+7 (812) 677-17-05

Facebook плачет, Social Links смеется, Maltego курит

#

И снова здравствуйте, дорогие друзья. Очень рад, что вы следите за публикациями и пришли прочесть новую статью из цикла про Maltego. Изначально, я планировал объединять плагины и делать обзор на 2-3 сразу. Однако, окунувшись в первый же дополнительный продукт для Maltego, а именно Social Links, я вдруг осознал всю тщетность данного пути.

Если не читали предыдущие статьи, то обязательно ознакомьтесь с ними: Maltego часть 1 и часть 2. Там мы рассматривали, что же такое Maltego и как оно выглядит.

Теперь же давайте сразу к интересному – к поиску по соцсетям. И начнем мы с самой большой – Facebook. В сборе информации нам поможет дополнение для Maltego под названием Social Links.

Как это работает

Сначала краткий экскурс в то, как это работает. Social Links предлагает свой API для улучшения возможностей Maltego по поиску информации о людях, компаниях, событиях и т.п.

Как сообщает официальный сайт компании:

С помощью данного расширения для Maltego (именно коммерческой версии) вы можете искать информацию в более чем 50 социальных сетях, базах данных и источниках Dark Net. Вам доступно более 700 методов поиска информации, усиленных возможностями по визуальному распознаванию лиц и поиску с геопривязкой.

То есть дополнение действует на «территории» таких социальных сетей, как: Facebook, Instagram, LinkedIn, Twitter, Skype, ВКонтакте, Одноклассники, YouTube. И даже распространяется на мессенджеры (например, Telegram, Signal). А ещё тут:

Это еще не всё.

Первая мысль

Плюс ко всему вышеперечисленному нам еще доступна БД компании Social Links, которая вроде бы уже составляет порядка 7 TB информации, собранной из открытых источников (e-mail, номера телефонов, адреса и явки, но, к сожалению, без паролей. Пока что).

Вторая мысль

Сказать, что я немного был ошарашен таким объемом возможностей – это значит тактично промолчать. Но, как говорится, на словах-то Лев Толстой, а на деле – давайте разбираться…

Тестировать функционал буду на себе, так как других желающих не нашлось. По мере своей параноидальности, я закрашу кое-какую часть своих персональных данных.

Очень важный disclaimer!

MALTEGO и все его надстройки – ЭТО НЕ ВОЛШЕБНАЯ КНОПКА, которую нажал и получил любую инфу о человеке, системе, компании… Данный инструмент, как и любой другой, будет эффективен только в руках человека, который знаком хотя бы с основами OSINT и анализа данных из открытых источников. Если кажется, что один клик и вся информации у вас на ладони – забудьте.

Почта

Для начала посмотрим, что может показать Social Links если, мы знаем только почту человека, и сможем ли мы сразу найти его в Facebook.

С ходу, разумеется, найти мой профиль по одному лишь e-mail не вышло. Оно и понятно. Адрес почты у меня скрыт настройками приватности Facebook.

Многие, кто занимался OSINT более 1 раза, согласятся со мной, что искать информацию на человека, который хотя бы несколько лет следует базовым принципам цифровой гигиены – то еще занятие. Но, как говорится, чем выше сложность, тем больше интерес)

Первый результат был получен от Transform, который конвертирует e-mail в профиль Skype. Попадание 100% — Скайп мой.

Второе «полупопадание» прилетело от Transform, который проверяет наличие юзера в Twitter. Тут, как я понял, идет сбор данных через страничку восстановления пароля. В итоге Twitter спалил, что у меня он в принципе есть, а также показал две последние цифры моего номера телефона. Не густо, но все же плюс.

Теперь давайте попытаемся выгрузить максимум информации из профиля Skype. С помощью 3-х Transforms мы конвертировали информацию из профиля Skype в Entities, с которыми теперь можем дальше работать. Также всю информацию о профиле мы можем посмотреть на вкладке Properties в свойствах Entitie.

И тут мое внимание привлекла Entitie формата Alias… Все люди ленивые в той или иной степени. Я, в данном случае, не стал исключением. Как многие из вас уже догадались, Alias – это никнейм или применительно к соцсети Facebook – ID.

Штирлиц понял, что совершил ошибку еще раньше чем это понял Мюллер…

Запустив Transform – [Facebook] Get Profile, Maltego был найден мой профиль в Facebook.

Для тех, кто не понял, что произошло, поясню: Мой Skype и Facebook ID одинаковы. Это одна из базовых методик OSINT, при которой мы имеем предположительный никнейм или список никнеймов, связанных с человеком, и проверяем все популярные сервисы на наличие пользователей с теми же самыми никами. С высокой долей вероятности мы найдем соответствия и как итог – профили пользователя в разных соцсетях.

Прим. автора: кстати, есть много сервисов, которые могут делать подобную проверку. Например: Namech_k.

 

Аккаунт Facebook

Итак, теперь у нас есть аккаунт Facebook. Давайте попробуем некоторые интересные Transforms. Например, давайте узнаем кто из тех, кто есть у меня в друзьях, подписан на Ольгу Бузову.

Вот, кстати, вам лайфхак по работе с Maltego. Если вы не уверены, что в правильной форме заполнили поля в свойствах Entitie, то просто возьмите ссылку на аккаунт человека и используйте Entitie URL. С помощью Transform получите Entitie нужного типа и через нее получите искомую Entitie профиля социальной сети. Пример можете посмотреть на рисунке с аккаунтом Ольги.

Как итог таких вот действий мы имеем корректно выгруженную Entitie профиля социальной сети Ольги Бузовой.

Ну а теперь начнем отлов «друзей». Усилий потребовалось немного. Выгружаем список фоловеров Ольги и мой список друзей. Остальное Maltego сделает за меня.

Есть попадание.

Простая и эффективная методика поиска аффилированности кого/чего-либо с кем/чем-либо посредством Maltego. Проблемы начинают возникать, когда таких связей не одна, а например, 100 или 1000. Тогда граф начинает принимать сложные формы химических элементов.

Для примера демонстрации данной проблемы достаточно просто отключить группировку однотипных Entities в коллекции на вкладке Collections и посмотреть, как будет выглядеть полная версия графа всех фоловеров Ольги и моих друзей.

Прим. автора: это, на мой взгляд, одна из самых главных проблем, с которой вы столкнетесь при проведении OSINT через Maltego. Нужно обязательно постоянно чистить граф от малоинформативных Entities, иначе вы рискуете утонуть в куче информации. Еще данная проблема частично решается покупкой хорошей мышки и БОЛЬШОГО монитора. А лучше двух.

Тут Social Links готова протянуть нам руку помощи. Например, метод поиска общих друзей между двумя профилями Facebook можно упростить, используя Entitie под названием Facebook Mutual Friends. Эта Entitie позволяет нам по двум Facebook ID выгрузить ТОЛЬКО общих друзей для данных профилей. Без выгрузки профилей всех остальных пользователей. Посредством этой методики мы можем оптимизировать граф в зависимости от задач поиска информации.

Как же это выглядит вживую?

Вариант 1 – Выгрузка всех друзей и Maltego строит связи.

Вариант 2 – Выгрузка общих друзей через Entitie Facebook Mutual Friends.

Таким образом, мы уменьшили количество выведенных результатов на граф и избавили себя от необходимости удаления ненужных Entities.

Но не одними списками друзей живы Transforms для Facebook. Также с помощью отдельных Transforms мы можем:

По умолчанию, окно работы Transforms ограничено двумя минутами. Если мы знаем, что время выгрузки информации будет больше двух минут, то мы можем отправить задачу на сервер Social Links и ждать результата. Время выполнения может достигать 1 часа, но и применяются данные отложенные Transforms только в случае большого объема данных под выгрузку. Например, нам нужно выгрузить список всех фоловеров с аккаунта блогера миллионника.

С полным списком всех доступных Transforms вы можете ознакомиться тут. Разумеется, итог применения данных Transforms зависит от того, как много методов OSINT вы знаете и насколько хорошо вы можете их комбинировать. Подчеркну еще раз: Maltego и Social Links – не волшебная кнопка, которую нажал и получил полное досье на человека.

PIPL

Теперь давайте поговорим про интеграцию со сторонними API на примере Transforms для поиска людей посредством сервиса Pipl. Для этой цели у нас существует отдельная Entitie под названием Pipl Search. Свойства данной Entitie вы можете видеть на рисунке.

Итак, как многие из вас уже в курсе, поисковик Pipl стал платным и для его интеграции в Social Links потребуется API ключ. Тут уже дело житейское – заходим на сайт Pipl, регистрируемся, получаем ключ и добавляем в настройках Maltego.

Особо хочу отметить именно ту опцию, которую я выделил на снимке экрана выше. Поставив галочку в графе Top Match, вы получите в выдаче только результаты, которые попали в ПОЛНОЕ соответствие введенным критериям. Иными словами, если вы ввели ФИО и e-mail, то без этой галочки вы получите все результаты по совпадению отдельно имени, отдельно фамилии и отдельно e-mail. Если поставили галочку Top Match, то только аккаунты, у которых все 3 критерия совпадут. Очень полезно, если в аккаунте Pipl у вас настроена оплата за результаты поиска.

Однако!

Частенько при простановке данной галочки (Top Match) вы можете получить нулевую поисковую выдачу. Даже по известным людям. Дело в том, что данная функция в поисковике Pipl является пока что экспериментальной и может работать некорректно.

Дополнительно Pipl предоставляет файл в формате JSON с результатами своей поисковой выдачи, где есть все, что он вынес на граф.

Прим. Автора: очень интересная деталь состоит в том, что поисковый сервис Pipl работает по принципу «ЧТО ПОПАЛО В ИНТЕРНЕТ, ТО ОСТАЕТСЯ ТАМ НАВСЕГДА». Например, в профиле Facebook у вас когда-то стояла информация, что вы работаете в компании А, и ваш профиль был проиндексирован со стороны сервиса Pipl.
Далее, вы вдруг решили немножко заняться корпоративным шпионажем у компании B и удалили информацию везде, где только можно, о том, что вы были сотрудником компании А, а затем с чистой совестью пошли на собеседование в компанию B.

Но вдруг вас не берут на работу туда. Вы начинаете разбираться. И оказывается, что даже в случае удаления информации из своего профиля в соцсетях и даже после новой индексации этого профиля сервисом Pipl, данные о работе в компании А внутри Pipl были бережно сохранены и выданы нужным людям по запросу в компании B. «ЧТО ПОПАЛО В ИНТЕРНЕТ, ТО ОСТАЕТСЯ ТАМ НАВСЕГДА».

 

Ещё и про Цукерберга

По славной традиции, какая же статья про Facebook может быть без упоминания Цукерберга. Вот давайте его и поищем. Кстати, не забываем в поисковом запросе выставить галочку на параметре AND if selected. Данный параметр устанавливает «И» между всеми значениями. По умолчанию, применяется значение «ИЛИ». Применение «ИЛИ» приведет к тому, что у нас будет общая выдача по людям с именем Марк + все люди с фамилией Цукерберг, а мы-то ищем конкретно только Марков Цукербергов 🙂

Тут мы видим очень яркий пример того, что часто встречается в OSINT. Даже по такой известной и однозначной личности поисковик Pipl выдает аж 21 фейк.

При этом, я заметил очень интересную деталь. В Pipl, на внутреннем профиле пользователя, по непонятным мне причинам, записана куча ID фейковых страниц Цукерберга, помимо верного.

Поэтому, если мы попытаемся применить Transform [Facebook] Search Person, то перед нами, в прямом смысле, разверзнутся врата OSINT-АДА.

Ну или давайте вот так, для пущей драматичности происходящего…

Вот, собственно, и все на сегодня

Не пропустите новые статьи по теме Maltego. Дальше мы рассмотрим, что же там по поиску в других соцсетях. Обязательно затронем VK, Одноклассники и Instagram. Поговорим о возможности поиска аккаунтов и людей по фотографии (Аналог Find Face только в экосистеме Maltego), посмотрим поиск по геолокации. Ну и на десерт самое интересное – узнаем, что же может предложить Social Links по части поиска в Dark Net.

И самое главное — помните! Вся информация выкладывается в данных статьях…

31.01.2020 Блог
Читайте все свежие новости первыми. Подписывайтесь на нас в Telegram
Владимир М. Владимир М. junior pentester

Специалист по фишингу, OSINT и социальной инженерии. Имеет высокие навыки по сбору и анализу информации из открытых источников. Опытный пользователь фреймворка Maltego.

Спасибо

Спасибо, что заполнили форму! Мы свяжемся с вами в ближайшее время по указанным контактным данным!

Обратный звонок

Заполните форму и наш специалист свяжется с вами в ближайшее время.

    Принимаю соглашение об использовании персональных данных