Виявлення власника веб-сайту за допомогою OSINT
🌐 Реальний OSINT
З'ясування того, хто стоїть за веб-сайтом, має вирішальне значення в більшості OSINT-розслідувань. На перший погляд може здатися, що перевіряти веб-сайт потрібно лише тоді, коли він тісно пов'язаний з розслідуваною справою. Однак у розслідуванні можна зібрати більше інформації. Наприклад, збирачі OSINT-інформації повинні перевіряти доменні імена в різних сценаріях, таких як:
Приналежність: виявивши особу/осіб, які керують певним веб-сайтом, ми можемо пов'язати різні онлайн-суб'єкти, що належать одній особі, дізнатися, хто розміщує та реєструє пов'язані з ними доменні імена, і, зрештою, зрозуміти їхні мотиви. Наприклад, припустимо, ми виявили, що за англомовним веб-сайтом, який використовується для поширення фейкових новин, стоїть російський власник. У такому випадку це дає чітку підказку про іноземний вплив.
Перевірка джерел: якщо веб-сайт, з якого ми беремо інформацію, невідомий, ми повинні перевірити його автентичність, щоб забезпечити точність і надійність. Майте на увазі, що деякі веб-сайти можуть використовуватися для поширення дезінформації, щоб ввести в оману розслідувачів.
Розвідка кіберзагроз: дослідження доменних імен, пов'язаних з програмами-вимагачами та фішинговими атаками, може виявити їхніх справжніх власників.
Відстеження фінансових операцій: виявлення власників веб-сайтів полегшить відстеження грошових операцій в Інтернеті, відмивання грошей і виявлення будь-якої фінансової діяльності, пов'язаної з веб-сайтом.
Тепер, коли ми зрозуміли, чому з'ясування власників веб-сайтів є критично важливим для OSINT-розслідувань, давайте почнемо обговорювати різні інструменти та стратегії для з'ясування власників веб-сайтів, а також способи безпечного збору інформації.
Інструменти та методи для дослідження власників веб-сайтів
Існує величезна кількість інструментів і методів, які збирачі OSINT-інформації можуть використовувати для аналізу власників веб-сайтів. У цьому розділі ми зупинимося на найбільш важливих методах. Однак, перш ніж ми почнемо, рекомендується почати читати вміст веб-сайту, перш ніж застосовувати до нього інструменти. Ви можете знайти справжніх власників, прочитавши сторінку "Про нас" або завантаживши та прочитавши відкриті документи, розміщені на веб-сайті.
Вивчення історії веб-сайту
Попередні версії веб-сайту можуть розкрити необхідну інформацію про його власників. Веб-сайт може змінюватися з часом. Наприклад, додається новий контент, а інший видаляється. Перевірка попередніх версій може виявити таку інформацію, як поштові адреси, телефони та електронні адреси, а також іншу інформацію, наприклад, про бізнес-партнерів і філії.
Wayback Machine - один з найпопулярніших онлайн-сервісів для пошуку попередніх версій веб-сайтів, який легко підключається до Silo for Research.
Як виконати пошук WHOIS
Кожне доменне ім'я має пов'язану з ним інформацію, яка ідентифікує його власника, незалежно від того, чи є він фізичною особою або компанією. Інформація в записі WHOIS включає:
- Ім'я та контактна інформація власника доменного імені
- Ім'я та контактна інформація реєстратора (організації або компанії, яка зареєструвала доменне ім'я)
- Дата реєстрації домену та дата закінчення терміну дії
- Сервери імен
- Адміністративна та технічна контактна інформація - як правило, ця інформація належить компанії-реєстратору.
Існує багато сервісів для отримання записів WHOIS:
Ми також повинні перевірити історію доменного імені, щоб переглянути минулі зміни власників і реєстрацій доменного імені. Безкоштовним сервісом для отримання історії домену є WHOXY.
Хостингова компанія
Компанія, яка використовувалася для реєстрації доменного імені, може відрізнятися від компанії, яка використовується для розміщення файлів веб-сайту. Ось кілька сервісів для визначення хостингової компанії будь-якого сайту в Інтернеті:
Вищезазначені сервіси також нададуть вам IP-адресу, яку використовує веб-сайт, тому не забудьте запам'ятати цю інформацію, щоб використовувати її в наступному розділі.
Зворотний пошук за IP-адресою
Багато веб-сайтів використовують послуги віртуального хостингу. Зловмисники можуть розміщувати різні веб-сайти, які їм належать, на цих платформах віртуального хостингу, що призводить до того, що ці веб-сайти використовують одну й ту саму IP-адресу.
Ми можемо провести зворотний пошук за IP-адресами за допомогою багатьох безкоштовних онлайн-сервісів, щоб знайти всі веб-сайти, розміщені на одній IP-адресі.
ViewDNSinfo - інструмент зворотного пошуку за IP-адресою дозволяє знайти всі доменні імена, розміщені на одному веб-сервері
Зворотний пошук за Google Analytics ID
Google Analytics ID - це унікальний ідентифікатор, виданий компанією Google, який відрізняє певний веб-сайт або веб-додаток. Google використовує цей ідентифікатор відстеження (має такий вигляд ua-xxxx) для збору статистики про трафік і поведінку відвідувачів на веб-сайтах або в додатках.
Веб-адміністратори часто використовують один і той самий ідентифікатор Google для збору аналітичних даних для кількох веб-сайтів. Google надає інформаційну панель для моніторингу багатьох веб-сайтів за допомогою одного облікового запису.
Ми можемо використовувати цю функцію шляхом зворотного пошуку за Google Analytics ID, щоб виявити всі веб-сайти, які використовують один і той самий ID, що означає, що вони належать одному суб'єкту.
Ми можемо здійснити цей пошук вручну. Однак для цього існують безкоштовні онлайн-сервіси, такі як:
Вихідний код сайту
Вихідний код веб-сторінок може містити наступну інформацію:
- Ім'я веб-розробника
- Використані бібліотеки JavaScript
- Фрагменти коду, запозичені зі сховищ коду
- HTML-шаблон, використаний для створення веб-сайту
- Покинуті фрагменти коду, що містять специфічну для веб-сайту інформацію
Усі веб-браузери мають можливість читати вихідний HTML-код відвіданого веб-сайту. У Google Chrome ми можемо відкрити DevTools, натиснувши "Ctrl + Shift + C" в Windows і Linux, а в Mac потрібно натиснути "Cmd + Option + C". Щоб переглянути вихідний код сторінки, клацніть правою кнопкою миші на веб-сторінці і виберіть "Переглянути вихідний код сторінки".
Якщо ми підозрюємо, що певний фрагмент коду є унікальним для даного веб-сайту, ми можемо скористатися спеціальною пошуковою системою для пошуку відповідних входжень будь-яких фрагментів коду в Інтернеті. Існує кілька пошукових систем для здійснення такого пошуку, найпопулярніші з них:
Перевірка пов'язаних адрес електронної пошти
Під час пошуку ми можемо знайти адреси електронної пошти у вмісті цільового веб-сайту або його архівних версіях. Їх слід додатково перевірити, щоб виявити пов'язані об'єкти в Інтернеті. Ось кілька кроків для перевірки адрес електронної пошти:
Перевірте, чи адреса електронної пошти все ще дійсна або активна. Ось два сервіси для цього:
Перевірте, чи не фігурувала ця адреса в попередніх витоках даних. Обов'язково прочитайте попередні витоки даних, в яких було знайдено цю адресу, оскільки це може виявити важливу інформацію - наприклад, якщо адреса була включена до витоку даних ГОТЕЛЮ; це вкаже на те, що власник пов'язаний з цим готелем або принаймні відвідував його в певний час.
Вивчіть соціальні мережі та онлайн-профілі
Пошук офіційних акаунтів у соціальних мережах, пов'язаних з веб-сайтом, може допомогти встановити зв'язок та ідентифікувати потенційних операторів веб-сайту. Аналіз послідовних ідентифікаторів у профілях, таких як імена користувачів, зображення профілю, біографії та пов'язані акаунти/сайти, може вказати, хто може стояти за веб-сайтом.
Також корисно шукати прес-релізи, статті та інтерв'ю, пов'язані з цільовим веб-сайтом, оскільки вони можуть містити інформацію про осіб чи організації, які стоять за ним.
Усі зображення, розміщені на веб-сайті, слід ретельно вивчати, наприклад, перевіряючи їхні метадані та проводячи зворотний пошук зображень, щоб знайти, де вони з'являються в Інтернеті.
Безпечне розслідування прав власності на веб-сайти
Виявлення власника анонімного веб-сайту та інформації про оператора має вирішальне значення для розслідування OSINT-атак. Але не менш важливо переконатися, що ті, хто спостерігає, не стануть тими, за ким спостерігають. Ваш цифровий фінгерпринт може наштовхнути ціль на ваше розслідування, що дозволить їм знищити докази, фальсифікувати факти або навіть націлитися на розслідувача.
Хоча веб-сайти можуть використовувати служби конфіденційності, приховувати реєстраційну інформацію (приховувати записи WHOIS) і приховувати хостинг-провайдерів, досвідчені OSINT-аналітики можуть безпечно використовувати різні інструменти, щоб зібрати воєдино докази приналежності. Не розкриваючи об'єкт розслідування, фахівці можуть зібрати критично важливу інформацію про свою ціль.