🔍
📌 Шпаргалка #33

Sock Puppet — создание фейковой личности для OSINT

✍️ pentestudy 📅 01.04.2026

🎭 Что такое Sock Puppet

Sock puppet — это вымышленная онлайн-личность, которую создаёт исследователь для работы в открытых источниках без раскрытия своей реальной идентичности.

Представь: ты работаешь под прикрытием. Не как в кино с гримом и париком, а в цифровом мире — отдельное имя, отдельное лицо, отдельный браузер, отдельная сеть. Между тобой и puppet нет ни одной точки пересечения. Вообще ни одной.

Зачем это нужно

  • Защита исследователя — объект расследования не узнает, кто за ним наблюдает
  • Сохранение операции — если puppet «спалили», ты создаёшь нового и продолжаешь, а не начинаешь жизнь с нуля
  • Юридическая изоляция — действия puppet не привязаны к твоей реальной личности
  • Доступ к закрытым сообществам — группы, каналы, форумы, куда не попасть с пустого или «подозрительного» профиля

Где применяется

  • OSINT-расследования — мониторинг мошенников, экстремистских групп, утечек данных
  • Пентест (Red Team) — фаза Reconnaissance: сбор информации о сотрудниках компании-цели через LinkedIn, Facebook, GitHub перед социальной инженерией
  • Журналистика — расследование коррупции, отмывания денег, торговли людьми
  • Корпоративная безопасность — проверка утечек данных компании, мониторинг упоминаний бренда в теневых сообществах
  • Самопроверка — аудит собственного цифрового следа: что о тебе можно найти в открытых источниках

📌 Принцип нулевого пересечения

Это фундамент всей концепции. Между твоей реальной жизнью и puppet не должно быть ни одной связи:

  • Ни одного общего IP-адреса — не заходи в puppet из домашнего Wi-Fi без VPN/Tor
  • Ни одного общего браузера — отдельный профиль или отдельный браузер
  • Ни одного общего аккаунта — не логинься в реальный и puppet-аккаунт в одной сессии
  • Ни одного общего устройства (в идеале) — отдельная виртуальная машина
  • Ни одного совпадения по стилю — если ты пишешь с тире и многоточиями, puppet пишет иначе
  • Ни одного совпадения по времени — если puppet «живёт» в Берлине, он не сидит в сети в 4 утра по берлинскому времени

Аналогия: представь два стакана воды. Если хоть одна капля перетечёт из одного в другой — вся операция скомпрометирована. Стаканы стоят на разных столах, в разных комнатах.

⚡ Пошаговое создание Sock Puppet

Шаг 1 — Создание легенды

Легенда — это полная биография вымышленного персонажа. Чем детальнее, тем правдоподобнее.

Что нужно придумать:

  • Имя и фамилия (типичные для целевого региона)
  • Дата рождения, город проживания
  • Профессия и место работы
  • 2–3 хобби (для наполнения профиля контентом)
  • Краткая «история жизни» — чтобы не путаться при общении

Инструменты:

  • Fake Name Generator (fakenamegenerator.com) — генерирует полный профиль: имя, адрес, дату рождения, телефон-заготовку, email-заглушку. Можно выбрать страну, пол, возрастной диапазон
  • ThisPersonDoesNotExist (thispersondoesnotexist.com) — AI-генерация фотографии лица, которое не принадлежит реальному человеку. Каждое обновление страницы — новое лицо
  • Fawkes (sandlab.cs.uchicago.edu/fawkes) — добавляет невидимые глазу искажения в фотографию, которые ломают системы распознавания лиц. Человек видит нормальное фото, а алгоритм — мусор

Хранение легенды:

Записывай всё в зашифрованный менеджер паролей — KeePassXC (локально) или Bitwarden (облако). Отдельная запись на каждый puppet: логины, пароли, детали легенды, на каких платформах зарегистрирован.

Никогда не используй фото реального человека. Обратный поиск по изображению (Google Images, Yandex Images, TinEye) мгновенно покажет, чьё это лицо. Это и неэтично, и провалит операцию.

Шаг 2 — Изоляция инфраструктуры

Самый критичный шаг. Без изоляции всё остальное бессмысленно.

2.1 — Виртуальная машина

Идеальный вариант — работать с puppet только из отдельной VM:

  • Parrot Home Edition — лёгкий Linux-дистрибутив с встроенным AnonSurf (маршрутизация через Tor одной командой), преднастроенным Firefox без телеметрии, минимальным потреблением ресурсов. Идеален для puppet
  • Whonix — максимальная анонимность: две VM (Gateway + Workstation), весь трафик принудительно через Tor на уровне архитектуры. Утечка IP невозможна by design
  • Linux Mint / Tails — альтернативы: Mint лёгкий, но без встроенной анонимизации; Tails загружается с флешки и не оставляет следов на диске

Установка Parrot Home в VirtualBox:

# Скачать ISO с официального сайта
# https://parrotsec.org/download/ → Home Edition
 
# Создать VM: 2GB RAM, 20GB диск, Debian 64-bit
# Подключить ISO → установить → перезагрузить
 
# После установки — включить AnonSurf:
anonsurf start
 
# Проверить IP (должен показать Tor exit node):
curl ifconfig.me

2.2 — Браузер (если без VM)

Минимальный вариант — отдельный браузерный профиль:

# Firefox — создать изолированный профиль:
firefox -P
# → Create Profile → имя puppet → запускать только этот профиль для работы
 
# Или использовать LibreWolf — Firefox-форк без телеметрии
# Или Tor Browser — весь трафик через Tor автоматически

Никогда не работай с puppet в том же браузере, где открыты личные аккаунты. Даже в разных вкладках. Даже в приватном окне — fingerprinting всё равно работает.

2.3 — Сеть: VPN и Tor

Минимум:  VPN → подключение к серверу в стране из легенды puppet
Средне:   Tor Browser → трафик через цепочку нод, IP не отследить  
Максимум: VPN + Tor → VPN скрывает факт использования Tor от провайдера
Паранойя: Whonix → весь трафик через Tor на уровне ОС, утечки невозможны

Аналогия: VPN — это тонированные стёкла в машине. Tor — это другая машина. Whonix — это другая машина в другом городе.

2.4 — MAC-адрес (при работе через Wi-Fi)

# Linux — временная смена MAC:
sudo ip link set dev wlan0 down
sudo macchanger -r wlan0
sudo ip link set dev wlan0 up
 
# macOS — рандомизация:
sudo ifconfig en0 ether $(openssl rand -hex 6 | sed 's/\(..\)/\1:/g; s/.$//')
 
# На macOS Sonoma+ в настройках Wi-Fi есть "Private Wi-Fi Address" — включить

Шаг 3 — Одноразовый номер телефона

Большинство платформ требуют номер для регистрации. Реальный номер использовать нельзя — он привяжет puppet к тебе.

Варианты от лучшего к простому:

  • Физическая SIM-карта за наличные — PrePago SIM без KYC (зависит от страны). Самый надёжный вариант: нет цифрового следа покупки
  • eSIM без KYC — Silent.link (принимает криптовалюту, не требует верификации личности)
  • VoIP-номера — TextNow, Google Voice, Hushed. Минус: крупные платформы (WhatsApp, Telegram) часто блокируют VoIP
  • SMS-активаторы — sms-activate.org, 5sim.net — одноразовые номера для получения одного SMS. Дёшево (от $0.10), но нестабильно: номер может быть уже «прожжён»

Правило: один номер = один puppet. Не переиспользуй номера между разными puppet'ами.

Шаг 4 — Анонимная почта

Email — второй ключевой идентификатор после номера телефона.

Рекомендуемые сервисы:

  • ProtonMail (proton.me) — регистрация возможна без номера телефона через Tor. End-to-end шифрование по умолчанию
  • Tutanota (tuta.com) — аналог ProtonMail, также без обязательной привязки номера
  • Cock.li — минималистичный почтовый сервис, регистрация без верификации

Правила:

  • Регистрируй почту из-под VPN или Tor, не из домашней сети
  • Имя ящика должно соответствовать легенде: maria.schneider.1987@proton.me, а не xXx_anonymous_xXx@proton.me
  • Никогда не логинься в эту почту из основного браузера
  • Не используй один email для нескольких puppet'ов

Шаг 5 — Регистрация аккаунтов

Когда готово: легенда + фото + изолированная среда + номер + email — создавай аккаунты на нужных платформах.

Порядок:

1. Запустить VM (Parrot Home / Whonix) или изолированный браузер
2. Подключить VPN к серверу в стране из легенды
3. Открыть Tor Browser или преднастроенный Firefox
4. Зарегистрироваться на платформе: одноразовый номер + анонимный email
5. Заполнить профиль по легенде: фото, био, город, интересы
6. НЕ начинать разведку сразу — перейти к прогреву

Какие платформы — зависит от задачи:

  • Telegram, Signal — мессенджеры и каналы
  • Twitter/X, Bluesky — открытые обсуждения и SOCMINT
  • Facebook, Instagram — закрытые группы и профили
  • LinkedIn — корпоративная разведка
  • Reddit, Discord — тематические сообщества и форумы
  • VK, OK — русскоязычный сегмент

Шаг 6 — Прогрев аккаунта

Свежий аккаунт с нулевой активностью — красный флаг. Особенно на Facebook и LinkedIn, где алгоритмы агрессивно банят подозрительные профили.

Минимальный прогрев (1–2 недели):

  • Подпишись на 20–30 аккаунтов по интересам из легенды
  • Ставь лайки, делай репосты нейтрального контента (кулинария, спорт, котики, путешествия)
  • Напиши 3–5 комментариев под чужими постами
  • Опубликуй 2–3 собственных поста (фото еды, мем, ссылка на статью)
  • Добавь в друзья несколько случайных людей (не целей расследования)

Для LinkedIn — дополнительно:

  • Заполни опыт работы (2–3 позиции)
  • Добавь навыки и получи пару endorsements от других puppet'ов (если есть)
  • Вступи в 3–5 профессиональных групп

Аналогия: это как обкатка нового автомобиля — первые 1000 км не газуешь в пол. Даёшь платформе привыкнуть к аккаунту, набрать «социальный вес».

Время прогрева зависит от платформы: Telegram и Discord — можно работать почти сразу. Facebook и LinkedIn — минимум неделю, лучше две.

🔍 Операционная безопасность (OPSEC)

Это не отдельный шаг, а постоянный режим на всём протяжении работы с puppet.

Контроль времени активности

Если puppet «живёт» в Нью-Йорке (UTC-5), а ты находишься в Токио (UTC+9) — не сиди в аккаунте, когда в Нью-Йорке 4 утра. Платформы логируют время активности, и аномалии заметны.

Решение: составь «расписание» puppet — когда он онлайн, когда спит. Придерживайся его.

Контроль стиля письма (стилометрия)

Стилометрия — это анализ авторства текста по паттернам: длина предложений, частотность слов, использование знаков препинания, характерные обороты. Это реальная угроза — исследования показывают, что автора можно определить с высокой точностью по нескольким абзацам.

Как защищаться:

  • Пиши от лица puppet'а иначе, чем в реальной жизни
  • Если обычно пишешь длинно — puppet пишет коротко
  • Если используешь тире и многоточия — puppet использует точки
  • Можно пропускать текст через переводчик туда-обратно (RU→EN→RU) — ломает стилистику

Очистка метаданных

Любой файл, отправленный через puppet, может содержать метаданные: GPS-координаты в фото, имя автора в документе, временные метки.

# Просмотр метаданных файла:
exiftool photo.jpg
 
# Полная очистка всех метаданных:
exiftool -all= photo.jpg
 
# MAT2 — очистка метаданных для разных форматов:
mat2 document.pdf
mat2 photo.png
 
# Установка MAT2:
sudo apt install mat2

Canary Tokens — система раннего предупреждения

Canary Token — это цифровая «ловушка». Если кто-то начнёт исследовать твой puppet, ты узнаешь об этом.

1. Зайти на canarytokens.org
2. Создать токен (URL, документ Word, DNS-запись)
3. Разместить ссылку-ловушку в профиле puppet (например, «ссылка на портфолио»)
4. Если кто-то перейдёт по ссылке — ты получишь уведомление с его IP, User-Agent, временем

Аналогия: это как невидимая нить поперёк дверного проёма — если кто-то вошёл, ты знаешь.

🛡 Правовые и этические границы

Что законно

  • Просмотр публичных профилей и публикаций
  • Мониторинг открытых групп и каналов
  • Использование публичных API платформ
  • Сбор информации из государственных реестров и открытых баз данных

Что в серой зоне

  • Вступление в закрытые группы под вымышленной личностью
  • Активное взаимодействие с объектами расследования (сообщения, комментарии)
  • Использование чужих утечек данных для анализа

Что незаконно

  • Взлом аккаунтов, перехват переписки
  • Использование фото реальных людей без разрешения
  • Шантаж, вымогательство, публикация персональных данных (доксинг)
  • Нарушение Terms of Service платформ (формально может повлечь блокировку, в некоторых юрисдикциях — юридические последствия)

Главный принцип: sock puppet — это инструмент наблюдения, а не манипуляции. Ты смотришь, анализируешь, фиксируешь. Не провоцируешь, не обманываешь, не вредишь.

🔧 Набор инструментов

Генерация личности

  • Fake Name Generator (fakenamegenerator.com) — полный профиль вымышленного человека
  • ThisPersonDoesNotExist (thispersondoesnotexist.com) — AI-генерация уникального лица
  • Fawkes (sandlab.cs.uchicago.edu/fawkes) — защита фото от систем распознавания лиц

Изоляция и анонимность

  • Parrot Home OS (parrotsec.org) — лёгкий Linux с AnonSurf для работы через Tor
  • Whonix (whonix.org) — максимальная анонимность через принудительную Tor-маршрутизацию
  • Tails (tails.net) — загрузка с флешки, не оставляет следов на диске
  • Tor Browser (torproject.org) — браузер с Tor-маршрутизацией
  • LibreWolf (librewolf.net) — Firefox без телеметрии

Коммуникации

  • ProtonMail (proton.me) — анонимный зашифрованный email
  • Tutanota (tuta.com) — альтернатива ProtonMail
  • Silent.link — eSIM без KYC, оплата криптой
  • sms-activate.org, 5sim.net — одноразовые номера для SMS-верификации

Безопасность

  • KeePassXC — локальный менеджер паролей (хранение легенд и учёток)
  • exiftool — просмотр и очистка метаданных файлов
  • MAT2 — массовая очистка метаданных
  • macchanger — смена MAC-адреса в Linux
  • Canary Tokens (canarytokens.org) — ловушки для обнаружения слежки за puppet

Фиксация доказательств

  • SingleFile (расширение браузера) — сохранение полной копии веб-страницы в один HTML-файл
  • archive.today — создание архивной копии страницы с постоянной ссылкой
  • Hunchly — браузерное расширение для автоматического логирования всех посещённых страниц во время расследования

🎯 Жизненный цикл Sock Puppet

┌─────────────────────────────────────────────┐
│  1. СОЗДАНИЕ                                │
│     Легенда → Фото → Email → Номер          │
│                                             │
│  2. ИНФРАСТРУКТУРА                          │
│     VM → VPN/Tor → Изолированный браузер    │
│                                             │
│  3. РЕГИСТРАЦИЯ                             │
│     Аккаунты на целевых платформах          │
│                                             │
│  4. ПРОГРЕВ (1–2 недели)                    │
│     Лайки → Подписки → Комменты → Посты     │
│                                             │
│  5. ОПЕРАЦИЯ                                │
│     Мониторинг → Скриншоты → Логи → Отчёт   │
│                                             │
│  6. ЛИКВИДАЦИЯ                              │
│     Удалить аккаунты → Email → SIM → VM     │
│     Сохранить только собранные данные       │
│     в зашифрованном хранилище               │
└─────────────────────────────────────────────┘

🧠 Готовые комбо

Быстрый puppet для мониторинга Telegram-канала:

Parrot Home VM → AnonSurf start → SMS-активатор (sms-activate.org) →
регистрация Telegram → подписка на канал → наблюдение
Время развёртывания: ~30 минут

Полный puppet для длительной операции в соцсетях:

Whonix VM → ProtonMail (через Tor) → Silent.link eSIM →
регистрация Facebook/LinkedIn → прогрев 2 недели →
вступление в закрытые группы → мониторинг + SingleFile
Время развёртывания: ~2–3 недели с прогревом

Puppet для самопроверки (аудит своего цифрового следа):

Parrot Home VM → AnonSurf → Tor Browser →
поиск себя в Google, Yandex, Sherlock, Maigret →
проверка утечек через Have I Been Pwned, DeHashed →
фиксация найденного → принятие мер (удаление, обращения)
Время: ~2–3 часа

⚠️ Важные моменты

  • Принцип нулевого пересечения — абсолютен. Одна ошибка (залогинился в реальный аккаунт из VM, забыл включить VPN, отправил файл с метаданными) — и puppet скомпрометирован навсегда
  • Прогрев — не опционален. Свежий пустой аккаунт — это приглашение к бану. Особенно на Facebook и LinkedIn
  • Стилометрия — реальная угроза. Если пишешь одинаково в реальных и puppet-аккаунтах, тебя можно связать без всякого IP
  • VoIP-номера ненадёжны. WhatsApp, Telegram, Instagram всё чаще блокируют VoIP при регистрации. Физическая SIM за наличные — самый надёжный вариант
  • ThisPersonDoesNotExist иногда глючит — артефакты на фоне, деформации ушей, асимметрия глаз. Всегда проверяй сгенерированное фото перед использованием
  • Canary Tokens — не панацея. Они работают только если объект кликнет по ссылке. Опытный исследователь не кликнет
  • Не привязывайся к puppet. Это расходный материал. Операция закончена — puppet уничтожен. Не «жалей» прогретый аккаунт, если есть хоть малейшее подозрение на компрометацию
  • Легальность зависит от юрисдикции. В одних странах создание фейковых аккаунтов — нарушение ToS платформы (но не закона). В других — может квалифицироваться как мошенничество. Проверяй законодательство своей страны
Содержание
🎭 Что такое Sock Puppet Зачем это нужно Где применяется 📌 Принцип нулевого пересечения ⚡ Пошаговое создание Sock Puppet Шаг 1 — Создание легенды Шаг 2 — Изоляция инфраструктуры Шаг 3 — Одноразовый номер телефона Шаг 4 — Анонимная почта Шаг 5 — Регистрация аккаунтов Шаг 6 — Прогрев аккаунта 🔍 Операционная безопасность (OPSEC) Контроль времени активности Контроль стиля письма (стилометрия) Очистка метаданных Canary Tokens — система раннего предупреждения 🛡 Правовые и этические границы Что законно Что в серой зоне Что незаконно 🔧 Набор инструментов Генерация личности Изоляция и анонимность Коммуникации Безопасность Фиксация доказательств 🎯 Жизненный цикл Sock Puppet 🧠 Готовые комбо ⚠️ Важные моменты