Представьте, что ваш смартфон — это маленький предатель в кармане, который то и дело норовит сообщить миру, где вы находитесь. А уж если в чужие руки попадёт… Однако отследить телефон без возможности к нему прикоснуться — задача сложнее, чем уговорить кота принять ванну. К тому же это минное поле из этики и законов (запомните это, авантюристы!).

В статье мы рассмотрим только легальные OSINT-методы (работа с открытыми данными), но сразу предупреждаю, что шпионить за людьми без их ведома — это не просто некрасиво, это и уголовная ответственность! Играть в Штирлица можно только в кино или с прямого разрешения.

Часть 1: Шпионим дистанционно

«Алло, это доставка пиццы!» или социальная инженерия для ленивых

Наиболее простой, но часто пылящийся на полке метод — просто спросить! Да-да, как в старом-добром детективе. Позвоните или напишите владельцу телефона под правдоподобной личиной. Нашли в соцсетях, что человек любит суши? Звоните «из любимого суши-бара». Работал в «Рогах и Копытах»? Притворитесь кадровиком из прошлого.

Ключ к этому методу — убедительная легенда! Подумайте, как спросить «Где ты?» и что ответить на закономерное «А вы кто?» и «Вам это зачем?» Риск? Огромный! Могут послать куда подальше или раскусить быстрее, чем вы успеете сказать «геолокация». Так что метод требует актерского мастерства как минимум уровня любительского театра.

«Найди мой Айфон или Андроид» (взлом цифрового поводка)

Вспомнили про встроенные «маячки» от Google и Apple? Злоумышленник о них тоже помнит! Если он знает ваш email и пароль от учетки (а их, увы, частенько выуживают из утекших баз данных), то он может зайти на google.com/android/find или icloud.com/find и увидеть ваш телефон на карте, как булавку на глобусе! Но! Телефон должен быть включен, онлайн, и служба геолокации — активна. И главное, без актуального пароля этот «поводок» не сработает.

Геолокаторы (цифровые крючки и приманки к ним)

Это специальные «шпионские приманки» — ссылки или файлы. Жертва клюет — и ее координаты уплывают прямиком к «рыболову». Отправляют их через СМС, почту, мессенджеры (особенно удобно в WhatsApp/Telegram, где видно статус «прочитано»). Кликнул — считай, отправил свою локацию.

Точность варьируется: GPS — это снайпер, Wi-Fi — хороший стрелок, вышки сотовой связи — стрельба по площадям, а IP — это как тыкнуть пальцем в карту мира. Но есть и минусы. Жертва должна клюнуть. Плюс современные ОС и браузеры часто спрашивают: «Эй, этому сайту можно твою геопозицию?» — здесь это становится еще одним препятствием.

OSINT/GeoINT (игра в Шерлока Холмса)

Самый кропотливый, но иногда очень результативный метод — собирать пазл из цифровых крошек искомого человека. Соцсети — золотая жила! Геометки на фото, фразы вроде «застрял в пробке на Невском», «как же жарко в Крыму!», фото с местного фестиваля тыкв.

Даже фотографии без меток могут выдать тайну, поскольку умный ИИ или внимательный глаз найдет на заднем фоне узнаваемое здание, вывеску «Старбакс», номер дома или характерный пейзаж (этот уродливый памятник в парке ни с чем не спутаешь!). Эффективность зависит от вашей «болтливости» в сети и настроек приватности.

Мы публиковали много статей о различных методах OSINT. Подробнее о работе с открытыми источниками данных читайте, например, здесь.

ADINT (рекламный шпионаж)

Это уже метод косвенный и очень хитроумный. Представьте, что злоумышленник настраивает сверхузкую рекламную кампанию (в Яндекс.Директ, Google Ads), скажем, только для посетителей конкретного ТЦ или даже улицы. Реклама — что-то уникальное и легко узнаваемое, вроде «Скидка 100% на полеты в стратосферу ТОЛЬКО для тех, кто СЕЙЧАС в ТЦ 'МегаХлам'».

Если ваш телефон (с включенным рекламным ID) в этой зоне и вам показывается эта реклама — БИНГО! Это косвенный сигнал: «Он здесь был!». Операторы связи тоже умеют в такой таргетинг. Это как игра в «холодно-горячо», только с реальной слежкой.

Часть 2: Когда удалось получить мобильник

Если телефон хоть на минуту попал в ваши руки, открываются гораздо более мощные (и скрытные) возможности для слежки. Действовать в таком случае необходимо быстро и чётко.

Родительский контроль

Приложения, которые родители ставят детям, чтобы те не шлялись где попало, могут стать и шпионским ПО. Нужно один раз физически скачать и установить такое приложение из официального магазина, дать ему ВСЕ разрешения и настроить аккаунт «наблюдателя». После этого Большой Брат в лице вас может смотреть, где находится устройство, и даже видеть его маршруты за день. Удобно? Для родителя — да. Для жертвы тайной слежки — жуть!

Услуга оператора «Где мой “Ребенок”»?

Операторы (МТС, Билайн и другие) также предлагают легальные услуги слежки в формате родительского контроля. Родитель подключает ее в личном кабинете и указывает номер ребенка. Требуется подтверждение с его телефона (SMS или USSD). После этого можно слать запросы и видеть локацию на карте. Точность? Зависит от вышек сотовой связи. В городе — десятки метров (может показать дом), в поле — километры (покажет лес или поле). Основание — законное (родитель-ребенок) или явное согласие. Без этого — снова уголовка!

Трансляция геопозиции

В мессенджерах (Telegram, WhatsApp) и картах (Google Maps) есть функция поделиться геопозицией в реальном времени. Злоумышленник может активировать ее на вашем телефоне (например, в Telegram: создать чат, нажать Геопозиция -> Поделиться на время -> выбрать 1 час/8 часов) и удалить само сообщение с вашего телефона! А в своем клиенте он будет видеть ваше перемещение, как гонку «Формулы-1» на карте. Коварно и неочевидно!

Часть 3: Как не стать жертвой слежки?

Против социнженерии

Включите внутреннего параноика. Незнакомец спрашивает: «Где вы?» Задайте встречные вопросы: «Из какого отдела?», «Ваш служебный номер?», «Официальный запрос пришлите!» Не ведитесь на спешку со стороны звонящего — это явный признак социальной инженерии! Повесили трубку? Перезвоните по номеру с официального сайта (а не тому, что вам дали). И наконец, меньше личной информации в открытом доступе — меньше материала для легенды шпиона!

Против функции «Найди Устройство»

Здесь главное — это пароли. Делайте их длинными, уникальными и сложными, как головоломка. Никогда не используйте пароли повторно — это как один ключ на всех дверях. И регулярно проверяйте email/телефон на haveibeenpwned.com — не «светились» ли вы в утечках? Скомпрометировали пароль? Меняйте немедленно!

Против геолокаторов

Никогда не кликайте на сомнительные ссылки! Даже от знакомых (аккаунт могли взломать). Проверяйте URL: наведите курсор (на ПК) или задержите палец (на телефоне) — куда реально ведет эта «безобидная» ссылка? Опасайтесь опечаток (goggle.com), странных доменов и сокращенных URL.

Против OSINT/GeoINT

Затяните гайки приватности в соцсетях: кто видит ваши посты, друзей, фото? И вырубите геометки на корню! Кроме того, прежде чем выложить фото/видео, проверьте фон: нет ли там узнаваемых мест, вывесок, номеров машин, адресов? И отключите сохранение GPS в метаданных фото (настройки камеры).

Против ADINT

Проверьте, каким приложениям вы дали доступ к геолокации. Отключите разрешения у всех ненужных, особенно у подозрительных или рекламных. И откажитесь от рекламного ID в настройках.

Против физического доступа

Защитите экран блокировки как Форт Нокс (6+ цифр PIN или сложный пароль). Запретите установку приложений из неизвестных источников (Android). И главное, регулярно проверяйте разрешения приложений: кому доступ к локации, микрофону, камере? Отзовите всё ненужное! Проверьте подключенные услуги у оператора (через ЛК или USSD). В Telegram: Чаты -> ... (три точки) -> Активные трансляции. Удалите ВСЁ, что не узнаете или не включали сами!

Заключение

Запомните! Знание — сила. Но сила должна использоваться во благо (и в рамках закона!). Эти методы описаны не для того, чтобы вы пошли шпионить за соседом, а в первую очередь чтобы вы поняли, как защитить себя от тех, кто этим занимается нелегально. Делитесь статьей осторожно, чтобы повысить всеобщую цифровую грамотность, но не навредить окружающим!