Ghostbusters: деанонимизация Ghost in the Block

В этой публикации мы деанонимизируем один из популярных каналов с "сигналами", который облапошил много людей своими предложениями купить "перспективную крипту" или другие активы. Просто за излишнюю наглость.

Это пост из моего телеграм-канала, который может быть интересен более широкой аудитории. Потому что он смешной и детективный.

Все началось с того, что автор популярноого канала Ghost in the Block выложил на свою стотысячную аудиторию пост следующего содержания:

Мне скинули этот пост, мол, смотри, тебя назвали клоуном и еще и на бой вызвали. Я немедля пошел в комментарии и предложил честный бой по правилам бокса.

В ответ они стали удалять мои сообщения и угрожать отобрать мой ненаглядный телеграм-канал:

Мой канал мне очень дорог из-за вас, дорогие подписчики. Которых уже 32 776 человек, розовощеких, румяных, с пылу с жару. Поэтому угрозу я воспринял серьезно и решил разобраться, что же это за Призраки такие, великие и могучие.

Сперва я выяснил, что Ghost in the Block это некая мощная группа анонимных криптовалютчиков, провозглашающая великое цифровое будущее во главе с собой. Группа эта повёрнута на анонимности и регулярно противопоставляет себя различным спецслужбам.

Кое-как уворачиваясь от смертельных ударов, мне удалось выяснить, что эти ребята нигде не указывают свои имена, предпочитая называть себя "призраками" и скрываться за красивыми японскими аватарками.

Помимо безумных постов в своем телеграм-канале, ребята регулярно выкладывают торговые сигналы. Рекомендуют к покупке различные криптовалютные активы, и если актив затем вырос, то старательно пиарят этот факт. Если же актив наоборот просел и читатели потерпели убыток, старый пост удаляется.

Несмотря на то, что автор(ы) канала считают себя умнее всех остальных, в интернете много жалоб на их инвестиционные рекомендации.

Даже до смешного доходит. Кто-то пытался поквитаться с автором канала, но его обманули, украли его персональные данные, а потом угрожали.

Да что же это за Дон Карлеоне такой, этот мистер Ghost? Неужели и мне грозит опасность? Попробуем выяснить.

Все участники великого клана призраков блюдут анонимность. У всех картинки вместо фото, имена профиля в телеграм нигде не засвечены, а в чатах даже банят за реальное фото или имя в профиле.

Телефоны в профилях тоже не указаны.

Идем в гугл — ники не гуглятся.

Пробив по базам тоже не дал результата.

Базовый OSINT ничего не дал и было принято решение двинуться по денежным следам. За всю историю наши призраки наклянчили аж целый биткойн!

Наклянченый биткойн далее отправился на 31mv3p6L6tM6NvuhzgFmJvsF8VSF84LCp7, потом вся сумма ушла на 15jNCKm4U8kFHnqLz4f5wkvSFnPFFQnbW7 — видимо так таинственный герой представлял себе заметание следов — и далее приземлился на один из горячих кошельков бинанса 1NDyJtNTjmwk5xPNhjgAMu4HDHigtobu1s.

Если бы мы ловили настоящего преступника, а не мамкиного призрака, можно было бы запросить на основании уголовного дела у Бинанса персональные данные владельца аккаунта, но нашему пациенту пока предъявить нечего. Оставим эту ниточку и пойдем дальше.

Вот тут наш герой является членом мультисига торнадо кэш.

Кроме манифестов ничего интересного.

Ползаем в гугле по запросу Ghost in the Block дальше. Восьмой ссылкой находим сайт.

Сайт https://ghostintheblock.com сразу редиректит на промежуточный канал в телеграм, который редиректит на реальный канал в телеграм (это они так защищаются от бана канала через накрутку ботов и затем жалобы этих ботов в администрацию телеги).

О! Сайт это уже что-то.

Контактная информация владельца, очевидно, скрыта.

В гугле никто интересный на https://ghostintheblock.com также не ссылается.

Сам сайт был зарегистрирован в 2021 году и сейчас моментально перенаправляет нас на канал. Но было ли так всегда?

Прыгаем в любимую машину времени и смотрим, как выглядел сайт сразу после создания. Привычная уже нам ебанина про величие призраков, статьи из канала и любопытная ссылка "Связь с владельцем":

И это наш Дон Карлеоне, карающий непокорных и ворочающий миллиардами!

Кажется, что этот парень выглядит слишком безобидно, чтобы возглавлять великое анонимное братство.

Поиск по нику в телеграм-каналах дает единственный результат:

Что интересно — спустя ровно час после публикации запись была отредактирована и ник «помощника» исчез. Господи, благослави кэширование TgStat! Не прощают ошибок женщины и интернет-кэш.

Папы Карлоса в указанном чате почему-то нет. Зато, смотрите, кто там есть:

Совпадение? Не думаю.

Конечно, доказательства все еще косвенные — допустим, свой контакт на сайте оставил безобидный дизайнер, помогавший влиятельным призракам с раскруткой, а истинный злой гений по-прежнему скрывается в тени.

На нашу удачу, величие Евгения не утаить и оно неудержимо прорывается наружу в виде т.н. «семинаров». Это специальный канал на ютубе, где мистер Legendary Ghost в течение 30-40 минут томным голосом нашептывает свои соображения о мироустройстве. Не уснуть вам поможет только постоянно подкрадывающаяся к горлу тошнота от содержания.

Наш главный кандидат на роль лидера призраков Евгений Пантелеев тоже не отстает. Вспоминаем, что он является автором и, так уж вышло, исполнителем невероятных рэп-композиций. Прослушивать на свой страх и риск.

Цитировать лирику не будем из уважения к читателю — после пассажа про «ведь успех это не шерсть и не мех» пришлось сделать перерыв на ор.

Остается лишь сравнить голоса рэпера Женьки и Легендарного Призрака. Для анализа голосовых характеристик и последующего сравнения мы будем использовать PRAAT.

И что бы вы думали?

Также у меня есть очень много других данных на этого человека и связанных с ним людей, но их я выкладывать не буду, они вам не столь интересны.

Благодаря этим данным я теперь переживаю за свой любимый телеграм-канал гораздо меньше.

Далее мы можем анализировать звонки, встречи и переписки Евгения, и вычислить всех его друзей. Если он сам не захочет нам в этом помочь. А захотеть помочь у него будут причины, ведь въедливый и добросовестный сотрудник полиции может усмотреть в действиях Евгения по облапошиванию населения состав преступления, предусмотренный статьей 159 ч.4 УК РФ.

Достаточно будет получить аккаунты Евгения (или его подельников) на бирже, доказать, что он ими пользовался, и перед своими постами закупал те активы, которые сам же и рекламировал, и тем самым обогащался за счет подписчиков. Давал рекомендации он, кстати, не имея лицензии на инвестиционное консультирование, что также является правонарушением. Люди теряли деньги, о чем есть свидетельства в Интернете, и найти потерпевших и помочь им правильно составить заявления на вашу группу (а я знаю, что вы это сейчас читаете) мне будет совершенно не трудно.

На вашем месте, Евгений, я бы немедленно прекратил противоправную деятельность. И больше публично не обзывался и не угрожал моему маленькому, но столь любимому телеграм-каналу.