Google Sheets как инструмент OSINT-детектива
Я уже много раз писал о том, что электронные таблица — это потрясающий инструмент для анализа данных. А Google Sheets, включающий в себя всю мощь экосистемы Google, дополнительные расширения, скрипты и прочее, просто великолепен. Сегодня я расскажу о том, как все это великолепие можно использовать для OSINT. В частности, в первой статье цикла о Google Sheets речь пойдет об автоматизации дорков. За подробностями добро пожаловать под кат!
Автоматизируем дорки для поиска по картинке
Итак, дорки — это расширенные операторы поисковых запросов Google. Возможности Google Sheets позволяют создавать целевые гиперссылки для осуществления обращений к источникам информации. Например, к таким сервисам, как Яндекс Картинки, Google Lens или Tineye. Каждый из них имеет гиперссылку, после которой вы можете подставить URL исследуемого изображения:
- https://yandex.ru/images/touch/search?rpt=imageview&url=
- https://lens.google.com/uploadbyurl?url=
- https://www.tineye.com/search/?url=
Теперь скопируем гиперссылку на искомое изображение. Пусть это будет логотип моего Telegram-канала:
- https://static3.tgstat.ru/channels/_0/87/8795660190167fb572d35a97dd45ba17.jpg
Чтобы Google Sheets смог автоматически соединять обе ссылки, нам следует обратиться к формулам. Введем следующую формулу:
- =HYPERLINK(A7&A1)
Где: Х1 — https://yandex.ru/images/touch/search?rpt=imageview&url=
а Х2 — https://static3.tgstat.ru/channels/_0/87/8795660190167fb572d35a97dd45ba17.jpg
В результате у нас появилась единая гиперссылка, которая ведет непосредственно на систему поиска информации по нашей искомой картинке:
- https://yandex.ru/images/touch/search?rpt=imageview&url=https://www.garant.ru/files/3/6/1189863/bederov-igor_300.jpg
Повторим формулу для других поисковых машин:
- =HYPERLINK(A8&A1)
- =HYPERLINK(A9&A1)
Чтобы получить целевые гиперссылки:
- https://lens.google.com/uploadbyurl?url=https://www.garant.ru/files/3/6/1189863/bederov-igor_300.jpg
- https://www.tineye.com/search/?url=https://www.garant.ru/files/3/6/1189863/bederov-igor_300.jpg
Они слишком длинные, согласны? В Google Sheets мы можем сократить гиперссылку, замаскировав ее кнопкой или определенным текстом. Для этого нам нужно слегка видоизменить наши формулы:
- =HYPERLINK(A7&A1; “Яндекс”)
- =HYPERLINK(A8&A1; “Google”)
- =HYPERLINK(A9&A1; “TineEye”)
Автоматизируем дорки для поиска по никнейму
Для начала нам следует определиться с теми ресурсами, на которых мы будем осуществлять поиск никнейма. К ним можно отнести поисковые машины, а также распространенные онлайн-сервисы (соцсети, блоги, форумы, группы и каналы). Например:
- https://www.google.com/search?q=
- https://vk.com/
- https://ok.ru/
- https://tenchat.ru/
- https://www.facebook.com/
Также в число источников я рекомендую включать кастомный поисковик, созданный на движке Google. Он позволяет ограничивать поиск только заданным списком веб-сайтов. Например, социальными сетями и блогами, как в приведенном ниже примере:
- https://cse.google.com/cse?cx=d69e08526637c468d#gsc.tab=0&gsc.q=
Теперь нам осталось сделать поле, в котором будем вводить искомый никнейм, и сгененерировать формулы для соединения их в единый поисковый запрос. Аналогично тому, как мы создавали гиперссылки для поиска по картинке:
- =HYPERLINK(F3&B1)
- =HYPERLINK(F4&B1)
- =HYPERLINK(F5&B1)
- =HYPERLINK(F6&B1)
Здесь важно отметить, что у нас получились целевые гиперссылки, которые ведут на конкретную веб-страницу. А ее может и не быть. Часто мы сталкиваемся с тем, что пользователь не имеет возможность зарегистрировать под своим никнеймом и вынужден видоизменять его. В свою очередь, это вынуждает нас придумывать инструмент для пермутации (подбора) похожего контента. И здесь могут выручить только поисковые алгоритмы Google. Например, так будет выглядеть гиперссылка на поиск похожих никнеймов, зарегистрированных на сайте социальной сети ВКонтакте:
- https://www.google.com/search?q=hacker site:vk.com
А вот так она выглядит на языке формул Google Sheets:
- =HYPERLINK(F2&B1&”site:vk.com”
Дополнить тему можно включением в состав гиперссылки специальных ограничителей Google. Их довольно много, поэтому расскажем только о тех, которые нам пригодятся в рамках расследований:
- &tbm=isch — ограничивает поиск только картинками
- &tbs=qdr:d — ограничивает поиск материалами, проиндексированными за последние 24 часа
Целевая гиперссылка с применением ограничителей может выглядеть так:
- https://www.google.com/search?q=hacker&tbm=isch
- https://www.google.com/search?q=hacker&tbs=qdr:d
А формулы — так:
- =HYPERLINK(F2&B1&”&tbm=isch”)
- =HYPERLINK(F2&B1&”&tbs=qdr:d”)
Как и в примере с поиском по картинке, вы можете сократить длинные гиперссылки, спрятав их за текстом.
Автоматизируем дорки для поиска по различным вариантам написания запроса
Представим, что нам нужно собрать из сети сведения о физическом лице. Как известно, физлицо ищется по фамилии, имени и отчеству. При этом, чаще всего, они могут присутствовать в таких форматах написания:
- Фамилия Имя Отчество
- Имя Фамилия
- Фамилия И.О.
Для этого нам потребуются несколько формул:
- =B1&” “&B2&” “&B3 —- сформирует запрос “Фамилия Имя Отчество”
- =B2&” “&B1 — сформирует запрос “Имя Фамилия”
- =LEFT(B2; 1) — оставит только первую букву имени
- =LEFT(B3; 1) — оставит только первую букву отчества
- =B1&” “&H2&”.”&H3&”.” — сформирует запрос “Фамилия И.О.”
Наконец, последняя формула позволит нам сформировать все возможные варианты написания имени в одном запросе, где символ “|” будет являться логическим оператором “ИЛИ”. То есть поиск будет вестись по всем вариантам написания одновременно:
- =G2&” | “&G3&” | “&G4 —- сформирует запрос “Бабель Михаил Александрович | Михаил Бабель | Бабель М.А.”
Дальше нам нужно сгенерировать целевую гиперссылку на поиск информации аналогично тому, как мы ее делали для поиска по картинке или никнейму.
- https://www.google.com/search?q=Бабель Михаил Александрович | Михаил Бабель | Бабель М.А.
Теперь давайте углубим наш поиск. Допустим, нас интересует поиск негативной информации на человека. В этом случае к стандартной поисковой гиперссылке следует прибавить оператор “+”, который позволит искать одновременное упоминание на веб-странице различных вариаций написания имени человека, а также определенных слов, которые могут негативно его охарактеризовать:
- https://www.google.com/search?q=Бабель Михаил Александрович | Михаил Бабель | Бабель М.А. + розыск | суд | арестован | задержан | обвинение | мошенник | кидала | скам | банкрот
В формуле это может выглядеть так:
- =HYPERLINK(G8&G5&” + розыск | суд | арестован | задержан | обвинение | мошенник | кидала | скам | банкрот”)
А на практике работа оформленной нами таблицы выглядит так:
Итак, выше мы разобрали три примера работы с автоматизацией дорков, которые позволяют существенно упростить поиск интересующей нас информации. В следующих статьях цикла рассмотрим приемы работы с API в Google Sheets, а также скрапинг и визуализацию данных. И всё это поможет превратить Google Sheets в незаменимый инструмент любого OSINT-специалиста.