Джастін Зайц підготував коротке відео про те, як витягти інформацію про SSL-сертифікати з crt.sh за допомогою Google Таблиць. Ця техніка може допомогти вам виявити цікаві субдомени, домени, які пов'язані з вашою ціллю OSINT розслідування, або фішингові домени, які зловживають вашим брендом.
Функція "імпорту" зручна і для інших цілей, якщо сторінка, яка відображається, містить таблицю з інформацією, її можна "імпортувати" безпосередньо. Ще одна додаткова порада: у crt.sh також можна використовувати підстановочні знаки. Це може призвести до помилок, якщо ви хочете бути занадто креативними, наприклад, коли кількість результатів буде занадто великою. Але ось результат запиту одного із запитів:
За допомогою
Функція "імпорту" зручна і для інших цілей, якщо сторінка, яка відображається, містить таблицю з інформацією, її можна "імпортувати" безпосередньо. Ще одна додаткова порада: у crt.sh також можна використовувати підстановочні знаки. Це може призвести до помилок, якщо ви хочете бути занадто креативними, наприклад, коли кількість результатів буде занадто великою. Але ось результат запиту одного із запитів:
=IMPORTHTML("https://crt.sh/?q=osint%3A*&exclude=expired","table")
За допомогою
osint%
можна зібрати усі домени, що починаються з "osint" і вилучити всі прострочені сертифікати за допомогою exclude=expired
urlhunter - це розвідувальний інструмент, написаний на Go, який дозволяє шукати за URL-адресами, що публікуються через сервіси скорочення, такі як bit.ly та goo.gl. Він використовує індексовані посилання, створені " Archive Team ". Вибравши діапазон даних і ключові слова, він запускається і знаходить доступний контент для аналізу.
Яким чином?
Група під назвою URLTeam перебирає сервіси скорочення URL-адрес і щодня публікує відповідні результати. urlhunter завантажує їхні колекції і дозволяє вам їх аналізувати.
Яким чином?
Група під назвою URLTeam перебирає сервіси скорочення URL-адрес і щодня публікує відповідні результати. urlhunter завантажує їхні колекції і дозволяє вам їх аналізувати.
Визначаємо, чи використовувався штучний інтелект
Протягом останніх років спостерігається величезне зростання штучно створеного контенту. Штучний інтелект не лише вдосконалюється, але й величезна кількість безкоштовних платформ дозволяє людям легко ним користуватися.
Виявлення зображень, згенерованих штучним інтелектом
https://www.aiornot.com
https://app.illuminarty.ai
Що стосується згенерованого тексту, то існує кілька сайтів, які можуть виявляти такі тексти. І, схоже, вони дають хороші результати, коли ви завантажуєте їм частини тексту:
https://contentatscale.ai/ai-content-detector
https://copyleaks.com/ai-content-detector
https://gptzero.me
Пам'ятайте, що ці результати можуть давати помилкові спрацьовування, тому обов'язково аналізуйте їх і шукайте підтверджуючі докази, якщо це можливо. Також майте на увазі, що не всі згенеровані зображення або відео можуть бути виявлені. Існує кілька методів, які ускладнюють їх виявлення, але ця сфера також швидко розвивається.
Протягом останніх років спостерігається величезне зростання штучно створеного контенту. Штучний інтелект не лише вдосконалюється, але й величезна кількість безкоштовних платформ дозволяє людям легко ним користуватися.
Виявлення зображень, згенерованих штучним інтелектом
https://www.aiornot.com
https://app.illuminarty.ai
Що стосується згенерованого тексту, то існує кілька сайтів, які можуть виявляти такі тексти. І, схоже, вони дають хороші результати, коли ви завантажуєте їм частини тексту:
https://contentatscale.ai/ai-content-detector
https://copyleaks.com/ai-content-detector
https://gptzero.me
Пам'ятайте, що ці результати можуть давати помилкові спрацьовування, тому обов'язково аналізуйте їх і шукайте підтверджуючі докази, якщо це можливо. Також майте на увазі, що не всі згенеровані зображення або відео можуть бути виявлені. Існує кілька методів, які ускладнюють їх виявлення, але ця сфера також швидко розвивається.
Taranis AI - це передовий інструмент розвідки з відкритим вихідним кодом, який використовує штучний інтелект для революційного збору та аналізу інформації.
https://taranis.ai
Це все ще альфа-версія, стабільний реліз заплановано на 24 березня.
https://taranis.ai
Це все ще альфа-версія, стабільний реліз заплановано на 24 березня.
OSINTBuddy - альтернатива Maltego з відкритим вихідним кодом: мережеві графіки, видобуток даних OSINT та плагіни. Об'єднуйте неструктуровані та відкриті дані для проведення досліджень.
viewdns.info дозволяє дізнатися, чи пов'язана електронна пошта з доменними іменами.
Просто введіть адресу електронної пошти або ім'я особи чи компанії, щоб знайти інші домени, зареєстровані на ті самі дані.
Просто введіть адресу електронної пошти або ім'я особи чи компанії, щоб знайти інші домени, зареєстровані на ті самі дані.
BetterAI – аддон для пошуку безкоштовних альтернатив будь-якої нейронки. Аддон аналізує відкритий сайт та видає схожі нейронки
https://freeaitool.co/ai-alternatives
https://freeaitool.co/ai-alternatives
Як добувати інформацію з сайтів на Wordpress?
При зануренні в блоги Wordpress іноді можна отримати деяку інформацію про користувачів через API, якщо він увімкнений. Для того, щоб переглянути список користувачів, достатньо змінити URL на наступний:
{сайт}/wp-json/wp/v2/users
Це поверне JSON-дамп всіх, хто має обліковий запис на конкретному сайті, і може виявити ще деяку цікаву інформацію.
Наступні запити API можуть бути корисними для перевірки (замініть частину users у прикладі вище):
API запит Інформація
comments Всі опубліковані коментарі
media Всі медіа в блозі
pages Інформація зі статичних сторінок
posts Всі опубліковані публікації в блозі
Якщо результатів занадто багато, ви можете додати деяку розбивку на сторінки, додавши параметр per_page:
{site}/wp-json/wp/v2/posts/?per_page=100&page=1
🌐 Реальний OSINT
При зануренні в блоги Wordpress іноді можна отримати деяку інформацію про користувачів через API, якщо він увімкнений. Для того, щоб переглянути список користувачів, достатньо змінити URL на наступний:
{сайт}/wp-json/wp/v2/users
Це поверне JSON-дамп всіх, хто має обліковий запис на конкретному сайті, і може виявити ще деяку цікаву інформацію.
Наступні запити API можуть бути корисними для перевірки (замініть частину users у прикладі вище):
API запит Інформація
comments Всі опубліковані коментарі
media Всі медіа в блозі
pages Інформація зі статичних сторінок
posts Всі опубліковані публікації в блозі
Якщо результатів занадто багато, ви можете додати деяку розбивку на сторінки, додавши параметр per_page:
{site}/wp-json/wp/v2/posts/?per_page=100&page=1
🌐 Реальний OSINT
Google Business Info - як отримати перші дві літери адреси електронної пошти, яка пов'язана зі сторінкою Google Business?
Крок за кроком це зробити дуже просто:
Знайдіть компанію на Картах Google
Виберіть компанію, про яку йдеться, і натисніть на неї
Скопіюйте URL-адресу та перейдіть до PlePer CID-конвертера
Вставте повну URL-адресу та скопіюйте десятковий CID
Додайте його до наступної URL-адреси
https://business.google.com/create?fp=
У виділеній області є два варіанти, які можуть бути показані:
Два символи, а потім ...@....
Два символи, а потім [email protected]
Google видає вам перші два символи, а також інформацію про те, чи це адреса Gmail, чи це інший домен. Це небагато, але, можливо, це дасть вам невелику підказку, якщо ви могли щось пропустити.
🌐 Реальний OSINT
Крок за кроком це зробити дуже просто:
Знайдіть компанію на Картах Google
Виберіть компанію, про яку йдеться, і натисніть на неї
Скопіюйте URL-адресу та перейдіть до PlePer CID-конвертера
Вставте повну URL-адресу та скопіюйте десятковий CID
Додайте його до наступної URL-адреси
https://business.google.com/create?fp=
У виділеній області є два варіанти, які можуть бути показані:
Два символи, а потім ...@....
Два символи, а потім [email protected]
Google видає вам перші два символи, а також інформацію про те, чи це адреса Gmail, чи це інший домен. Це небагато, але, можливо, це дасть вам невелику підказку, якщо ви могли щось пропустити.
🌐 Реальний OSINT
Будь-хто, хто знає ваш номер WhatsApp, може з'ясувати, чи користуєтеся ви лише мобільним додатком, чи його супутніми веб- або десктопними додатками
Хоча виявлення того, де користувачі використовують WhatsApp, не є найнебезпечнішим витоком інформації, експерти з цифрової безпеки погоджуються, що це не ідеальна ситуація, і в деяких випадках це може допомогти хакерам націлитися на користувачів WhatsApp
"Це може бути корисно для збору інформації та планування атаки", - розповіла Руна Сандвік, експерт з цифрової безпеки, маючи на увазі те, як хакери могли з'ясувати, що їхня ціль використовує WhatsApp на ПК, який, як правило, легше скомпрометувати, ніж мобільний телефон
"Це, принаймні, говорить вам більше про пристрої, якими вони користуються, і наскільки "доступними" можуть бути їхні налаштування WhatsApp", - сказав Сандівк, який є засновником стартапу Granitt
На практиці, за словами експертів, "можливо, переслідувач міг би зробити висновок, що я вдома чи ні, залежно від того, який пристрій я використовував"
Хоча виявлення того, де користувачі використовують WhatsApp, не є найнебезпечнішим витоком інформації, експерти з цифрової безпеки погоджуються, що це не ідеальна ситуація, і в деяких випадках це може допомогти хакерам націлитися на користувачів WhatsApp
"Це може бути корисно для збору інформації та планування атаки", - розповіла Руна Сандвік, експерт з цифрової безпеки, маючи на увазі те, як хакери могли з'ясувати, що їхня ціль використовує WhatsApp на ПК, який, як правило, легше скомпрометувати, ніж мобільний телефон
"Це, принаймні, говорить вам більше про пристрої, якими вони користуються, і наскільки "доступними" можуть бути їхні налаштування WhatsApp", - сказав Сандівк, який є засновником стартапу Granitt
На практиці, за словами експертів, "можливо, переслідувач міг би зробити висновок, що я вдома чи ні, залежно від того, який пристрій я використовував"
Безпека в епоху cookie
Викрадення cookie-файлів - це метод злому облікових записів, який набирає популярності через поширення багатофакторної аутентифікації. З його допомогою зловмисники імпортують сесійні cookie-файли жертви у свої системи та отримують доступ до профілю навіть без необхідності введення пароля
Ця проблема cookie-файлів набагато серйозніша, ніж багато хто припускає, і її запобігання доволі ускладнене. Акаунти Google особливо привабливі для злочинців через важливу особисту інформацію, що міститься в них
Навіть початківці можуть орендувати недорогий інфостилер і викрасти сесійні cookie за кілька кліків, без необхідності мати просунуті технічні знання
Для запобігання зараженню пристроїв використовуйте надійні антивіруси, уникайте невідомі посилання і регулярно оновлюйте програмне забезпечення на своїх пристроях. Ще вкрай важливо періодично вручну завершувати сеанси з пристроїв, якими ви більше не користуєтеся, так само як і обмежувати тривалість сеансів
🌐 Реальний OSINT
Викрадення cookie-файлів - це метод злому облікових записів, який набирає популярності через поширення багатофакторної аутентифікації. З його допомогою зловмисники імпортують сесійні cookie-файли жертви у свої системи та отримують доступ до профілю навіть без необхідності введення пароля
Ця проблема cookie-файлів набагато серйозніша, ніж багато хто припускає, і її запобігання доволі ускладнене. Акаунти Google особливо привабливі для злочинців через важливу особисту інформацію, що міститься в них
Навіть початківці можуть орендувати недорогий інфостилер і викрасти сесійні cookie за кілька кліків, без необхідності мати просунуті технічні знання
Для запобігання зараженню пристроїв використовуйте надійні антивіруси, уникайте невідомі посилання і регулярно оновлюйте програмне забезпечення на своїх пристроях. Ще вкрай важливо періодично вручну завершувати сеанси з пристроїв, якими ви більше не користуєтеся, так само як і обмежувати тривалість сеансів
🌐 Реальний OSINT
Wayback Google Analytics - легкий інструмент для збору поточних та історичних кодів аналітики Google (UA, GA і GTM коди) для OSINT-розслідувань
Коди Google Analytics є корисною інформацією при вивченні взаємозв'язків між веб-сайтами. Якщо два, здавалося б, несхожі веб-сайти мають однакові коди UA, GA або GTM, є велика ймовірність того, що ними керує одна і та ж особа або група осіб. Але нещодавні зміни в тому, як Google обробляє свої аналітичні коди, загрожують обмежити ефективність методу. У липні 2023 року Google почав поступово відмовлятися від кодів UA в рамках оновлення Google Analytics 4
Як допомагає цей інструмент?
Wayback Machine Інтернет-архіву містить корисні знімки веб-сайтів, що містять їхні історичні ідентифікатори GA. Цей інструмент автоматизує процес за допомогою Wayback Machines CDX API. Введіть список адрес і часовий інтервал (разом з додатковими необов'язковими параметрами), щоб зібрати поточні та історичні коди GA, UA і GTM і повернути їх у вибраному вами форматі (json, txt, xlsx або csv)
Коди Google Analytics є корисною інформацією при вивченні взаємозв'язків між веб-сайтами. Якщо два, здавалося б, несхожі веб-сайти мають однакові коди UA, GA або GTM, є велика ймовірність того, що ними керує одна і та ж особа або група осіб. Але нещодавні зміни в тому, як Google обробляє свої аналітичні коди, загрожують обмежити ефективність методу. У липні 2023 року Google почав поступово відмовлятися від кодів UA в рамках оновлення Google Analytics 4
Як допомагає цей інструмент?
Wayback Machine Інтернет-архіву містить корисні знімки веб-сайтів, що містять їхні історичні ідентифікатори GA. Цей інструмент автоматизує процес за допомогою Wayback Machines CDX API. Введіть список адрес і часовий інтервал (разом з додатковими необов'язковими параметрами), щоб зібрати поточні та історичні коди GA, UA і GTM і повернути їх у вибраному вами форматі (json, txt, xlsx або csv)
Ahmia – пошукова система, яка індексує сайти в мережі Tor, що працює в звичайному браузері. Але щоб отримати доступ до самих onion-сайтів, потрібно встановити пакет браузера Tor.
За даними Brandwatch, люди в середньому мають 7,6 акаунтів у соціальних мережах. Це корисна статистика, яку варто мати на увазі, коли ви досліджуєте профілі в соціальних мережах. Під час розслідування нерідко трапляються закриті акаунти. Ви можете спробувати знайти інформацію на сторінках друзів і членів сім'ї цілі, але в якості альтернативи ви можете шукати інші акаунти в соціальних мережах, що належать вашій мішені. В ідеалі, ви повинні робити і те, і інше, але тут зосередимося на останньому варіанті.
Припускаючи, що ми вже знаємо ім'я (імена) користувачів нашої мішені, покажемо три різні, але дуже схожі інструменти, за допомогою яких ви можете відстежити вашу мішень на різних платформах соціальних мереж.
Важливо підкреслити, що такі інструменти не допоможуть вам знайти голку в стозі сіна - вони просто заощадять вам багато часу, який, у свою чергу, можна використати для інших завдань, наприклад, для фактичного аналізу всієї зібраної інформації:
WhatsMyName
Namecheckup
Sherlock
🌐 Реальний OSINT
Припускаючи, що ми вже знаємо ім'я (імена) користувачів нашої мішені, покажемо три різні, але дуже схожі інструменти, за допомогою яких ви можете відстежити вашу мішень на різних платформах соціальних мереж.
Важливо підкреслити, що такі інструменти не допоможуть вам знайти голку в стозі сіна - вони просто заощадять вам багато часу, який, у свою чергу, можна використати для інших завдань, наприклад, для фактичного аналізу всієї зібраної інформації:
WhatsMyName
Namecheckup
Sherlock
🌐 Реальний OSINT
Онлайн-дешифрувальник допомагає відновити частково зашифровані файли
Компанія CyberArk створила онлайн-версію White Phoenix, дешифрувальника з відкритим вихідним кодом, орієнтованого на операції з використанням переривчастого шифрування.
Інструмент вже був у вільному доступі на GitHub як проект на мові Python, вони вирішили, що онлайн-версія необхідна для менш технічно підкованих жертв, які не знають, як працювати з кодом
Наразі утиліта підтримує PDF-файли, файли документів Word і Excel, ZIP-архіви та PowerPoint. Крім того, онлайн-версія має обмеження на розмір файлу в 10 МБ, тому якщо ви хочете розшифрувати більші файли або віртуальні машини, версія для GitHub - це єдиний спосіб.
Переривчасте шифрування - це метод, який використовується для прискорення шифрування пристроїв, оскільки файли жертви шифруються лише частково
Якщо ви працюєте з конфіденційною інформацією, рекомендуємо завантажити White Phoenix з GitHub і використовувати його локально
Компанія CyberArk створила онлайн-версію White Phoenix, дешифрувальника з відкритим вихідним кодом, орієнтованого на операції з використанням переривчастого шифрування.
Інструмент вже був у вільному доступі на GitHub як проект на мові Python, вони вирішили, що онлайн-версія необхідна для менш технічно підкованих жертв, які не знають, як працювати з кодом
Наразі утиліта підтримує PDF-файли, файли документів Word і Excel, ZIP-архіви та PowerPoint. Крім того, онлайн-версія має обмеження на розмір файлу в 10 МБ, тому якщо ви хочете розшифрувати більші файли або віртуальні машини, версія для GitHub - це єдиний спосіб.
Переривчасте шифрування - це метод, який використовується для прискорення шифрування пристроїв, оскільки файли жертви шифруються лише частково
Якщо ви працюєте з конфіденційною інформацією, рекомендуємо завантажити White Phoenix з GitHub і використовувати його локально
Код та внутрішні паролі Binance місяцями виставлялися на GitHub
Як стало відомо 404 Media, секретний кеш коду, інфраструктурні схеми, внутрішні паролі та інша технічна інформація, що належить криптовалютному гіганту Binance, місяцями зберігалася на загальнодоступному репозиторії GitHub.
Binance вдалося змусити GitHub видалити ці дані лише минулого тижня, але не раніше, ніж 404 Media та інші люди змогли їх переглянути. Хоча немає жодних публічних доказів того, що ці дані були доступні або використані зловмисниками, кеш містив багато інформації, яка може бути корисною для хакерів, які прагнуть скомпрометувати системи Binance.
Наприклад, одна діаграма, включена в папку під назвою "binance-infra-2.0", показує взаємозв'язок між різними частинами різних залежностей Binance. Кеш також містить безліч скриптів і коду. Частина цього коду, схоже, пов'язана з тим, як Binance реалізує паролі та багатофакторну автентифікацію. Код містить коментарі англійською та китайською мовами.
Кілька файлів містили паролі для систем, позначених як "prod", що, ймовірно, означає "виробництво". Виробничі системи, як правило, використовуються як частина реального сайту, а не як демонстраційне середовище або середовище розробки. Щонайменше дві з них, схоже, відповідають серверам AWS, які використовує Binance.
Витоки були опубліковані на GitHub акаунтом під назвою "Termf". Незрозуміло, чи це була стороння особа, яка отримала матеріали і розповсюдила їх зі зловмисними намірами, чи співробітник Binance, який завантажив їх на GitHub випадково.
Як стало відомо 404 Media, секретний кеш коду, інфраструктурні схеми, внутрішні паролі та інша технічна інформація, що належить криптовалютному гіганту Binance, місяцями зберігалася на загальнодоступному репозиторії GitHub.
Binance вдалося змусити GitHub видалити ці дані лише минулого тижня, але не раніше, ніж 404 Media та інші люди змогли їх переглянути. Хоча немає жодних публічних доказів того, що ці дані були доступні або використані зловмисниками, кеш містив багато інформації, яка може бути корисною для хакерів, які прагнуть скомпрометувати системи Binance.
Наприклад, одна діаграма, включена в папку під назвою "binance-infra-2.0", показує взаємозв'язок між різними частинами різних залежностей Binance. Кеш також містить безліч скриптів і коду. Частина цього коду, схоже, пов'язана з тим, як Binance реалізує паролі та багатофакторну автентифікацію. Код містить коментарі англійською та китайською мовами.
Кілька файлів містили паролі для систем, позначених як "prod", що, ймовірно, означає "виробництво". Виробничі системи, як правило, використовуються як частина реального сайту, а не як демонстраційне середовище або середовище розробки. Щонайменше дві з них, схоже, відповідають серверам AWS, які використовує Binance.
Витоки були опубліковані на GitHub акаунтом під назвою "Termf". Незрозуміло, чи це була стороння особа, яка отримала матеріали і розповсюдила їх зі зловмисними намірами, чи співробітник Binance, який завантажив їх на GitHub випадково.
YouTube видалив 1000 відео з рекламою шахрайства зі діпфейками знаменитостей
Незважаючи на те, що ці конкретні оголошення були видалені, відео знаменитостей, згенеровані ШІ, все ще використовуються на платформі, наприклад відео, в якому діпфейк Дональда Трампа попереджає про "потенційний початок 3 світової війни" і "тиху атаку на Америку, яку неможливо відстежити" під час відтворення відео про війну в Газі, а голос пропонує глядачам "трюк", який вони можуть зробити, щоб вижити в майбутньому апокаліптичному сценарії.
У компанії заявили: "Ми знаємо про нову тенденцію до поширення фальшивої реклами, яка передбачає неправдиву підтримку або стосунки зі знаменитостями. Ми також знаємо, що така реклама іноді може бути використана для шахрайства з користувачами". Компанія додала, що "інвестує значні кошти у виявлення та боротьбу з цією фальшивою рекламою та зловмисниками, які за нею стоять."
Google повідомив, що у 2022 році видалив понад 142 млн оголошень, які порушували його політику щодо неправдивої інформації.
Незважаючи на те, що ці конкретні оголошення були видалені, відео знаменитостей, згенеровані ШІ, все ще використовуються на платформі, наприклад відео, в якому діпфейк Дональда Трампа попереджає про "потенційний початок 3 світової війни" і "тиху атаку на Америку, яку неможливо відстежити" під час відтворення відео про війну в Газі, а голос пропонує глядачам "трюк", який вони можуть зробити, щоб вижити в майбутньому апокаліптичному сценарії.
У компанії заявили: "Ми знаємо про нову тенденцію до поширення фальшивої реклами, яка передбачає неправдиву підтримку або стосунки зі знаменитостями. Ми також знаємо, що така реклама іноді може бути використана для шахрайства з користувачами". Компанія додала, що "інвестує значні кошти у виявлення та боротьбу з цією фальшивою рекламою та зловмисниками, які за нею стоять."
Google повідомив, що у 2022 році видалив понад 142 млн оголошень, які порушували його політику щодо неправдивої інформації.
FaceCheckID – безкоштовний інструмент для пошуку за обличчям серед десятків платформ. Сервіс стверджує, що у його базі знаходяться понад 560 млн облич.
"Оператор cache:" у пошуку Google найближчим часом перестане працювати
Денні Салліван, представник Google SearchLiaison, оголосив в X про видалення можливості переглянути кешовану версію сторінки через додавання "cache:" до URL-адреси в пошуку
Оператор cache: доступний тільки для веб-пошуку. Він дає змогу знайти кешовану версію сторінки, яку Google генерує, щоб у користувачів завжди був доступ до контенту, навіть якщо не вдається перейти на сайт. Для використання функції необхідно ввести в адресному рядку cache:example.com/your/page.html
Після необхідно натиснути на три крапки або стрілку поруч із результатом, щоб побачити посилання на копію сторінки, збережену в кеші
Салліван сподівається, що в майбутньому Google домовиться з Internet Archive про інтеграцію посилань на копії сайтів з The Wayback Machine у розділ "Про цей результат"
Денні Салліван, представник Google SearchLiaison, оголосив в X про видалення можливості переглянути кешовану версію сторінки через додавання "cache:" до URL-адреси в пошуку
Оператор cache: доступний тільки для веб-пошуку. Він дає змогу знайти кешовану версію сторінки, яку Google генерує, щоб у користувачів завжди був доступ до контенту, навіть якщо не вдається перейти на сайт. Для використання функції необхідно ввести в адресному рядку cache:example.com/your/page.html
Після необхідно натиснути на три крапки або стрілку поруч із результатом, щоб побачити посилання на копію сторінки, збережену в кеші
Салліван сподівається, що в майбутньому Google домовиться з Internet Archive про інтеграцію посилань на копії сайтів з The Wayback Machine у розділ "Про цей результат"