ʍօօռ

Как можно подключить социальную инженерию к расследованию?

2022-04-16T10:15:46.430Z

Этот пост будет посвящён IPLogger'ам и другим мелким уловкам, с помощью которых вы сможете получить такие данные как, геолокацию цели вашего поиска, IP, номер, почту. Многие OSINT'ы считают что IPLogger и социальная инженерия, это не этично и вообще не по осинтерски. Я считаю, что социальная инженерия правда не имеет не какого отношения к OSINT и такое программное обеспечение как IPLogger релевантно использовать в таких случаях, когда вы просто не можете не чего найти. Но уверяю, эта статья будет полезна для вас и еще пригодится.

Ловушки — Ловушкой может быть как и ссылка так и файл, внешний сайт, бот. Ловушки используются для получения конфиденциальной информации, которую ваша цель сама передаст по незнанию.

IPLogger, CanaryTokens и схожие сервисы.

Да, IPLogger это достаточно банально, про этот сервис знают даже те кто совсем не разбирается в расследованиях в интернете. Этот сервис действительно обладает поражающим функционалом. Сервис умеет маскировать свои ловушки в форматах ссылок, видео, торрентов, фото, word, exel, iso, exe, pdf, zip итд. А также, с помощью iplogger.com, можно вычислить местоположение человека с погрешностью в 10 метров используя geologger. Функционал geologger, очень похож на Seeker и TrackUrl, они оба работают используя HTML5 Geo API. Для того чтобы получить местоположение человека, необходимо чтобы объект вашего поиска предоставил доступ к данным о вашем местоположении сайту. После того как он примет запрос, вы получите его местоположении.

Кроме этого есть более продвинутый, как я считаю сервис под названием canarytokens. Это такой же логгер который можно маскировать под QR кода, SQL сервера итп. Как по мне, одна из самых интересных называется, "unique email adress", при отправке письма на адрес "номер вашего токена@canarytokens.org", вы увидите IP адрес отравителя. А если подключить свой домен к canarytokens, то не кто и не подумает о том что вы пытаетесь его идентифицировать. Это можно сделать используя готовый образ для Doker. Вам нужно будет отредактировать файлы frontend.env и switchboard.env, таким образом:

# Домен(ы) которые будут использовать для генерации адресов триггеров 
# они должны указывать на IP-адрес сервера где запущен Docker. На эти же домены нужно будет выпускать SSL-сертификат. 
CANARY_DOMAINS=example1.com,example2.com 
# Этот домен нужен только если вы собираетесь использовать триггер в виде PDF-файла 
# в этом случае NS-записи для этого домена должны указывать на домен в предыдущем пункте. 
# Иначе говоря example3.com должен быть делегирован на example1.com и example2.com CANARY_NXDOMAINS=example3.com

Хотел бы еще вам рассказать о малоизвестном telegram-боте расположенным по адресу @Infosec_Find_bot, который имитирует новостной ресурс, после перехода по ссылке, вы увидите такую красивую анимацию.

Кстати, из ботов еще бы посоветовал вам @FakeSMI_bot, это бот от Евгения Антипова который создаст смешную новость (Вы ее сами напишите.) на известных площадках как Meduza или Комерсантъ со встроенным логгером. Увы, на данный момент создание новостей приостановлено со связью с ситуацией.
Но кроме того как публиковать новости, бот умеет создавать фейковую ссылку на запрос Яндекса, при переходе по этой ссылке, атакующий увидит юзерагент и IP того кто перешел. А при отправке фото боту, он зальет фото на хостинг и при переходе, мы увидим тот же IP и юзерагент.

Фейковая ссылка на яндекс.

Так же хотел бы упомянуть утилиту под называнием Trape, название говорит само за себя, так как Trape с английского переводится как ловушка. После перехода по ссылке которую сгенерировал Trape, мы увидим IP, местоположение и главная фишка этой утилиты в том что, мы увидим клиентские сеансы пользователя в браузере. Trape умеет обнаруживать открытые вкладки с ниже перечисленными сервисами.

➜ Amazon
➜ Dropbox
➜ Facebook
➜ Instagram
➜ Gmail
➜ Tumblr
➜ Reddit
➜ Tumblr
➜ Reddit

И это только малая часть этих сервисов.

Пример работы trape.

Боты-ловушки.

C IPLogger мы плавно перешли к ботам-ловушкам. Концепция этих telegram-ботов в том чтобы обманным образом заставить пользователя отправить номер своего телефона, или перейти по ссылки передав свой ip, кинуть боту геометку. После того как вы передадите боту данные, атакующий увидит ваш IP-адрес. @addprivategroup_bot ,@protestchat_bot ,@TgDeanonymizer_bot, это пример таких ботов, конечно их гораздо больше, но это одни из таких "ботов ловушек". Для того чтобы просмотреть базу данных этих ботов, вам надо будет отправить TgID вашей цели и узнать номер цели. А для того чтобы сделать такого же бота, только под себя, можно воспользоваться Dnnme2. Эта утилита, которая способна создать такого же бота, только со своим уникальным именем и описанием.

Трюк с google-документом.

Вы наверно слышали про все эти трюки с google id и про другие дырки гугла, но эта дырка крайне интересна, она позволяет вытащить почту и google id через ссылку на Google Drive, Google Docs ,Google Spreadsheets, Google Slides, Google Drawning, Google My Maps, Google Apps Script, Google Jamboard. Вы можете попросить атакуемого залить документ на google drive к примеру и отправить ссылку. После того как он отправит вам ссылку, вы сможете идентифицировать человека используя xeuldoc. После отправки ссылки на документ этому инструменту, вы узнаете почту и google ID атакуемого, дату создания документа и дату последнего редактирования документа.

Трюк с Яндексом.

Это интересная тема, можете попробовать сами зайти в яндекс, ввести любой запрос и посмотреть на значение lr= в вашей ссылке. Ведь в зависимости от региона значение разное. Вы можете найти свой регион в таблице регионов поиска. Но далеко не всегда вы найдете там свой регион. В случае, если вы не можете найти регион, воспользуйтесь таким хитрым запросом:
https://yandex.ru/search/?text=Погода&lr=код региона.

Используя это, вы сможете узнать регион вашей цели, к примеру попросить отправить поисковую выдачу.

Через звонок.

Это достаточно нетипичный способ ловушки, думаю он вам не пригодится, но знать его было бы не плохо. Суть в том чтобы пользователь набрал вам и звонок сохранился. Тогда вы сможете установить страницу в ВК или Whatsapp объекта вашего поиска. Для этого вам необходимо будет оформить сайт, и сделать так чтоб ваш объект захотел нажать на кнопку. HTML код кнопки будет выглядеть так:

ВКонтакте:
<a href="https://vk.com/call?id=Ваш ID">Текст кнопки</a>

WhatsApp:
<a href="https://wa.me/Ваш номер WhatsApp?text=Любой текст">Текст кнопки</a>

После нажатия атакуемого по кнопке, он совершит звонок, либо напишет сообщение в WhatsApp. Я не уверен в работоспособности этого метода.

Как маскировать логгеры?

Сначала я расскажу вам про telegraph, да, тот самый telegra.ph. Первая дыра в безопасности этого сервиса в том, что он не предупреждает о переходе по ссылкам. По этому, вы сможете замаскировать там IPLogger, выдавая логгер ссылку за безобидную ссылку.

И это еще не все дыры telegraph. Для того чтобы реализовать следующую дыру, вам будет необходимо создать невидимый логгер с расширением jpg ,или png, jpeg. Скопируйте ссылку и нажмите на значок для вставки кода "<>". После того как нажали, вставите ссылку и нажмите enter. После этого у вас образуется изображение 1x1, которое будет собирать все IP адреса которые перешли по ссылке на telegraph.

Есть еще способ замаскировать логгер под ссылку youtube используя websolver.
В создании логгера нету абсолютно ничего сложного. Вам просто на всего понадобится нажать кнопку "Generate" для создания собственного логгера с доменом yȯutube.com.

А чтобы найти IP пользователя социальной сети ВКонтакте вам необходимо будет обойти защиту away.php. Которая проверяет все ссылки перед переходом, по вредоносной или фишинговой ссылке перейти не получится.

А если мы отравим пользователю сразу ссылку, вместе с away.php, то проверка не будет производится. Такая ссылка будет выглядеть вот таким образом:
https://vk.com/away.php?to=itsnotalogger.xyz.
Такие же ссылки можно создать для других ресурсов, вот смотрите:

➜ https://www.google.com/url?q=itsnotalogger.xyz
➜ http://instagram.com.xsph.ru?u=itsnotalogger.xyz
➜ https://www.youtube.com/redirect?q=itsnotalogger.xyz

Итоги.

Конечно, это не все ловушки которые существуют, их больше. Но это самые базовые и интересные на мой взгляд. Спасибо за то что прочитали статью, надеюсь что вам было полезно и эти приемы вам пригодятся в дальнейших поисках. Обязательно подписывайтесь на мой канал, я ежедневно публикую новости в сфере OSINT,новые сервисы, утилиты и приемы.

Автор: @moonIighted

Канал: @osintkanal

👏 Спасибо Игорю Бедерову за помощь в написании статьи.
🔥 Спасибо за 500 подписчиков!

Поиск по почте. Как выжить максимум информации из почты?

2022-04-04T13:47:06.763Z

В этой статье я расскажу как производить поиск по почтовому адресу. Для примера я буду использовать почтовый адрес мошенников.

С чего начать?

info@bookairporttransfers.com - Пример обыкновенной почты. Я выделил никнейм и подчеркнул курсивом домен.

Обычно у нас есть никнем пользователя, домен, это либо почтовый сервис как Gmail или Mail.ru, либо это сайт какой либо организации которой принадлежит сама почта. Мы можем перейти к исследованию самого домена, если это домен организации. Об исследовании сайтов, я расскажу как ни будь позже. Ведь суть этой статьи - идентификация владельца адреса электронной почты.

Проверка почты на существование.

2ip - Это сервис который проверит существует ли адрес электронной почты. Все просто. Если почты нет выйдет надпись "email не существует", если почта существует, соответсвенно выйдет противоположный результат.

Использовалась ли почта в других целях?

Для проверки почты на использование в других целях, нам нужно будет ее просто загуглить. Можно попробовать использовать google-дорки для повышения эффективности поиска.

С помощью поиска почты в поисковиках, мы сможем найти такие данные как номера телефонов, связанные домены, личности и другие интересные данные.

Просмотр пути отправки.

Все почтовые клиенты обладают такой функции как "просмотр оригинала". Данная функция может называтся по разному, но она всегда будет присутствовать. По сути это просто просмотр пути письма, мы увидем все промежуточные сервера. Просматривать оригинал стоит с низу в верх, так как низ это конечная точка письма (получатель), а верх это начальная точка письма (отправитель).
Вам стоит обратить внимание на такие поля как Authentication-Results, Return-Path, Return-SPF. С помощью просмотра пути отправки мы можем узнать адрес серверов, IP-адреса серверов и возможно другие почтовые адреса. Полученную информацию я советую хорошо проанализировать, возможно выписать элементы которые вам важны.

Слитые пароли

Зачем нам эти слитые пароли, спросите вы. Мы же не собираемся кого то брутить, они даже не актульны.
Да, брутить мы не кого не собираемся и пароли правда не актуальны, но используя пароль можно выйти на другие аккаунты, возможно в социальных сетях, либо другие электронные почты. Такие сервисы как havibeenpwned, dehashed или даже глаз бога, способны найти слитые пароли, позже используя глаз бога или схожие сервисы, можно узнать, где еще использовался пароль. И так выйти на другие аккаунты.

Я использовал почту ermakov@mail.ru для примера, а не почту наших мошенников, так как я не нашел слитых паролей связанных с ней.

haveibeenemotet - Этот сервис нам поможет узнать взломана ли почта вредоносным ПО "Emotet". Если почта скомпрометирована, мы узнаем что рассылка производится не от имени владельца электронного ящика.

Преобразуем почту в телефон.

email2phonenumber - Это очень интересный софт который восстанавливает номера используя различные сервисы. Программа использует функцию "Забыл пароль". Она восстановит номер на максимальном количестве сервисов и попробует подобрать оставшиеся цифры.

Дополнительно.

Кроме этого вы можите проанализировать никнейм используя @maigret_osint_bot и поисковые системы, так можно выйти на другие аккаунты. Еще я советую проанализировать домен, если это домен организации проверьте сайт используя whois и другие сервисы, вы можите все это найти найти все это на 2ip.ru.
Если у вас не выходит ничего найти, вы всегда сможите использовать дополнительное ПО как IPLogger. О таких ловушках как IPLogger я расскажу в следующей статье, по этому подписывайтесь на наш канал.

Автор: @moonIighted

@osintkanal - Forensics and OSINT community.

Мониторинг организаций и людей

2022-03-21T16:13:50.785Z

Если ваша цель оказалось организацией или медийной личностью, то будет разумным ходом проверить СМИ на упоминание вашей цели в статьях, так можно найти много интересного.

Google Dorks

Самое главное средство для поиска каких либо упоминаний на сайтах это google доркинг.

Google доркинг - это специальные запросы в поисковики (в данной ситуации это Google.) которые вам выдадут больше информации чем обычные запросы.

Ниже я приведу несколько дорков которые вам 100% понадабятся.

"Цель" - поможет искать эффективнее и только по ключевому слову, результаты
будут только с ключевым словом.

"Цель" site:вашсайт.com - Ищет по ключевому слову на сайте который указан.

inurl:twitter @elonmusk - найдет упоминания о пользователе на
разных платформах, twitter к примеру.

Специализированные сервисы

kribrum.io - сервис с удобным интерфейсом, ищет упоминания о человеке на страницах в Instagram, ВКонтакте, FaceBook, Одноклассники, LifeJournal, Ответы Mail.ru, YouTube, Twitter, Telegram. Вы можете как и выбрать все платформы сразу, так и искать на одной определенной платформе. Кроме того вы можете выбрать период времени в котором был сделаны посты, 3 дня, 1 неделя, месяц, все время. Так же вы можете выбрать автора сообщества или блога.
У сервиса есть еще 2 полезные функции: Рейтинг автора, вы можите проверить рейтинг интересующего вас сообщества. И еще статистика фраз, вы можите проверить на сколько часто та или иная фраза используется в соц сетях. например, слово "Форензика".

Статистика слова "Форензика". Статистка была собрана сервисом kribrum.io.

Google Alerts - Как вы поняли это сервис от известных американских разработчиков Google LLC. Это достаточно интересный сервис который позволяет вам создавать "оповещения". При создании какого либо материала в интренете с ключевым словом вам придет оповещение на электронную почту, как ключевое слово можно использовать ФИО, или наименование организации. Если вы не хотите оставлять там свою почту, можите регулярно проверять вашу фразу, для примера опять использовал слово "Форензика"

Пример работы сервиса "Google Alerts".

sitesputnik.ru - Это софт для поиска, сбора, мониторинга и анализа информации размещенной в интернете. Это платный софт обладающий огромным количеством функций, он и ищет и анализирует, собирает статистку. Программа производит поиск используя разные поисковики.

Тестовый запрос в sitesputnik.

Tgstat - Этот сервис пользуется популярностью среди администраторов каналов telegram, он собирает аналитку о сообществах telegram. Сервис покажет многое, к примеру репосты, какие каналы репостнули посты канала который вам интересен. Может производить поиск по гео канала, названию, ключевым словам, языку, тематике и другим фильтрам. Показывают статистику лучших каналов в telegram и многое другое.

Пример работы сервиса "TgStat".

Сбор данных и аналитика деятельности организаций

Эта часть стати будет посвящена чисто мониторингу организаций, если прошлая часть статьи была как и про людей, так и про компании, то эта часть будет чисто про организации.

nalog.ru - Это официальный сервис от налоговой службы, он создаст запрос о факте представления в ФНС России документов при гос. регистрации. Отчеты будут приходить вам на почту.

Запрос о факте представления в ФНС России документов при гос. регистрации.

Арбитражные суды - Это опять же официальный сайт арбитражных судов РФ, который находится по DDOS атакой на момент написания статьи. Сервис проверит организацию в реестре арбитражных судов РФ.

Федресурс - Это ресурс для мониторинга публикаций на ЕФРСБ и Федресурс.

Followthatpage.com - Это сервис который мониторит веб-страницы и пришлет вам на почту любое изменения на сайте который вы мониторите.

Changedetection - софт который выполняет в принципе ту же работу что и сервис выше, возможно он обладает лучшим интерфейсом и он не отправляет результат на почту, вся информация хранится внутри самого приложения.

ЗаЧестныйБизнес - Это сервис по проверки контрагента, вы получите такие данные как руководитель организации, блокировки счетов, дату регистрации, ОРГН итп.

Отчет о организации сгенерированный сервисом "ЗаЧестныйБизнес".

Спасибо всем кто прочел статью.
Спасибо компании T.Hunter за подборку сервисов.

Мой канал: @Osintkanal
Автор: @moonIighted