Принцип легальности. Используются только открытые источники — данные, которые доступны любому пользователю без нарушения авторизации. Взлом аккаунтов, использование украденных баз данных, несанкционированный доступ к закрытым системам — это не OSINT, а уголовное преступление.

Принцип пропорциональности. Объём собираемых данных должен соответствовать тяжести расследуемого деяния. Проверка по мелкому административному правонарушению не требует анализа всей цифровой биографии лица.

Принцип защиты персональных данных. Даже если данные получены из открытых источников, их обработка и хранение должны соответствовать требованиям законодательства о персональных данных (в России — 152-ФЗ, в Казахстане — Закон «О персональных данных и их защите»).

Практический алгоритм запуска расследования

  • Получите и зафиксируйте постановку задачи от руководства или процессуального документа.
  • Определите объект расследования и все известные идентификаторы (ФИО, дата рождения, телефон, email, никнейм, ИИН/ИНН).
  • Сформулируйте минимум три гипотезы, которые нужно проверить.
  • Составьте план с перечнем источников и инструментов.
  • Настройте безопасную рабочую среду: отдельный браузер или виртуальная машина, VPN, отдельные учётные записи.
  • Начните сбор данных, фиксируя каждый шаг в журнале расследования.
  • По завершении каждой сессии сохраняйте промежуточные результаты и делайте резервные копии.

    • Методология — это скелет расследования. Без неё даже самый мощный инструментарий превращается в бесполезную игрушку. С ней — даже базовый поиск в Google даёт юридически значимый результат.

    2. Поиск и верификация данных о физических лицах

    Поиск и верификация данных о физических лицах

    Следователь получил задачу: проверить гражданина, подозреваемого в мошенничестве с недвижимостью. Известны только фамилия, имя и примерный возраст. Через два часа систематического поиска в открытых источниках выясняется, что у этого человека — три зарегистрированных юрлица, действующий исполнительный лист на 2 миллиона рублей и аккаунт в Telegram, где он продаёт несуществующие квартиры. Вся эта информация была в открытом доступе — нужно лишь знать, где и как искать.

    Начало поиска: формирование профиля объекта

    Первый шаг — собрать все известные идентификаторы объекта и систематизировать их. Идентификатор — любой уникальный или полууникальный признак, по которому можно найти человека в информационных системах.

    Первичные идентификаторы (точные данные):

  • ФИО и дата рождения
  • ИИН/ИНН/СНИЛС
  • Номер телефона
  • Email-адрес
  • Номер паспорта или водительского удостоверения

    • Вторичные идентификаторы (выводимые данные):

  • Никнеймы в соцсетях и мессенджерах
  • Фотографии лица
  • Адреса регистрации и проживания
  • Место работы и должность
  • Номера автомобилей

    • Каждый идентификатор — это точка входа в отдельную систему поиска. Чем больше идентификаторов собрано на старте, тем шире поле для верификации.

    Проверка по государственным реестрам

    Государственные реестры — первый и самый надёжный источник для проверки физического лица. Информация в них официальная и юридически значимая.

    Российская Федерация:

  • ФССП (fssp.gov.ru) — проверка исполнительных производств. Поиск по ФИО и дате рождения покажет все действующие долги, суммы и реквизиты исполнительных документов. Это первое, что нужно проверять: наличие крупных долгов часто указывает на мотивацию для мошенничества.
  • ЕГРЮЛ/ЕГРИП (egrul.nalog.ru) — проверка регистрации юридических лиц и ИП. По ИНН или ФИО можно установить, является ли лицо учредителем, директором или бенефициаром компании.
  • Картотека арбитражных дел (kad.arbitr.ru) — поиск судебных дел, где лицо выступает истцом, ответчиком или третьим лицом. Здесь же — банкротные дела.
  • ГАС «Правосудие» (sudrf.ru) — дела мировых и районных судов общей юрисдикции.
  • Розыск МВД (mvd.ru) — проверка нахождения в розыске.

    • Казахстан:

  • eGov (egov.kz) — единый портал государственных услуг с доступом к реестрам.
  • Комитет государственных доходов (kgd.gov.kz) — проверка налоговой задолженности и регистрации бизнеса.
  • Судебный портал (sud.gov.kz) — дела судов всех инстанций.

    • Украина:

  • YouControl, Opendatabot, Clarity Project — коммерческие агрегаторы, объединяющие данные из десятков государственных реестров в единый профиль компании или лица.

    • При проверке по реестрам фиксируйте: URL страницы, дату и время обращения, полученные данные. Сделайте скриншот — содержание реестров может измениться.

    Проверка по негативным и розыскным базам

    Помимо государственных реестров, существуют специализированные базы, агрегирующие негативную информацию:

  • Сайты банков-эквайеров и МФО — проверка на «чёрные списки» заёмщиков.
  • Базы судебных приставов — не только ФССП, но и региональные реестры.
  • Списки террористов и экстремистов — Росфинмониторинг (fedsfm.ru), санкционные списки ЕС, США (OFAC), ООН.
  • Банк данных исполнительных производств — позволяет увидеть не только сумму долга, но и взыскателя, что помогает установить контрагентов.

    • Поиск цифрового следа

    Цифровой след — это совокупность данных, которые человек оставляет в интернете: аккаунты, публикации, комментарии, загруженные файлы.

    Поиск по email. Email — один из самых ценных идентификаторов, потому что люди часто используют одну почту для регистрации на десятках платформ. Инструменты:

  • holehe — проверяет регистрацию email на 120+ платформах (GitHub, Adobe, Twitter и др.)
  • Have I Been Pwned (haveibeenpwned.com) — показывает, в каких утечках данных фигурировал этот email
  • Google-поиск по запросу "email@example.com" — находит публичные упоминания почты

    • Поиск по номеру телефона. Номер телефона привязан к мессенджерам и соцсетям:

  • Telegram — поиск по номеру телефона (если пользователь не скрыл его в настройках)
  • WhatsApp — проверка наличия аккаунта
  • Truecaller, GetContact — определение имени владельца номера (данные из телефонных книг других пользователей)

    • Поиск по никнейму. Один и тот же никнейм на разных платформах — частое явление. Инструменты:

  • Sherlock — автоматический поиск никнейма на 300+ платформах
  • Namechk, KnowEm — проверка доступности/занятости никнейма
  • Ручной поиск: "никнейм" site:vk.com, "никнейм" site:instagram.com

    • Верификация: как отличить факты от совпадений

    Собранные данные требуют обязательной проверки. Типичные ошибки, которые допускают на этом этапе:

    Однофамильцы. Фамилия «Иванов» в России носит более миллиона человек. Проверка только по ФИО без дополнительных идентификаторов (дата рождения, город, ИИН) даёт ложные совпадения.

    Устаревшие данные. Человек мог сменить работу, переехать, закрыть ИП. Информация в реестрах обновляется с задержкой. Проверяйте дату последнего обновления записи.

    Намеренная дезинформация. Подозреваемый мог создать фейковые профили, указать чужие фотографии или ложные данные о месте жительства. Кросс-проверка через несколько независимых источников выявляет противоречия.

    Алгоритм верификации:

  • Каждый найденный факт проверяется минимум через два независимых источника.
  • Фотографии проверяются через обратный поиск изображений (Google Images, Yandex.Images, TinEye).
  • Данные из соцсетей сверяются с государственными реестрами.
  • Противоречия фиксируются и анализируются — они часто важнее подтверждённых фактов.

    • Проверка документов

    Если в распоряжении следователя оказались копии документов (паспорт, водительское удостоверение, свидетельство о регистрации), их authenticity проверяется через:

  • EXIF-анализ — метаданные файла показывают дату создания, устройство, координаты (если фото сделано камерой с GPS).
  • Сравнение с образцами — реестры бланков документов, публикуемые государственными органами.
  • Проверка серии и номера — в ряде стран доступна онлайн-проверка действительности паспорта по серии и номеру.

    • Систематический поиск по физическому лицу — это не один запрос в Google, а последовательная цепочка проверок, где каждый найденный идентификатор открывает доступ к новому источнику данных.

    3. Анализ финансовых рисков и бизнес-связей

    Анализ финансовых рисков и бизнес-связей

    В 2024 году оперативники одного из управлений МВД проверяли гражданина по делу о хищении бюджетных средств. Формально он не имел отношения ни к одной компании. Но после построения графа связей через открытые реестры выяснилось: его жена — учредитель ООО, тесть — директор этого же ООО, а брат — единственный контрагент по госзакупкам на сумму 47 миллионов рублей. Ни одна из этих связей не была очевидна при поверхностной проверке. Именно анализ бизнес-связей превращает набор имён в доказательство коррупционной схемы.

    Зачем правоохранителю анализ бизнес-связей

    Преступления в экономической сфере редко совершаются от имени реального бенефициара. Мошенники, коррупционеры и отмыватели денег используют цепочки подставных лиц: номинальных директоров, аффилированные компании, транзитные счета. Задача OSINT-специалиста — вскрыть эту структуру через открытые источники.

    Три ключевых вопроса, на которые отвечает анализ бизнес-связей:

  • Кто является реальным бенефициаром компании, а не номинальным директором?
  • Какие аффилированные структуры контролирует одно лицо или группа лиц?
  • Существуют ли транзитные схемы: компания А → компания Б → компания В, где конечный получатель — подконтрольное лицо?

    • Источники данных о компаниях и связях

    ЕГРЮЛ и ЕГРИП (egrul.nalog.ru) — базовый источник. По ИНН или названию компании вы получаете: дату регистрации, юридический адрес, уставный капитал, сведения об учредителях, генеральном директоре, коды ОКВЭД. Особое внимание — на смену директора и учредителей: частые изменения часто указывают на «дробление» бизнеса или вывод активов.

    Картотека арбитражных дел (kad.arbitr.ru) — здесь хранятся все судебные дела с участием компании: иски, банкротства, дела о привлечении к субсидиарной ответственности. Анализ судебной истории компании за 3–5 лет показывает паттерн поведения: систематические неисполнения обязательств, частая смена контрагентов, участие в однотипных спорах.

    Единый федеральный реестр сведений о банкротстве (bankrot.fedresurs.ru) — данные о процедурах банкротства, включая реестр кредиторов, сведения об имуществе должника и торгах. Критически важен при расследовании преднамеренного банкротства.

    Система госзакупок (zakupki.gov.ru) — контракты, заключённые компанией с государственными заказчиками. Анализ позволяет выявить: монопольное положение на торгах, завышение цен, связь заказчика и подрядчика через общих учредителей.

    Построение графа связей

    Граф связей — визуальная схема, показывающая отношения между лицами, компаниями, адресами и счетами. В правоохранительной деятельности это не просто красивая картинка, а аналитический инструмент, позволяющий увидеть структуру, которая неочевидна при чтении реестров.

    Что отображается на графе:

  • Узлы — физические лица, юридические лица, адреса, счета, домены
  • Рёбра — связи: учредитель, директор, совладелец, контрагент, зарегистрирован по адресу, владелец домена

    • Пример построения: Исходная точка — ООО «Альфа». Из ЕГРЮЛ видим: учредитель — гражданин Петров, директор — гражданин Сидоров. Проверяем Петрова — он также учредитель ООО «Бета». Проверяем Сидорова — он директор ещё трёх компаний. Все четыре компании зарегистрированы по одному адресу. ООО «Бета» является единственным поставщиком для ООО «Альфа» по данным zakupki.gov.ru. На графе это выглядит как звезда с центром в адресе регистрации — типичный признак фирм-однодневок.

    Инструменты для визуализации:

  • Maltego — классический инструмент для построения графов связей с автоматическим обогащением данных через трансформации (подробнее — в статье о технических инструментах)
  • Draw.io, yEd — ручное построение диаграмм связей
  • Gephi — анализ сложных сетей с выявлением кластеров

    • Финансовый OSINT: следы денег

    Финансовый OSINT — это отслеживание денежных потоков через открытые источники. В отличие от анализа бизнес-связей, здесь объектом являются не компании, а транзакции и счета.

    Открытые источники финансовых данных:

  • Реестр дисквалифицированных лиц (bankrot.fedresurs.ru) — лица, которым запрещено занимать руководящие должности
  • ЕФРСБ — сведения о залогах движимого имущества (efrsb.ru)
  • Реестр недобросовестных поставщиков (zakupki.gov.ru) — компании, отстранённые от госзакупок

    • Блокчейн-анализ. Если расследование связано с криптовалютами, открытые блокчейн-эксплореры позволяют отслеживать транзакции:

  • Blockchain.com, Blockchair — Bitcoin
  • Etherscan — Ethereum
  • TONScan — TON

    • Каждая транзакция в публичном блокчейне — это запись навсегда. Можно увидеть: откуда пришли средства, куда ушли, в каком объёме и в какое время. Проблема — привязка кошелька к конкретному лицу. Но если кошелёк использовался для оплаты на бирже с KYC-верификацией, идентификация возможна через запрос правоохранительных органов.

    Проверка контрагентов и санкционные списки

    При расследовании экономических преступлений необходимо проверять не только подозреваемого, но и его контрагентов. Один из контрагентов может оказаться в санкционном списке, что квалифицирует деяние по более тяжёлой статье.

    Санкционные списки для проверки:

  • Росфинмониторинг (fedsfm.ru) — список террористов и экстремистов
  • OFAC SDN List (ofac.treasury.gov) — США
  • EU Sanctions Map (sanctionsmap.eu) — Евросоюз
  • Consolidated UN Security Council Sanctions List (scsanctions.un.org) — ООН

    • Проверка осуществляется по наименованию компании, ФИО лица и ИНН/регистрационному номеру. Совпадение хотя бы по одному критерию требует углублённой проверки.

    Практический кейс: вскрытие транзитной схемы

    Задача: Установить бенефициара группы компаний, через которые выводились бюджетные средства на сумму 120 млн руб.

    Ход расследования:

  • По данным госзакупок определены три компании-подрядчика, получившие контракты на однотипные работы.
  • Из ЕГРЮЛ установлены учредители — три разных человека без явных связей.
  • Проверка по адресу регистрации: все три компании зарегистрированы в одном бизнес-центре, офис 14.
  • Проверка по судебным делам: все три компании фигурируют в одном банкротном деле как кредиторы одного и того же должника.
  • Анализ учредителей должника: среди них — супруга одного из учредителей трёх компаний.
  • Построение графа показало замкнутый контур: бюджет → компания А → компания Б → компания В → физическое лицо (супруга).

    • Результат: граф связей стал основой для ходатайства о проведении выемки документов и допроса всех участников цепочки.

    Анализ бизнес-связей и финансовых потоков — это навык, который превращает OSINT-специалиста из «сборщика фактов» в аналитика, способного реконструировать преступную схему по открытым данным.

    4. Технические инструменты сбора и визуализации данных

    Технические инструменты сбора и визуализации данных

    Оперуполномоченный вручную проверяет 47 подозрительных доменов: заходит на каждый, копирует данные WHOIS, записывает IP-адреса, ищет связанные email. На это уходит три рабочих дня. Его коллега запускает один скрипт — и через 20 минут получает полную карту инфраструктуры: все домены, поддомены, IP-адреса, открытые порты, связанные email и историю DNS-записей. Разница — в умении использовать технические инструменты OSINT.

    Классификация инструментов

    Инструменты OSINT делятся на четыре категории по способу применения:

    Поисковые системы и Dorking — расширенные запросы к Google, Yandex, Bing, позволяющие находить скрытые от обычного поиска страницы и файлы.

    Автоматизированные фреймворки — программы, которые по одному входному параметру (домен, email, имя) собирают данные из десятков источников.

    Специализированные платформы — сервисы для поиска по конкретному типу данных: утечки, IoT-устройства, метаданные, изображения.

    Инструменты визуализации — программы для построения графов связей и анализа сетей.

    Google Dorking: поисковые запросы как оружие

    Google Dorking — это использование операторов расширенного поиска для нахождения информации, которая не появляется в обычных результатах. Для правоохранительной деятельности это базовый и самый доступный инструмент.

    Ключевые операторы:

    | Оператор | Назначение | Пример | |---|---|---| | site: | Ограничение доменом | site:vk.com "Иванов Иван" | | filetype: | Поиск по типу файла | filetype:pdf "протокол допроса" | | intitle: | Слова в заголовке | intitle:"личный кабинет" site:gov.kz | | inurl: | Слова в URL | inurl:admin site:example.com | | " " | Точное совпадение фразы | "Петров Иван Сергеевич" Алматы | | - | Исключение слова | "Иванов" -Иванович | | cache: | Кэшированная версия | cache:example.com/page | | before: / after: | Временной диапазон | "Петров" after:2024-01-01 |

    Практический пример для правоохранительной деятельности: Подозреваемый использует никнейм «darkvendor99». Запрос intext:"darkvendor99" filetype:pdf находит PDF-документ на форуме, где этот никнейм указан как контактное лицо для закупки. Запрос site:t.me darkvendor99 находит Telegram-канал. Запрос "darkvendor99" site:pastebin.com находит скрип с номерами кошельков.

    Maltego: визуализация связей

    Maltego — инструмент для визуального анализа связей между объектами: людьми, компаниями, доменами, IP-адресами, email, телефонами. Работает по принципу трансформаций: вы указываете начальный объект (например, домен), а Maltego автоматически находит связанные сущности через подключённые источники данных.

    Что умеет Maltego:

  • По домену — найти все поддомены, IP-адреса, MX-записи, связанные email
  • По email — найти зарегистрированные аккаунты, связанные домены
  • По имени — найти профили в соцсетях, упоминания в СМИ
  • По IP — определить хостинг-провайдера, геолокацию, соседние сайты

    • Практический сценарий: Исходная точка — домен подозрительного интернет-магазина. Maltego за 5 минут строит граф: домен → IP-адрес → хостинг-провайдер → ещё 12 доменов на том же IP → email администратора → аккаунт в LinkedIn → компания-регистратор. Визуально видно, что все 12 доменов принадлежат одному лицу.

    Версии: Maltego Community (бесплатная, с ограничениями), Maltego XL и Maltego Ultimate (платные, расширенные трансформации).

    Sherlock и аналоги: поиск по никнеймам

    Sherlock — консольный инструмент с открытым кодом, который по одному никнейму проверяет его наличие на 300+ платформах: соцсети, форумы, хостинги кода, блоги.

    Результат — список платформ, где этот никнейм зарегистрирован, с прямыми ссылками на профили. Аналоги: Maigret (форк Sherlock с расширенной базой), WhatsMyName (веб-версия).

    Для правоохранительной деятельности это критически важно: человек может использовать разные имена на разных платформах, но один и тот же никнейм. Sherlock находит все такие привязки за секунды.

    Shodan: разведка инфраструктуры

    Shodan — поисковая система для интернет-инфраструктуры. В отличие от Google, который индексирует веб-страницы, Shodan индексирует устройства: серверы, камеры наблюдения, маршрутизаторы, промышленные системы управления (SCADA).

    Что можно найти через Shodan:

  • Открытые порты и сервисы на IP-адресе
  • Версии программного обеспечения (и известные уязвимости)
  • Геолокацию сервера
  • SSL-сертификаты и их владельцев
  • Камеры видеонаблюдения с открытым доступом

    • Пример запроса: org:"Подозрительная компания" port:3389 — находит все серверы компании с открытым RDP-протоколом (удалённый рабочий стол), что указывает на уязвимость инфраструктуры.

    Для расследований Shodan полезен при анализе киберпреступлений: определение сервера, с которого вёлся фишинг, выявление инфраструктуры ботнета, установление хостинга нелегального контента.

    theHarvester: сбор email и доменов

    theHarvester — инструмент для сбора email-адресов, поддоменов, IP и имён сотрудников по домену организации. Использует данные из Google, Bing, DuckDuckGo, Shodan, crt.sh и других источников.

    Результат — список email-адресов сотрудников, поддомены, IP-адреса. Это позволяет составить профиль организации и определить потенциальные точки входа для дальнейшего расследования.

    Анализ метаданных файлов

    Фотографии, документы и другие файлы содержат метаданные — скрытую техническую информацию: модель камеры, дату съёмки, GPS-координаты, программу редактирования, имя автора.

    Инструменты для EXIF-анализа:

  • ExifTool — универсальный консольный инструмент для извлечения и редактирования метаданных
  • Jeffrey's EXIF Viewer — веб-инструмент для быстрого просмотра
  • FotoForensics — анализ манипуляций с изображениями (ELA-анализ)

    • Практический пример: Подозреваемый публикует фотографию «из отпуска на море». EXIF-анализ показывает: снимок сделан камерой iPhone 14 Pro, GPS-координаты указывают на жилой район Алматы, дата съёмки — 3 дня назад. Это опровергает его алиби о нахождении в другом городе.

    Важно: соцсети (VK, Instagram, Facebook) при загрузке удаляют EXIF-данные. Поэтому для анализа метаданных необходимо работать с оригиналами файлов, полученными напрямую, а не через соцсети.

    Инструменты верификации изображений

    Обратный поиск изображений — ключевой метод проверки подлинности фотографий:

  • Google Images (images.google.com) — поиск по загруженному изображению
  • Yandex.Images — наиболее точен для распознавания лиц и восточноевропейского контента
  • TinEye — находит все версии изображения в интернете с указанием даты первого появления
  • Bing Visual Search — альтернатива с хорошей базой

    • InVID/WeVerify — плагин для браузера, предназначенный для верификации видео и изображений. Извлекает ключевые кадры из видео, выполняет обратный поиск, анализирует метаданные, проверяет геолокацию.

    Безопасная рабочая среда

    При работе с техническими инструментами критически важно защитить собственную идентичность:

  • Отдельный браузер или профиль — без привязки к личным аккаунтам
  • VPN — смена IP-адреса для предотвращения отслеживания
  • Виртуальная машина — изолированная среда, которая не затрагивает основную систему
  • Отдельные учётные записи — для регистрации на OSINT-платформах использовать одноразовую почту и виртуальный номер

    • Технические инструменты — это не самоцель, а средство. Каждый инструмент должен выбираться под конкретную задачу расследования, а результаты его работы — фиксироваться в журнале с указанием времени, параметров и полученных данных.

    5. Фиксация доказательств и подготовка отчетов

    Фиксация доказательств и подготовка отчетов

    Следователь потратил неделю на OSINT-расследование: нашёл компрометирующие посты в соцсетях, установил связи между компаниями, выявил транзитные счета. Представил материалы в суд. Адвокат защиты задал один вопрос: «Где доказательства, что эти скриншоты не были изготовлены в Photoshop?» Скриншоты без метаданных, без хешей, без цепочки хранения — суд отклонил всё собранные материалы. Расследование провалилось не из-за плохого поиска, а из-за отсутствия фиксации.

    Почему скриншота недостаточно

    Скриншот — это изображение экрана. Он не содержит информации о том, когда и откуда был получен контент, не имеет криптографической защиты от изменений и легко подделывается. В юридической практике скриншот без сопроводительных данных оспаривается за минуту.

    Что не может доказать обычный скриншот:

  • Дату и время получения контента
  • Подлинность URL-адреса источника
  • Отсутствие манипуляций с содержимым
  • Целостность данных с момента фиксации

    • По данным исследований, 94% цифровых доказательств из соцсетей живут считанные часы: пользователь удаляет пост, модерация блокирует контент, платформа меняет интерфейс. Если не зафиксировать доказательство немедленно и надлежащим образом — оно исчезнет.

    Стандарты фиксации цифровых доказательств

    Существуют международные и национальные стандарты, определяющие требования к фиксации цифровых доказательств:

    ISO/IEC 27037 — международный стандарт по руководству по идентификации, сбору, приобретению и сохранению цифровых доказательств. Определяет требования к цепочке хранения (chain of custody), документированию процедуры и обеспечению целостности данных.

    Постановление Пленума ВС РФ от 23.04.2019 №10 — закрепляет допустимость скриншотов как доказательств при условии, что они содержат адрес интернет-страницы и точное время получения. Однако при оспаривании другой стороной скриншот без метаданных легко отклоняется.

    Ст. 71 ГПК РФ — письменные доказательства в форме цифровой записи, полученные посредством электронной связи, включая данные из интернета.

    Ст. 102 Основ о нотариате — нотариус обеспечивает доказательства путём осмотра интернет-страниц и составления протокола. Стоимость — от 3 500 до 15 000 руб. за страницу в Москве. Это «золотой стандарт» для судов, но дорого и медленно для массового применения.

    Алгоритм фиксации: шесть шагов

    Шаг 1 — Идентификация доказательства

    Зафиксируйте точный URL (пермалинк) каждого элемента:

  • VK: vk.com/wall{id}_{post_id} — прямая ссылка на пост
  • Telegram: используйте web.telegram.org (не мобильное приложение)
  • X (Twitter): нажмите на временную метку для получения пермалинка
  • LinkedIn: «Три точки» → «Копировать ссылку»

    • Шаг 2 — Полноформатная фиксация

    Захват должен включать не только скриншот, но и технические данные:

  • Полноэкранный скриншот страницы
  • Полный HTML-код страницы (исходный код)
  • HTTP-заголовки ответа сервера
  • TLS-сертификат (подтверждает подлинность сервера)
  • URL и временную метку захвата
  • Информацию о браузере и устройстве

    • Шаг 3 — Фиксация контекста

    Доказательство не существует в вакууме. Необходимо зафиксировать:

  • Ветки комментариев и ответов
  • Профиль автора (отдельно от публикации)
  • Информацию о группе или канале
  • Метрики: лайки, репосты, просмотры (доказывают охват и значимость)
  • Вложенные медиафайлы

    • Шаг 4 — Криптографическое подтверждение

    SHA-256 хеш — уникальная контрольная сумма файла. Любое изменение файла (даже один бит) даёт совершенно другой хеш. Хеш фиксируется в момент создания доказательства и позволяет в любой момент проверить, не было ли изменений.

    Пример: хеш файла screenshot_2025-04-12.jpga3f2b8c1d4e5.... Если через месяц кто-то откроет этот файл в Photoshop и сохранит — хеш изменится, и подделка будет обнаружена.

    Блокчейн-метка времени — запись хеша файла в блокчейне (например, через OpenTimestamps с использованием сети Bitcoin). Это независимое подтверждение существования файла в определённый момент времени, которое невозможно подделать или изменить задним числом.

    Шаг 5 — Цепочка хранения (Chain of Custody)

    Цепочка хранения — документальная фиксация всех действий с доказательством от момента его получения до представления в суд. Записывается:

  • Кто зафиксировал доказательство (ФИО, должность)
  • Когда (дата, время с указанием часового пояса)
  • С какого устройства и IP-адреса
  • Где хранится (минимум две копии в разных местах)
  • Кто имел доступ к доказательству после фиксации

    • Шаг 6 — Независимое подтверждение

    Для усиления доказательственной силы параллельно сохраните страницу в:

  • Wayback Machine (web.archive.org) — автоматический архив интернета
  • archive.today — мгновенный снимок страницы

    • Это создаёт независимое подтверждение от третьей стороны: если ответчик утверждает, что скриншот подделан, архивная копия подтверждает, что контент действительно существовал.

    Специфика фиксации по платформам

    Каждая платформа имеет особенности, которые влияют на метод фиксации:

    Telegram — самая сложная платформа. Функция «Удалить для всех» работает без ограничения по времени. Секретные чаты не хранятся на серверах. Журнал действий администратора доступен только 48 часов. Фиксация: через веб-клиент web.telegram.org, с прокруткой всей переписки перед захватом.

    VK — посты удаляются мгновенно. Профиль может быть закрыт в любой момент. Истории исчезают через 24 часа. VK активно сотрудничает с российскими правоохранительными органами по 152-ФЗ, но процесс получения данных через запрос занимает недели. Немедленная самостоятельная фиксация критически важна.

    WhatsApp — «Удалить для всех» работает ~60 часов. Фиксация: через WhatsApp Web с полноформатным захватом.

    LinkedIn — профили перезаписываются без истории изменений. Фиксируйте полный профиль: опыт, навыки, рекомендации — из залогиненного и незалогиненного браузера (разный контент).

    Структура OSINT-отчёта

    Отчёт — это финальный продукт расследования, по которому принимается процессуальное решение. Он должен быть структурированным, воспроизводимым и юридически корректным.

    Раздел 1 — Вводная часть:

  • Цель и задачи расследования
  • Объект исследования (ФИО, идентификаторы)
  • Период исследования
  • Использованные источники и инструменты
  • Исполнитель и дата

    • Раздел 2 — Методология:

  • Описание применённых методов поиска
  • Перечень использованных инструментов с версиями
  • Ограничения исследования

    • Раздел 3 — Результаты:

  • Хронология собранных данных
  • Описание каждого найденного факта с указанием источника
  • Графы связей и визуализации
  • Таблица соответствия: факт — источник — степень достоверности

    • Раздел 4 — Анализ и выводы:

  • Подтверждённые факты
  • Опровергнутые гипотезы
  • Неподтверждённые данные, требующие дополнительной проверки
  • Выводы с указанием уровня уверенности

    • Раздел 5 — Приложения:

  • Скриншоты с указанием URL и даты
  • SHA-256 хеши всех файлов
  • Цепочка хранения (chain of custody)
  • Журнал расследования

    • Уровни уверенности в выводах

    В отчёте каждый вывод должен сопровождаться оценкой достоверности:

    | Уровень | Описание | Основание | |---|---|---| | Подтверждено | Факт верифицирован через 3+ независимых источника | Кросс-проверка, совпадение данных | | Вероятно | Факт подтверждён 2 источниками | Есть основания, но нет полной определённости | | Непроверено | Информация получена из 1 источника | Требуется дополнительная верификация | | Опровергнуто | Противоречит данным из надёжных источников | Кросс-проверка выявила несоответствие |

    Типичные ошибки фиксации

    Ошибка 1 — Скриншот без URL и даты. Суд не может установить, когда и откуда получен контент. Решение: каждый скриншот сопровождается URL, датой и временем в журнале.

    Ошибка 2 — Нет цепочки хранения. Непонятно, кто и когда зафиксировал доказательство, не было ли изменений. Решение: ведение chain of custody с момента первого обращения к источнику.

    Ошибка 3 — Фиксация из кэша или репоста, а не из оригинала. Репост может содержать изменённый контент. Решение: всегда фиксировать первоисточник по прямой ссылке.

    Ошибка 4 — Смешивание фактов и предположений в отчёте. Суд отвергает отчёт, в котором невозможно отделить доказанные факты от гипотез. Решение: чёткое разделение разделов «Результаты» и «Анализ».

    Ошибка 5 — Отсутствие хешей файлов. Невозможно доказать, что файл не был изменён после фиксации. Решение: SHA-256 хеш каждого файла в момент создания, записанный в манифест.

    Оптимальная стратегия для правоохранительной деятельности

    Для повседневной работы следователя и оперуполномоченного рекомендуется двухуровневая стратегия фиксации:

    Уровень 1 — оперативная фиксация. Для всех найденных данных: полноформатный скриншот + HTML + SHA-256 хеш + запись в журнале расследования. Это можно делать вручную или с помощью специализированных инструментов.

    Уровень 2 — нотариальное обеспечение. Для ключевых доказательств, которые будут представлены в суд: нотариальный протокол осмотра интернет-страницы (ст. 102 Основ о нотариате). Это дорого, поэтому применяется выборочно — к самым важным материалам.

    Параллельно — сохранение в Wayback Machine и archive.today для независимого подтверждения.

    Фиксация доказательств — это не последний этап расследования, а процесс, который начинается с первого найденного факта и продолжается до момента передачи материалов в суд. Каждый шаг, который не зафиксирован, — это шаг, который не существует для правосудия.