?️ Практический кейс: от анонимного домена к реальной личности

Задача:
Установить владельца фишингового сайта "*******", через который была совершена атака с целью кражи аккаунта WhatsApp.

Шаг 1: Анализ WHOIS

Результат:

• Регистратор: REG.RU

• Владелец: Private Person (данные скрыты)

• Хостинг: Cloudflare (скрывает реальный IP)

Вывод: Прямые данные недоступны. Переходим к OSINT.

Шаг 2: Поиск социальных следов

Google: "***" site:vk.com

Результат:
VK-группа "******" (26 900 подписчиков). Администратор группы — ХХХХХХХ.

Шаг 3: Анализ активности администратора

Метод: Просмотр комментариев админа в группе за 2018-2020 гг.

Результаты:

• Отвечает на технические вопросы (как установить, где скачать, проблемы с активацией)

• Упоминает «наш сайт ХХХХХХХХ»

• Даёт инструкции по исправлению ошибок CMS

Вывод: Не просто модератор группы, а технический владелец с доступом к сайту и базам данных.

Шаг 4: Поиск в LinkedIn

Запрос: "********" site:linkedin.com

Фильтры:

• Навыки: C++, Frontend, Fullstack, Web Development

• Локация: Россия → Сербия (красный флаг: переезд в юрисдикцию с затруднённой экстрадицией)

Результат:
Найден профиль: ***********, ранее Балашиха/Реутов, ныне Белград, Fullstack Developer.

Шаг 5: Подтверждение через Telegram

Telegram-канал ***********:
38 876 подписчиков. Админ публикует обновления софта, отвечает на вопросы.

Связь:
VK-группа → админ "**********" → Telegram ******* → LinkedIn ******** из Балашихи.

Итоговая вероятность

80-90%: *********** из Балашихи (ныне в Сербии) является владельцем/администратором "******"

Юридическая оценка:

• Статья 146 УК РФ (нарушение авторских прав) — распространение пиратского ПО

• Статья 272 УК РФ (неправомерный доступ) — если сайт использовался для фишинга

• Статья 273 УК РФ (создание вредоносных программ) — если встроены эксплойты

?️ Инструменты и чек-лист

Бесплатные инструменты

WHOIS и домены:

• whois.com — международный WHOIS

• reg.ru/whois — для доменов .ru/.рф

• who.is — с историей изменений

Reverse Image Search:

• images.google.com

• yandex.ru/images

• tineye.com

Username Search:

• sherlock-project.github.io — поиск по 300+ сайтам

• whatsmyname.app — веб-версия

• namechk.com — проверка занятости никнейма

Архивы:

• web.archive.org — история изменений сайтов

Telegram:

• @userinfobot — User ID и история username

Платные сервисы

Российские базы:

• Seldon.Basis — ЕГРЮЛ, телефоны, адреса, связи

• СПАРК-Интерфакс — финансовая отчётность, связи

• Контур.Фокус — данные по компаниям и ИП

Международные:

• Pipl.com — поиск по имени, email, телефону

• Social-searcher.com — мониторинг упоминаний в соцсетях

• PimEyes.com — поиск лиц на фотографиях

Чек-лист проверки Telegram-аккаунта

text☐ Телефонный номер виден в профиле?  
   → Если да: запрос к оператору через суд

☐ Username публичный?  
   → Если да: поиск в Google/Yandex, Sherlock

☐ Фото профиля оригинальное?  
   → Если да: reverse image search

☐ Переписка содержит уникальные детали (номера договоров, адреса, суммы)?  
   → Если да: контекстный анализ + требование объяснений от оппонента

☐ Есть email/SMS с того же лица с упоминанием Telegram?  
   → Если да: пересечение каналов связи

☐ Оппонент ранее признавал общение через этот аккаунт?  
   → Если да: ссылка на протоколы, письма, свидетелей

☐ Оппонент заявил о взломе?  
   → Требовать: заявление в полицию, подтверждение блокировки номера

☐ Можно привлечь свидетелей?  
   → Если да: ходатайство о вызове свидетеля

☐ Телефонный номер виден в профиле? → Если да: запрос к оператору через суд ☐ Username публичный? → Если да: поиск в Google/Yandex, Sherlock ☐ Фото профиля оригинальное? → Если да: reverse image search ☐ Переписка содержит уникальные детали (номера договоров, адреса, суммы)? → Если да: контекстный анализ + требование объяснений от оппонента ☐ Есть email/SMS с того же лица с упоминанием Telegram? → Если да: пересечение каналов связи ☐ Оппонент ранее признавал общение через этот аккаунт? → Если да: ссылка на протоколы, письма, свидетелей ☐ Оппонент заявил о взломе? → Требовать: заявление в полицию, подтверждение блокировки номера ☐ Можно привлечь свидетелей? → Если да: ходатайство о вызове свидетеля

? Шаблоны документов

1. Ходатайство о запросе данных у оператора связи

textВ [название суда]

От истца/заявителя: [ФИО, адрес]
К ответчику: [ФИО, адрес]
Дело № [номер]

ХОДАТАЙСТВО
об истребовании доказательств

На основании статьи 57 Гражданского процессуального кодекса РФ / статьи 66 Арбитражного процессуального кодекса РФ прошу суд истребовать у [ПАО «МТС» / ПАО «Мегафон» / ПАО «Вымпелком» / ПАО «Т2 Мобайл»] следующие сведения об абоненте телефонного номера +7 (XXX) XXX-XX-XX:

1. Фамилия, имя, отчество лица, на которое зарегистрирован номер
2. Паспортные данные абонента
3. Адрес регистрации по месту жительства
4. Дата заключения договора об оказании услуг связи
5. Сведения о блокировке/замене сим-карты (при наличии)

ОБОСНОВАНИЕ:

Указанный номер телефона привязан к аккаунту Telegram с username @[nickname], из которого велась переписка, имеющая значение для разрешения спора (приложение: скриншоты переписки, экспорт чата).

Ответчик отрицает принадлежность аккаунта Telegram и факт ведения переписки. Установление владельца номера телефона необходимо для подтверждения личности автора сообщений.

Доказательства самостоятельного получения информации у меня отсутствуют, поскольку в соответствии со статьей 63 Федерального закона «О связи» сведения об абонентах составляют коммерческую тайну оператора связи и не предоставляются третьим лицам без решения суда или запроса уполномоченных органов.

ПРИЛОЖЕНИЯ:
1. Скриншоты Telegram-переписки (X листов)
2. Экспорт чата в формате JSON/HTML (на электронном носителе)

Дата _________                                      Подпись _________

В [название суда] От истца/заявителя: [ФИО, адрес] К ответчику: [ФИО, адрес] Дело № [номер] ХОДАТАЙСТВО об истребовании доказательств На основании статьи 57 Гражданского процессуального кодекса РФ / статьи 66 Арбитражного процессуального кодекса РФ прошу суд истребовать у [ПАО «МТС» / ПАО «Мегафон» / ПАО «Вымпелком» / ПАО «Т2 Мобайл»] следующие сведения об абоненте телефонного номера +7 (XXX) XXX-XX-XX: 1. Фамилия, имя, отчество лица, на которое зарегистрирован номер 2. Паспортные данные абонента 3. Адрес регистрации по месту жительства 4. Дата заключения договора об оказании услуг связи 5. Сведения о блокировке/замене сим-карты (при наличии) ОБОСНОВАНИЕ: Указанный номер телефона привязан к аккаунту Telegram с username @[nickname], из которого велась переписка, имеющая значение для разрешения спора (приложение: скриншоты переписки, экспорт чата). Ответчик отрицает принадлежность аккаунта Telegram и факт ведения переписки. Установление владельца номера телефона необходимо для подтверждения личности автора сообщений. Доказательства самостоятельного получения информации у меня отсутствуют, поскольку в соответствии со статьей 63 Федерального закона «О связи» сведения об абонентах составляют коммерческую тайну оператора связи и не предоставляются третьим лицам без решения суда или запроса уполномоченных органов. ПРИЛОЖЕНИЯ: 1. Скриншоты Telegram-переписки (X листов) 2. Экспорт чата в формате JSON/HTML (на электронном носителе) Дата _________ Подпись _________

2. Ходатайство об истребовании у ответчика

textХОДАТАЙСТВО
об истребовании доказательств у ответчика

На основании статьи 57 ГПК РФ / статьи 66 АПК РФ прошу обязать ответчика предоставить суду:

1. Скриншот раздела «Устройства» (Settings → Devices) в приложении Telegram, установленном на устройствах ответчика, с указанием всех активных и завершённых сессий за период с [дата начала переписки] по [дата окончания переписки].

2. Копию заявления в правоохранительные органы о взломе/несанкционированном доступе к аккаунту Telegram (если ответчик утверждает, что аккаунт использовался третьими лицами без его ведома).

3. Справку оператора связи [название] о блокировке, замене или восстановлении сим-карты номера +7 (XXX) XXX-XX-XX в период с [дата] по [дата] (если ответчик заявляет об утрате контроля над номером).

4. Сведения о всех Telegram-аккаунтах, зарегистрированных на номера телефонов, принадлежащие ответчику (если ответчик утверждает, что использует иной аккаунт).

ОБОСНОВАНИЕ:

Ответчик заявил, что аккаунт Telegram с username @[nickname] ему не принадлежит и переписка велась неизвестными лицами. Указанные доказательства необходимы для проверки данного утверждения и установления истины по делу.

В соответствии со статьей 56 ГПК РФ / статьей 65 АПК РФ каждая сторона должна доказать обстоятельства, на которые она ссылается. Поскольку ответчик утверждает о взломе/несанкционированном использовании аккаунта, бремя доказывания данного факта лежит на нём.

Дата _________                                      Подпись _________

ХОДАТАЙСТВО об истребовании доказательств у ответчика На основании статьи 57 ГПК РФ / статьи 66 АПК РФ прошу обязать ответчика предоставить суду: 1. Скриншот раздела «Устройства» (Settings → Devices) в приложении Telegram, установленном на устройствах ответчика, с указанием всех активных и завершённых сессий за период с [дата начала переписки] по [дата окончания переписки]. 2. Копию заявления в правоохранительные органы о взломе/несанкционированном доступе к аккаунту Telegram (если ответчик утверждает, что аккаунт использовался третьими лицами без его ведома). 3. Справку оператора связи [название] о блокировке, замене или восстановлении сим-карты номера +7 (XXX) XXX-XX-XX в период с [дата] по [дата] (если ответчик заявляет об утрате контроля над номером). 4. Сведения о всех Telegram-аккаунтах, зарегистрированных на номера телефонов, принадлежащие ответчику (если ответчик утверждает, что использует иной аккаунт). ОБОСНОВАНИЕ: Ответчик заявил, что аккаунт Telegram с username @[nickname] ему не принадлежит и переписка велась неизвестными лицами. Указанные доказательства необходимы для проверки данного утверждения и установления истины по делу. В соответствии со статьей 56 ГПК РФ / статьей 65 АПК РФ каждая сторона должна доказать обстоятельства, на которые она ссылается. Поскольку ответчик утверждает о взломе/несанкционированном использовании аккаунта, бремя доказывания данного факта лежит на нём. Дата _________ Подпись _________

3. Ходатайство о назначении компьютерно-технической экспертизы

textХОДАТАЙСТВО
о назначении судебной компьютерно-технической экспертизы

На основании статьи 79 ГПК РФ / статьи 82 АПК РФ прошу назначить по делу судебную компьютерно-техническую экспертизу.

НА РАЗРЕШЕНИЕ ЭКСПЕРТА ПОСТАВИТЬ ВОПРОСЫ:

1. Соответствует ли структура и содержание файла экспорта Telegram-переписки (формат JSON/HTML), представленного истцом, стандартной структуре экспорта данных, создаваемой официальным клиентом Telegram?

2. Имеются ли в файле экспорта признаки редактирования, модификации или подделки содержимого сообщений, временных меток, идентификаторов пользователей?

3. Возможно ли по представленным метаданным (User ID, Phone Number, Username) установить принадлежность аккаунта Telegram конкретному лицу?

4. Соответствует ли последовательность ID сообщений хронологическому порядку и целостности переписки (отсутствуют ли пропуски, указывающие на удаление сообщений)?

5. [Дополнительно при наличии устройства ответчика] Имеется ли на смартфоне ответчика приложение Telegram? Если да, то какие аккаунты (User ID, Phone Number) использовались на данном устройстве в период с [дата] по [дата]?

ОБОСНОВАНИЕ:

Ответчик оспаривает подлинность представленной Telegram-переписки и утверждает о возможной фальсификации доказательств. Разрешение данных вопросов требует специальных знаний в области компьютерной техники и программного обеспечения.

ЭКСПЕРТНОЕ УЧРЕЖДЕНИЕ: [название] / Эксперт: [ФИО, квалификация]

ОБЪЕКТЫ ИССЛЕДОВАНИЯ:
1. Файл экспорта Telegram-чата (JSON/HTML на электронном носителе)
2. Скриншоты переписки (X листов)
3. [При наличии] Смартфон ответчика (с согласия суда)

Дата _________                                      Подпись _________

ХОДАТАЙСТВО о назначении судебной компьютерно-технической экспертизы На основании статьи 79 ГПК РФ / статьи 82 АПК РФ прошу назначить по делу судебную компьютерно-техническую экспертизу. НА РАЗРЕШЕНИЕ ЭКСПЕРТА ПОСТАВИТЬ ВОПРОСЫ: 1. Соответствует ли структура и содержание файла экспорта Telegram-переписки (формат JSON/HTML), представленного истцом, стандартной структуре экспорта данных, создаваемой официальным клиентом Telegram? 2. Имеются ли в файле экспорта признаки редактирования, модификации или подделки содержимого сообщений, временных меток, идентификаторов пользователей? 3. Возможно ли по представленным метаданным (User ID, Phone Number, Username) установить принадлежность аккаунта Telegram конкретному лицу? 4. Соответствует ли последовательность ID сообщений хронологическому порядку и целостности переписки (отсутствуют ли пропуски, указывающие на удаление сообщений)? 5. [Дополнительно при наличии устройства ответчика] Имеется ли на смартфоне ответчика приложение Telegram? Если да, то какие аккаунты (User ID, Phone Number) использовались на данном устройстве в период с [дата] по [дата]? ОБОСНОВАНИЕ: Ответчик оспаривает подлинность представленной Telegram-переписки и утверждает о возможной фальсификации доказательств. Разрешение данных вопросов требует специальных знаний в области компьютерной техники и программного обеспечения. ЭКСПЕРТНОЕ УЧРЕЖДЕНИЕ: [название] / Эксперт: [ФИО, квалификация] ОБЪЕКТЫ ИССЛЕДОВАНИЯ: 1. Файл экспорта Telegram-чата (JSON/HTML на электронном носителе) 2. Скриншоты переписки (X листов) 3. [При наличии] Смартфон ответчика (с согласия суда) Дата _________ Подпись _________

?️ Судебная практика

?Дело № А40-20597/2018 (ВС РФ)

Ситуация: Истец представил WhatsApp-переписку как доказательство договорённостей. Ответчик отрицал принадлежность аккаунта.

Действия истца:
Ходатайство об истребовании данных у МегаФона → получены ФИО владельца номера → совпадение с ответчиком.

Решение суда:
Переписка принята как допустимое доказательство. Ответчик не доказал факт утраты номера или его использования третьими лицами.

?Дело № А40-185032/2019 (АС Московского округа)

Ситуация: Истец представил Telegram-переписку, но не подтвердил принадлежность номера ответчику.

Решение суда первой инстанции:
Переписка признана н��допустимым доказательством из-за неустановленности владельца аккаунта.

Действия истца в апелляции:
Запрос данных у Билайна → получены паспортные данные абонента → совпадение с ответчиком.

Решение апелляции:
Решение пересмотрено в пользу истца. Переписка признана допустимой после установления принадлежности номера.

?Дело № А56-70166/2021 (СИП)

Ситуация: Спор о товарном знаке. Ответчик заявил, что переписка в Telegram сфальсифицирована.

Действия истца:
Назначена компьютерно-техническая экспертиза файла экспорта Telegram → эксперт подтвердил отсутствие признаков редактирования.

Решение суда:
Переписка принята как достоверное доказательство.

✅ Выводы

Что работает:

1. Запрос к оператору связи через суд — самый надёжный способ установить владельца номера

2. OSINT-поиск по username и фото — эффективен для публичных аккаунтов

3. Контекстный анализ + пересечение каналов — усиливает косвенные доказательства

4. Процессуальная активность — требуйте от оппонента доказательств его версии

Что НЕ работает:

1. Простые скриншоты без подтверждения принадлежности аккаунта

2. Ссылка только на username без установления связи с реальным лицом

3. Пассивная позиция «пусть оппонент сам доказывает» — бремя на вас

Главный принцип:

Комбинируйте несколько уровней доказывания. Запрос к оператору + OSINT + контекстный анализ + свидетели = максимальная надёжность.

? Что дальше

В следующей статье разберу проблему целостности цифровых доказательств: как защититься от обвинений в подделке SQLite-базы Telegram, роль криптографического хеширования и нотариального осмотра, процедура верификации через компьютерно-техническую экспертизу.

Остались вопросы? Пишите в комментариях — отвечу и, возможно, добавлю вашу тему в следующую статью! ?

Хештеги: #цифровые_доказательства #telegram #osint #судебная_практика #юридическая_техника #информационная_безопасность