collaboration@zerotak.com

Studiu de caz: Training pentru autoritățile de aplicare a legii

Cele mai multe investigații de criminalitate cibernetică nu încep cu o confesiune sau cu un martor. Încep cu un fragment: o adresă de wallet, o captură de ecran, un timestamp care poate fi sau nu real, un IP care a aparținut cuiva timp de patruzeci de minute.

Distanța dintre acel fragment și un suspect identificat este locul în care are loc munca investigativă modernă. Zerotak a livrat un program specializat de training în securitate cibernetică și investigații digitale pentru autorități europene de aplicare a legii, adresând acest decalaj. Obiectivul: conectarea cunoștințelor teoretice cu fluxurile reale de investigație, printr-o metodologie structurată, susținută de simulări live pe date reale.

Iată ce a acoperit programul și două dintre scenariile pe care participanții le-au parcurs.

Scope-ul trainingului

Programul a acoperit următoarele domenii operaționale:

  • Investigații blockchain: urmărirea fluxurilor de criptomonede, identificarea exchange-urilor, înțelegerea comportamentului mixerelor, lucrul cu platforme de analiză.
  • Open Source Intelligence (OSINT): recunoaștere structurată, analiză social media, geolocalizare, analiză de mediu.
  • Folosirea bazelor de date cu breșe și leak-uri pentru atribuire: interogarea breșelor publice și a logurilor de infostealer, corelarea identificatorilor între seturi de date, construirea lanțurilor de atribuire.
  • Investigații metadata: analiză EXIF, metadata din documente, artefacte de rețea, forensics de sistem de fișiere.
  • Domain Intelligence: pivotare WHOIS, istoric DNS, certificate transparency, analiză de registrar.
  • Investigații ransomware: profilarea actorilor, maparea infrastructurii, urmărirea plăților, monitorizarea site-urilor de leak.
  • Digital Forensics: gestionarea probelor, analiză de disc și memorie, investigații pe dispozitive mobile.
  • Steganografie: tehnici de detecție, purtători comuni, tooling pentru extragerea conținutului ascuns.

Fiecare modul a inclus fluxuri practice de investigație, demonstrații de tooling și exerciții bazate pe scenarii. Formatul a fost construit intenționat cu accent pe lucrul practic.

Ofițerii nu au nevoie de încă o prezentare cu slide-uri.

Au nevoie să lucreze efectiv pe date realiste.

Scenariul 1: De la o adresă IP la o persoană identificată

Una dintre cele mai importante sesiuni a implicat un exercițiu live pornind de la un singur indicator: o adresă IP.

Ofițerii au parcurs procesul astfel:

  1. Au interogat baze de date de infostealer și repository-uri publice de breșe pentru adresa IP.
  2. Au identificat o breșă recentă în care adresa IP apărea în setul de date scurs.
  3. Au determinat că datele compromise erau asociate cu o platformă de gaming online.
  4. Au stabilit că acel cont de gaming fusese creat folosind adresa IP aflată sub investigație.
  5. Au identificat un cont de Facebook asociat cu profilul de gaming.
  6. Au corelat indicatorii geografici din profilul de Facebook cu geolocalizarea IP-ului, rezultând o potrivire pozitivă a locației.

Rezultat: Un singur IP s-a transformat într-un profil complet.

Două aspecte merită evidențiate:

Economia breșelor este acum infrastructură investigativă. Logurile de infostealer și bazele de date cu breșe nu mai sunt doar o problemă pentru victime. Pentru investigatori, leak-urile de infostealer sunt unul dintre cele mai subestimate puncte de pornire.

Atribuirea este un lanț, nu o interogare. Nicio sursă unică nu a livrat suspectul. Fiecare pas a confirmat o ipoteză și a deschis următorul pas. Ofițerii care tratează investigația ca „rulează un tool și primești răspunsul” ratează cazurile care necesită pivotare între mai multe surse.

Scenariul 2: Atribuire temporală prin analiza umbrelor

În timpul uneia dintre sesiunile OSINT, participanții au primit o singură fotografie și o dată aproximativă. Fără timestamp vizibil. Fără date EXIF.

Întrebarea: la ce oră a fost făcută această imagine?

Ofițerii au parcurs următoarea abordare:

  1. Au identificat obiecte fixe de referință în imagine, precum clădiri, stâlpi și structuri verticale cu geometrie cunoscută.
  2. Au măsurat unghiul și lungimea umbrelor proiectate de acele obiecte.
  3. Au estimat azimutul și elevația soarelui pe baza direcției umbrelor.
  4. Au corelat locația geografică cu datele despre poziția solară.
  5. Au corelat rezultatul cu instrumente publice de traiectorie solară.
  6. Au restrâns intervalul orar probabil în care imaginea a fost capturată.

Aceasta este o tehnică utilă în sine. Lecția mai amplă a fost metodologia: atunci când o sursă de date eșuează, investigația nu se oprește. Semnalele de mediu, raționamentul geometric și datele de referință disponibile public pot reconstrui ceea ce eliminarea metadata-ului trebuia să ascundă.

Același principiu se aplică pentru video, înregistrări audio — zgomot ambiental, analiza frecvenței zumzetului electric — și orice artefact în care suspectul a încercat să curețe urmele evidente, dar a lăsat intacte indiciile contextuale.

Cine ar trebui să își instruiască investigatorii în acest mod

Acest tip de program este construit pentru:

  • Unități de criminalitate cibernetică care lucrează cazuri de ransomware, business email compromise, fraudă online și criptomonede.
  • Divizii anti-narcotice și de criminalitate financiară care se intersectează cu piețe crypto și infrastructură de spălare de bani online.
  • Unități de afaceri interne și intelligence care gestionează OSINT și activități legate de identitatea digitală.
  • Procurori și magistrați care trebuie să înțeleagă ce le aduc investigatorii și ce poate fi susținut în instanță.

Cerința comună este relevanța operațională. Teoria fără exerciții bazate pe cazuri nu se transferă în munca reală. Ofițerii rețin ceea ce au fost nevoiți să rezolve sub presiune, nu ceea ce au citit pe un slide.

De ce a contat acest engagement

Acesta nu a fost un program teoretic. Participanții au rulat exerciții live folosind tehnicile investigative acoperite în curs: pivotare OSINT, fluxuri de lucru de digital forensics și lanțuri de atribuire. Fiecare scenariu a produs rezultate concrete, în condiții care au reflectat munca reală de caz. Investigatorii din sală nu învață să apere un perimetru; învață să construiască un caz.

Trainingul Zerotak este construit în jurul a ceea ce funcționează în fața unui procuror, nu a ceea ce arată impresionant într-un demo.

Contactează-ne

Dacă unitatea ta are nevoie de training structurat, bazat pe scenarii, în investigații de criminalitate cibernetică, urmărire blockchain, OSINT sau digital forensics, discută cu noi despre scope și livrare. Suntem siguri că putem crea un program axat pe cele mai importante probleme ale tale.

Completează formularul și vom reveni către tine.

Ready to get started?

Get in touch with one of our experts today to discuss your business needs.

Contact Us