Как скрыть устройство от логгеров? Обзор-сравнение CanaryTokens и IP Logger

Ещё несколько лет назад IP‑логгеры воспринимались как любопытные «игрушки» для фиксации IP‑адресов любопытных визитёров. Сегодня CanaryTokens и  IP Logger выросли в полноценные сервисы, позволяющие буквально за пару кликов создать мини‑honeypot— ссылку, файл, картинку или QR‑код, которые незаметно собирают большое количество технических параметров о клиентском устройстве. В статье разберём, как именно эволюционировали эти инструменты, какие данные они могут собрать сегодня, где они действительно полезны, а где их применение рискованно.

Что такое логгеры и зачем они нужны

логгер — это сервис, генерирующий уникальный объект (гиперссылку, пиксель, документ), при обращении к которому фиксируется IP‑адрес и другая сетево‑системная информация о пользователе. Такая «цифровая растяжка» мгновенно уведомляет автора, что объект был открыт, и передаёт собранные метаданные. С их помощью безопасник может:

• выявить время и примерное местоположение злоумышленника;
• получить технические параметры устройства, браузера и сети;
• коррелировать инциденты, если один и тот же «след» появляется в разных событиях;
• подтвердить, что утёкший документ действительно прочитан;
• построить цепочку перемещений по ссылкам.

Эволюция функционала в 2024‑2025 гг.

За последний год оба сервиса сделали рывок: теперь, помимо IP‑адреса и User‑Agent, они собирают расширенный browser/device fingerprint — уникальный набор характеристик, по которым можно с высокой точностью идентифицировать пользователя даже при смене IP и удалении куки.

CanaryTokens: отпечаток браузера одним переключателем

Thinkst добавила новую опцию «Browser Fingerprint» ко многим типам токенов: достаточно отметить её при генерации, и при срабатывании сервис фиксирует язык, платформу, список поддерживаемых MIME‑типов, наличие JavaScript и другие параметры браузера, формируя устойчивый хеш‑отпечаток .

IP Logger: SMART‑ссылки и device fingerprint

IP Logger пошёл дальше и ввёл формат SMART‑link. Такая ссылка, помимо базовой сетевой информации, собирает до двух десятков дополнительных метрик: объём ОЗУ, уровень заряда батареи, наличие акселерометра, точное время на устройстве и сам «device fingerprint». При желании можно спросить и GPS‑координаты (с разрешения пользователя) .

Мини‑honeypot за пять минут: пошаговый пример

Создание ловушки не требует специальных навыков.

1. Регистрируемся в CanaryTokens, выбираем тип URL Token, отмечаем «Browser Fingerprint» и генерируем ссылку.
2. Маскируем полученный URL с помощью IP Logger Shortener — получаем красивый адрес, который при открытии сначала фиксирует отпечаток IP Logger, а затем переадресует на файл‑приманку CanaryTokens.
3. Встраиваем ссылку в электронное письмо или документ и ждём срабатывания.
4. Получаем уведомления от обоих сервисов и сравниваем собранные данные для высокой точности идентификации.

Прикладное использование в расследованиях и OSINT

Широкий набор собираемых параметров повышает ценность логгеров в пяти сценариях:

• Атрибуция фишинговых кампаний. Совпадающие отпечатки помогают связать несколько инцидентов с одним актором.
• Защита корпоративных документов. Внедрение токена в PDF или DOCX позволяет подтвердить факт и время нелегального прочтения.
• Проверка утечек учётных данных. Поддельные AWS‑ключи или VPN‑конфиги мгновенно сигнализируют о попытке их использования.
• Контр‑OSINT и наблюдение за инфраструктурой атакующего. Токен, вложенный в файл для редтимеров, выявит их тестовые стенды.
• Социальная инженерия. Отправив «приглашение» с пикселем, можно незаметно убедиться, что адресат открывал письмо, и подготовить целевую фишинговую атаку.

Риски, ограничения и правовые аспекты

Использование логгеров находится на грани OSINT и активных операций. В ряде юрисдикций сбор системных параметров без явного согласия пользователя приравнивается к tracking‑cookie и попадает под GDPR. Кроме того, сложные браузерные отпечатки теоретически можно подделать, а VPN‑сервисы — скрыть реальный IP. Поэтому результаты следует рассматривать как косвенные доказательства и подтверждать дополнительными данными .

Как защититься от нежелательного отслеживания

Для конечных пользователей

• Использовать браузеры с режимом «изолированных профилей» и Anti‑Fingerprint‑надстройками.
• Блокировать внешние изображения в почтовых клиентах по умолчанию.
• Внимательно проверять подлинность коротких URL с помощью сервисов «Unshorten».

Для администраторов и ред‑тимов

• Добавлять Content‑Security‑Policy, ограничивающий загрузку внешних ресурсов.
• Фильтровать обращения к популярным Canary‑доменам внутри сети.
• Использовать песочницы с поддельными отпечатками при анализе подозрительных файлов, чтобы не выдать реальные параметры инфраструктуры.

Заключение

CanaryTokens и IP Logger прошли путь от простых IP‑грабберов к мощным платформам, способным собрать полный цифровой портрет пользователя. Их лёгкость и универсальность делают инструменты незаменимыми для киберрасследований и OSINT, однако требуют осторожного обращения и понимания правовых рамок. В умелых руках они превращаются в точные «фотоловушки» для цифровых преступников, а в неумелых — могут нарушить чужую приватность. Как всегда в информационной безопасности, эффективность метода определяется этикой его применения.