Mutt
Professional
- Messages
- 1,452
- Reaction score
- 1,035
- Points
- 113
Начну с небольшого лирического вступления.
В СШП (соединённых штатах пендосии) исторически сложилась парадигма транспарентности реестров, в XXI веке всё ещё доступна информация о записях осуществленных в XIX веке. (в их число входят судебные дела, земельные сделки, семейные древа и т.п.)
Государственный аппарат свободной (от международных обязательств, а так-же человеческих принципов) и капиталистический омерики является главным выгодоприобретателем, он легитимизировал обработку крайне чувствительных личных данных для наиболее значимых корпораций.
Корпы научились эффективно собирать, структурировать, анализировать и скрещивать данные из различных источников, затем по всем канонам B2B, начали активно продавать готовые цифровые портреты граждан любому, кто приходил с деньгами.
Вам, наверное интересно, какие данные включает в себя цифровой портрет? О большинстве ситизенсов известно буквально всё: текущий и предыдущие адреса проживания, номера телефонов, адреса электронной почты, список родственников и социальных связей, те или иные лицензии, судимости, банкротства, автомобили во владении, прошлые и нынешние работодатели, сведения об образовании и поверьте мне, список этим не ограничивается...
Добавьте сюда трекеры от техно-гигантов вроде Google, Amazon, Meta, Cloudflare и фраза про цвет трусов картхолдера больше не будет восприниматься как шутка.
Как вы уже могли понять, заявления государства об охране и неприкосновенности частной жизни - лишь дешевый флёр, за которым скрывается целая инфраструктура из прокси-инструментов вроде Experian, Equifax, Transunion, LexisNexis, Innovis, Endato, PeopleConnect и других.
Честное слово, где-то в гробу перевернулся один Оруэлл.
Существует несколько отправных точек для осуществления поиска, на практике вы всегда будете знать с чего лучше начать, в своём примере я буду использовать First Name + Last Name + City & State.Familytreenow - это полностью бесплатный инструмент, необходимый для получения общих сведений о человеке. (в терминологии каржа background чекер, в простонародье BG)
Найдена одна запись, если бы поисковый запрос был лишён города, в результате отобразились бы десятки или сотни неймсейков. (в простонародье тёзки)Для того чтобы посмотреть bg-репорт достаточно кликнуть по кнопке "View Details".
Ниже представлены скриншоты из бэкграунд-отчёта, предлагаю ознакомиться с ними.
В подавляющем числе случаев, вам не потребуется сохранять список всех адресов и номеров. Я буду резюмировать полученную информацию в универсальном формате фуллочной картотеки. (фуллка, фуллз, fullz, full info - обобщённый термин обозначающий полный набор персональных идентификаторов )
Базовая информация собрана, пришло время обратиться к альтернативному BG чекеру с расширенным датасетом - Truthfinder.Рекомендую внимательно ознакомиться со всеми скриншотами:
Труф часто отображает штат в котором был выпущен SSN.
Не брезгуйте кнопкой подгрузки доп. информации, уже не один раз она спасала нервные клетки, во время прохождения KBA. (Knowledge-Based Authentication, подробнее об этом ближе к концу статьи)
Внушительный объем информации, не так ли ? Просто изучая BG репорты Джеймса, мы обнаружили адреса проживания, контактные данные, записи о банкротстве, аффилированность с благотворительной организацией YMCA, профессиональные лицензии, автомобили во владении и многое другое. Хотя насыщенность отчётов рознится от фуллки к фуллке, зачастую данных достаточно для результативной работы.Я не случайно расположил скриншоты с емейлами в самом конце, не многие знают, что после определённого периода неактивности, адреса электронной почты вновь становятся доступными для регистрации. Тот же принцип применим к частным доменам, когда в бг фигурируют корп. почты, можно проверять домены на доступность, и если они не заняты - использовать в своих интересах.
Конечно же, в первую очередь выгоднее проверять традиционные почтовые сервисы, вроде Gmail, Yahoo, Aol и Hotmail.
Для того, чтобы пойти дальше - необходимо пробить SSNDOB. (на рынке сотни сервисов предлагающих данную услугу)
Настала пора обновлять запись в картотеке:
Следующим шагом станет пробив кредитного отчёта, (CR - Credit Report, в простонародье - кр) для его получения мы воспользуемся информацией из BG + SSNDOB.Annualcreditreport позволяет раз в неделю бесплатно запросить кредитный отчёт из любого бюро большой троицы - Equifax, Experian и TransUnion. В своем примере я буду использовать TransUnion.
Если указать в заявке номер телефона из бг, почти наверняка, окажется так, что он уже есть в записях TU, в таком случае методом идентификации послужит одноразовый код, получаемый через смс или звонок. Если указывать номер телефона которого нету в записях трансюниона, то идентификация будет осуществляться посредством KBA о котором я писал выше.Учитывая тот факт, что доступ к номеру холдера отсутствует - верным решением станет использование рандомного номера телефона. (можно заменить 4 последние цифры любого номера из бг)
Порой бывает так, что вопросы и варианты ответов ложные заранее, это один из приёмов защиты в KBA. Первый вопрос был из их числа, в данном случае я уже видел записи о банкротстве и стоимости дома, поэтому выбрал None of the Above.Второй вопрос возвращает к записи о текущем адресе - 3104 S Birch St, Perryton, TX, 79070 (Jan 2022 - Jul 2025). Индексация в бг иногда осуществляется с задержкой, учитывая тот факт, что указан январь 2022, почти наверняка холдер живёт там с конца 2021.
Небольшой полезный оффтоп
Для ответа на третий вопрос обращаем внимание на номер телефона (402) 654-2103 (HOOPER TELEPHONE COMPANY). В результате KBA успешно пройден.
Кредитный репорт из TransUnion выглядит следующим образом:
До кучи можно пробить кредитный рейтинг (CS - Credit Score, в простонародье кс)В качестве примера я использую Credit Karma, однако существует множество аналогичных сервисов. (Upgrade, CreditWise, MyFico, Credit Sesame и другие)
В Credit Karma схожий с TransUnion принцип в отношении номера телефона. Так как я использую одноразовый номер, который не имеет отношения к холдеру, задействуется процедура KBA, для её прохождения использую данные полученные в BG и CR.
Пришло время вновь обновить запись по фуллке:
Знаю, что некоторым из вас, не до конца понятна информация фигурирующая в кредитном отчёте, это тема для отдельной статьи, в будущем разберу всё детально. Целью первой статьи из модуля, я ставил демонстрацию несовершенства системы идентификации на основе открытых данных. Базовые механизмы защиты в финансовом секторе построены на необходимости подтвердить ту информацию, которую андеррайтеры знают заранее. Учитывая тот факт, что критически значимые персональные данные, доступны буквально любому желающему за пару копеек, (иногда и вовсе бесплатно) - нам остаётся лишь эффективно мимикрировать под очередного Джона Доу, чтобы сделать деньги из воздуха и пустить их на ветер. До встречи, господа, всем успехов!
(c) ANARCHY
