February 23, 2023

Методы расследования OSINT в делах о пропавших людях 

Проблема

До того как мы попали в десятку лучших команд в Trace Labs Global CTF в октябре 2022 года и обрели уверенность, мы очень сильно старались и изучали новые методики. Мы не знали, что конкретно нужно изучать и практиковать, чтобы эффективно расследовать дела о пропавших людях. Мы вроде как написали много разных статей и даже пару книг, но все равно чувствовали что не готовы к расследованию подобных дел. Я даже применяю OSINT в своей повседневной работе в качестве аналитика по безопасности/этического хакера, но все же, мы понимали, что его применение для расследования дел о пропавших людях - это что то, совсем другое, в чем нам стоит хорошенько разобраться.

Стратегия

В качестве решения мы придумали стратегию, которая заключается в том, чтобы присоединиться к множеству других OSINT CTF и регулярно проводить OSINT-расследования о пропавших людях, которые появлялись в новостях, в subreddit r/MissingPersons и многих других источниках. Мы проводили расследования без каких либо взломов и использовали исключительно OSINT. Сначала мы проводили часовое, одиночное расследование. Затем, мы проводили его уже вдвоем в течении 2 часов. И потом, за несколько недель до CTF, мы проводили большое четырёхчасовое расследование, вчетвером.

Инструменты и методики

В результате подобных тренировок мы увидели множество наших слабых и сильных сторон. Мы смогли сформулировать методологию, которая может быть полезна новичкам, чтобы начать расследование и не застрять надолго. Мы также осознали силу анализа и наблюдения за деталями для создания более значимых выводов. Мы также применяем следующую стратегию для каждого вывода:

  • Идентифицируй: вдавайся как и в мелкие детали расследования, так и крупные.
  • Верифицируй: Найди способы проверить верность всего, чего тебе удалось найти.
  • Расширь: Анализируй все данные и найди новые на основе этого анализа

Мы можем сказать, что лучший учитель - это опыт, поскольку мы узнали гораздо больше вещей проводя свои расследования, нежели читали, либо смотрели инструкции по проведению подобных расследований. После того, как мы заняли 8-е место в Trace Labs, нас заметили крупные игроки в этой области. Maltego и Social Links поддержали нас на нашем пути и спонсировали нас профессиональной лицензией, что еще больше мотивировало нас. Инструмент Social Links Pro очень помог нам сэкономить время проведения расследования и сосредоточиться на более глубоких исследованиях.

Методики и инструменты

Перед тем, как я расскажу вам про автоматизированные инструменты поиска, я напомню о том, что они являются вспомогательными. Они запросто могут упустить то, что заметите вы сами.

  1. Вы обязательно получите имя человека который пропал, по этому, здесь будет релевантно применить некоторые Google Дорки.
  • "имя" site:t.me
    Используя следующий поисковой запрос вы получите социальные сети человека, попробуйте с сайтами twitter.com, instagram.com, reddit.com, tiktok.com, linkedin.com и др.
  • allintext:”alexis lingad”
  • filetype:pptx
  • filetype:ppt
  • filetype:doc
  • filetype:docx
  • filetype:pdf
  • filetype:xls
  • filetype:xlsx

Вы можете использовать разные вариации дорков, как вы помните, тут большое количество дорков: https://www.exploit-db.com/google-hacking-database

Если вы нашли юзернейм, либо псевдоним, попробуйте запросы выше и с новыми данными.

2. Иногда, у вас не получится найти имя в клирнете, но оно есть в дипвебе, веб-сайты ниже смогут помочь вам.

InstantCheckmate — Эта программа предназначена для людей, проживающих в США, и на данный момент она является самой мощной, который я когда-либо видел даже в бесплатной версии. Однако некоторые данные, приведенные здесь, все еще нуждаются в перекрестной проверке, поскольку некоторые из них могут быть ложноположительными. Например, если вы видите судимость, вы можете перепроверить ее на сайтах, предоставляющих публичную информацию о судебных делах, таких как judyrecords.

Webmii — Это альтернативный вариант на случай, если ваша цель не из США, на самом деле инструмент достаточно неплох, так как результат кликабелен и перенаправляет вас на основной источник, который может помочь вам для перекрестной проверки быстрее, чем поиск альтернативных публичных записей.
Существует множество других систем поиска людей, поэтому не стесняйтесь исследовать то, что подходит именно вам.

3. В худшем случае мы можем предположить, что пропавший человек уже мертв. Поэтому цель состоит в том, чтобы найти любые записи о неопознанных трупах, которые соответствуют физическим характеристикам нашего пропавшего человека.

Сначала я думал, что это очень бесполезная тактика. Пока на нашей практической сессии мы не отследили человека, используя эту технику! В тот раз мы воспользовались этим сайтом и начали вводить данные о нашем пропавшем человеке: https://www.namus.gov/UnidentifiedPersons/Search.

Конечно, это не так просто. Нам нужно выполнить анализ и составить предположения, например, пропавший человек может терять вес, и если он теряет вес, то почему? Затем мы должны проверить его с помощью других вспомогательных данных, а затем ввести оценку в инструмент. Нам также нужно проанализировать временные рамки и другие уникальные сценарии для нашего пропавшего человека. Инструмент не поможет вам, если вы просто введёте данные и не выполните качественный анализ.

4. Мы также можем использовать DeHashed просмотра информации о почте, связанной с настоящим именем, которое у нас есть. Конечно, сначала нужно проверить, действительно ли это электронная почта пропавшего человека, так как чаще всего это просто другой человек с тем же настоящим именем. Для того чтобы проверить, действительно ли это письмо от этого человека, мы можем использовать Epieos, чтобы проверить, совпадает ли фотография профиля электронной почты, и другие онлайн-аккаунты, связанные с этим письмом, с лицом нашего пропавшего человека. Иногда нам приходится делать все тоже самое, что делает Epieos, так как, к примеру Trace Labs не принимает отчет Epieos.

Один из способов ручной проверки электронной почты Gmail — открыть приложение Google Sheet и вставить туда электронное письмо, потом навести курсор, чтобы увидеть изображение профиля этого письма:

Как только мы получили юзернеймы/псевдонимы, электронные адреса или номера телефонов, появится множество других ручных методик, которые мы можем использовать, но я приберегу их для следующего поста, так как этот слишком длинный.

Social Links Pro внутри Maltego Pro — это очень мощный инструмент для автоматизации поиска связанных аккаунтов по имени пользователя, электронной почте и номерам телефонов. После запуска преобразований для них, остается только вручную проверить аккаунты.

Внимание, мы используем преобразования только для имени пользователя, электронной почты и номера телефона, так как если вы сделаете это по реальному имени, это завалит ваши графики сотнями ложных срабатываний, что не очень хорошо. Этот инструмент помог нам сэкономить время и позволил нашей команде сосредоточиться на анализе гораздо более важных вещей, чтобы помочь раскрыть дело:

Провал

Мы снова приняли участие в соревнованиях Trace Lab в феврале 2023 года, но попали в топ-43 вместо прежних топ-8, поскольку судья, у которого мы были, отклонил большинство наших выводов, и нам потребовалось несколько часов, чтобы защитить и объяснить простой вывод и получить оценку, поскольку наш судья — новичок в OSINT. Нам "очень не повезло", как сказал старший судья, и они сказали, что это нормальное явление — столкнуться с чем-то подобным на соревнованиях Trace Labs. Однако мы также увидели некоторые недостатки в работе нашей команды.


Мы слишком зациклены на получении баллов!

Мы забыли о сути конкурса, которая заключается в том, чтобы помочь правоохранительным органам найти пропавших людей. Как сказал один из организаторов, рейтинг мало влияет на получение самого большого приза конкурса - MVO (Most Valuable OSINT), поскольку они хотят подчеркнуть, что цель — это качественные результаты, а не количество баллов.

Заключение

Мне посчастливилось быть окруженным людьми, которые мотивируют и вдохновляют меня развиваться в OSINT, начиная с моих товарищей по команде, заканчивая сообществом Trace Labs и командой Social Links. В настоящее время я планирую написать следующий блог про поиск имени пользователя, электронной почте и номеру телефона, поскольку то, что я только что рассмотрел здесь, относится к реальным именам. Затем я могу углубиться в анализ, который, как мне кажется, является лучшей частью любого расследования.

Хотя я не эксперт. Главная цель этого блога - помочь другим людям, которые пытаются начать или уже начали, но не знают, как применить это в реальном мире. Я знаю, что это не самая лучшая статья или инструкция, которую вы можете найти, но я надеюсь, что данная статья мотивирует вас стремиться еще больше в вашем собственном путешествии в OSINT! :)

Оригинал: https://alexislingad.medium.com/osint-investigation-techniques-for-missing-person-cases-trace-labs-316aa1a94de9

Автор перевода: @moonIighted
Канал автора: @osintkanal