Методы деанонимизации пользователей по email

Методы деанонимизации пользователей по email
Сегодня мы изучаем методы деанонимизации пользователей по адресу электронной почты. Начнем мы с получения и анализа технической информации, коснемся OSINTA и расскажем про основные агрегаторы информации, присутствующие на рынке. В том числе и о нашем замечательном ТелПоиск.рус, позволяющем проверять не только номера телефонов со всего мира, но и адреса электронных ящиков - рассказывает руководитель компании Интернет-Розыск Игорь Бедеров.






В качестве обучающего кейса мы используем две электронных почты, принадлежащие Президенту Французской Республики Эммануэлю Макрону: emmanuelmacron3@gmail.com и emmanuel.macron@gmail.com. Не спрашивайте только, откуда мы ее взяли.
В самом начале проверки нам следует узнать существует ли фактически тот или иной почтовый адрес или же он был сфабрикован. Делается это при помощи направления на проверяемую почту невидимого SMTP-запроса.






Простые сервисы, позволяющие проверить существование адреса электронной почты:
https://2ip.ru/mail-checker/
http://ru.smart-ip.net/check-email/
https://ivit.pro/services/email-valid/
Более функциональные сервисы для проверки существования адреса электронной почты:
https://www.xverify.com/
https://mailvalidator.ru/
https://www.zerobounce.net/
https://www.emailmarker.com/
https://quickemailverification.com/






Кроме этого нам следует провести проверку доменного имени (WHOIS-запрос), которая часто позволяет получить значимую информацию об адресе электронной почты и его владельце:
https://2ip.ru/whois/
http://www.ripn.su/nic/whois/
https://whoer.net/ru/checkwhois
http://www.securrity.ru/whoiz.html
Если вы проверяете адрес электронной почты, расположенный на одном из общедоступных Интернет-сервисов (как это сделал господин Макрон), обязательно воспользуйтесь системой восстановления пароля. Это может дать вам информацию о дополнительных контактах владельца email, используемых им устройствах и иные идентификаторы.







Небольшой лайфхак... старайтесь всегда проверять email на сервисах Google и Apple - часто тут вы сможете получить информацию о модели устройства, используемого владельцем электронной почты:
https://accounts.google.com/signin/v2/identifier
https://iforgot.apple.com/password/verify/appleid
Теперь нам следует проверить не утекал ли в сеть пароль от проверяемой электронной почты. Сделать это можно при помощи нескольких ресурсов:
https://leakcheck.appspot.com/ (Telegram-бот @mailsearchbot)
https://haveibeenpwned.com/
https://monitor.firefox.com/
https://www.dehashed.com/
https://ghostproject.fr/
https://breachalarm.com/
https://sitecheck.sucuri.net/
https://chrome.google.com/webstore/detail/password-checkup-extensio/pncabnpcffmalkkjpajodfhijclecjno
Утечки паролей от email Эммануэля Макрона не были обнаружены, поэтому мы проиллюстрируем тему на примере электронной почты российско-беларусской звезды Анжелики Агурбаш agurbash@mail.ru






Переходим к возможностям "Google-хакинга" для идентификации владельцев электронной почты. Среди сервисов Google есть не только система восстановления паролей, о которой мы говорили выше. Сервисы "Календарь" и "Контакты" также позволяют вводить для проверки чужие почтовые ящики GMAIL:
https://calendar.google.com/
https://contacts.google.com/
Почему это может быть нам полезно? Сервисы "Календарь" и "Контакты" позволяют вытащить Google ID пользователя по адресу его электронной почты. Затем этот ID можно использовать для открытия публичных фотографий, геометок и иной информации из профиля.

Вытащить Google ID по адресу электронной почты можно двумя путями:
ПУТЬ №1.
[1] Добавляем адрес почты в "Календарь". Нажимаем "Изменить контакт"
[2] Переходим в "Контакты". Закрываем режим редактирования контакта. Щелкаем правой кнопкой мыши и выбираем "Просмотр кода страницы"
[3] В коде страницы находим строки от 530. Тут будет трижды написан Google ID. Копируем его
ПУТЬ №2.
[1] Перейдите в Google Контакты https://contacts.google.com/
[2] Добавьте новый контакт указав необходимый Email
[3] Нажмите на созданный контакт чтобы открылось окно
[4] Откройте инструменты разработчика Ctrl+Shift+I
[5] В верхнем левом углу инструментов разработчика нажмите на иконку для выбора элементов на странице или нажмите Ctrl+Shift+C
[6] Наведите курсор на текст "Профиль Google" и в коде найдите строку div class="NVFbjd LAORIe "data-sourceid="112345678909876543210" Где 112345678909876543210 это и есть Google ID.
После установления Google ID мы можем изучить публичные данные Google Maps конкретного пользователя. Например для почты emmanuel.macron@gmail.com это будет выглядеть так: https://www.google.com/maps/contrib/104698881261462310597/ Плохой пример, не спорим.






Приведем другой пример с выявлением отметок и публичных фотографий. Вот как это выглядит у более активных пользователей...






Вернемся к господину Макрону и его почтам. Все же существуют методы установления геолокаций по электронной почте. Правда работают они не всегда и не у всех... Вот пример геометок, связанных с почтой emmanuelmacron3@gmail.com... В этом случае геометки берутся не с самой почты GMAIL, а со связанных социальных сетей.






Другие методы слежки за перемещениями владельца электронной почты:
А) IP-адресу:
https://redirecting.tech/rpYTFz
https://redirecting.tech/rRsC42
IP-адрес (Internet Protocol Address) – это уникальный адрес в определенной сети на базе стека протоколов TCP/IP. Когда вы заходите на сайт, он создает соединение с вашим IP. И IP-адрес позволяет определить примерное местоположение. Использовать эту технологию в отношении других пользователей можно при помощи программы-логгера. О том, как следует работать с логгером - в следующем видео: https://redirecting.tech/rZbCau
Б) HTML5 Geo API:
https://redirecting.tech/r4Bus5
HTML5 Geolocation API позволяет пользователю предоставлять свое местоположение (GPS, LBS, WiFi, IP), если пользователь согласится предоставить его. Из соображений конфиденциальности, у пользователя запрашивается разрешение на предоставление информации о местоположении. Подробности - в следующем видео: https://redirecting.tech/rBuvOx
В) Геотаргетизированной и баннерной онлайн-рекламе:
https://redirecting.tech/r6KJMi
https://redirecting.tech/rie2Al
https://redirecting.tech/rKxkyo
https://redirecting.tech/rxHTmr
Используя базу адресов электронной почты, вы можете настроить рекламный таргетинг установив географические и иные рамки распространения рекламных сообщений. Когда пользователь увидит рекламу, находясь в заданной географической зоне, вы получите об этом отчет.
Идентификация...
Теперь, когда мы разобрались с методами проверки активности электронной почты и отслеживания местоположения ее владельца, мы можем перейти непосредственно к его идентификации. Под идентификацией мы понимаем установление данных вероятного пользователя электронной почты посредством установления фактов использования данной почты в различных онлайн-сервисах с последующим сопоставлением и анализов собранной информации.
Что это за онлайн-сервисы? В первую очередь, социальные сети. Факт наличия аккаунта в социальной сети, привязанного к проверяемой электронной почте, устанавливается через системы восстановления паролей или через (заранее собранные) базы данных сопоставленных контрактов и социальных аккаунтов.
https://vk.com/restore
https://ru-ru.facebook.com/login/identify/
https://twitter.com/account/begin_password_reset
https://ok.ru/dk?st.cmd=anonymRecoveryStartEmailLink
https://www.instagram.com/accounts/password/reset/
https://www.linkedin.com/uas/request-password-reset
https://auth.uber.com/login/
https://hh.ru/account/login
https://login.live.com/login.srf
https://icq.com/password/ru
Не стоит также пренебрегать поисковыми возможностями Google и Яндекс. Ищете проверяемый email в кавычках.
В случае с Макроном, проверка почты emmanuel.macron@gmail.com выявляет наличие нескольких социальных аккаунтов, а также факт использования электронной почты в качестве Apple ID.







Чтобы не лопатить своими руками кучу форм восстановления паролей и иных онлайн-сервисов и иметь возможность успешно идентифицировать пользователей электронных почтовых ящиков, рекомендуется приобрести доступ к следующим сервисам, делающим эту работу автоматически
https://www.телпоиск.рус/ по нашему мнению - лучший в России
https://infotracer.com/email-lookup/
https://www.spokeo.com/
=================================================
Наш канал в Telegram: https://t.me/irozysk
Мы в ВКонтакте: https://vk.com/internet.rozysk
Мы в Facebook: https://www.facebook.com/internet.rozysk
Alt text

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Игорь Бедеров

+7(812)983-04-83 office@irozysk.ru www.интернет-розыск.рф www.телпоиск.рус