- 追踪是一门古老的生意,如今,它非常赚钱……于是,也更加危险
约会网站允许您在非常亲密的环境中看清楚一个人,于是对于追踪调查来说,它是个极为强大的渠道。
这些配置文件中包含的信息通常无法在其他地方找到,从而可以独特地了解一个人的私生活。
如果您知道有人在那里闲逛,您可以在Chrome浏览器中使用GPS欺骗扩展程序,以挖掘对方的 Tinder 个人资料。
从开源情报(OSINT)研究员、社交工程师或黑客进行侦察的角度来看,约会网站是可搜索数据库的独特集合。
通过约会网站研究目标可以揭示对黑客和社交工程有用的多种信息。
视频:
人们经常会使用相同的昵称,于是您通常可以通过查找常用的别名来跟踪互联网上的某个人。
由于许多用户还链接他们的 Instagram 个人资料,如果他们倾向于重复使用相同的昵称,那么拦截昵称可能是调查某个人整个在线存在的关键。
Google 图片搜索功能强大
您可以用来深入了解一个人生活的另一个因素是 Tinder 上的个人资料图片。
约会应用程序允许发布很多照片,因此提供了许多机会使用反转图像搜索每张个人资料照片以查找此人的其他帐户,即使他们有不同的昵称。
最后,当涉及到个人描述时,人们往往不会非常有创意。
通常他们只是复制粘贴同样的内容,于是你可以很容易地根据文本中存在的相同的错误或措辞特征,在其他网站上找到它们。
大多数人在打字时都会犯错,当他们重复部分文本时会将这些错误与其他帐户联系起来,并且会在常规 Google 搜索中找到同样独特的错误。
约会简介比你想象的更公开
虽然 Tinder 长期以来一直作为移动应用程序提供,但大多数用户并不知道该网站现在允许从电脑访问。
于是你可以使用此权限在 Google Chrome 中快速欺骗自己的位置,从而使调查人员能够伪装成在其所期望的用户所在位置附近,并开始对个人资料进行过滤。
由于您可以从任何地方轻松完成此任务,因此开始此类攻击所需的唯一信息就是了解目标的外观以及他们居住、工作或闲逛的一般概况。
反过来看,如果你是目标,你被了解得越多也就越危险。
Tinder 允许您在Web浏览器中进行一些基本的调查,即使初学者也不难开始。
要开始使用,您需要下载并安装 Google Chrome 浏览器,以及名为 Manual Geolocation 的扩展程序。
第一步:安装位置欺骗扩展
让你的浏览器学会撒谎。这很重要,因为它使您能够搜索特定区域的一个或多个人。
如果您的目标只是识别隶属公司A的员工,那么将自己的位置放到公司A总部,就可以直接从 Tinder 上找到您想要找的人。
为此,需要从 Chrome 网上应用商店下载 Manual Geolocation 扩展程序。
添加该扩展程序并接受所需的任何权限,您会在附加组件栏的右上角看到一个图标。
第二步:伪装你的位置到目标的位置
点击 Manual Geolocation 图标将打开一个地图,允许您自己选择浏览器将向其访问的任何网站报告的位置,在本例中为 Tinder。
双击地图上的位置,选择目标所在的位置。
您可以使用鼠标移动调整以优化您的位置。最后,单击窗口右上角的开/关以打开扩展。
第三步:从欺骗位置注册一个Tinder帐户
现在,不论您访问任何网站,都会将此虚构位置信息作为你的真实位置读取,而 Tinder 将认为您实际上位于那个指定的位置。
导航到 Tinder 并等到下面的页面加载。
点击“使用电话号码登录”以创建帐户。您可以在此处使用 Google 语音号码,因为像 Burner 这样的服务无效。
输入Google语音号码后,它会向您发送一个包含代码的文本,以确认您拥有该号码。收到后,请在此字段中输入。
第四步:创建一个足够吸引你的目标的个人资料
如果您只想被动地监视目标,则需要考虑目标的喜好并输入那种能一见钟情的信息。如果您希望目标与您进行交互,那么最好创建一个可以激发他们欲望的简介。
下面是蜜罐个人资料的模板。
一般来说,男人喜欢一个优雅、平易近人、经验丰富,也许有点悲伤的女人。确保使用公共图像或合成图像而不是私人照片来执行此操作,此案例是从 Flickr 中选择的一个可以免费使用的图像。
创建个人资料后,点击“继续”以启动新身份。“Edith” 就活了。
第五步:特定设置以便易于被发现
这个 Edith 个人资料想要捕捉附近的任何人,所以需要让 Tinder 了解这个个人资料。
点击左上角的 “我的个人资料”,打开过滤器设置。
您需要让 Tinder 知道 Edith 就在这里与您的调查目标位置完全相同,所以输入您在这里想要寻找的人的年龄;需要指定年龄范围,因此请尝试将目标人的实际年龄放在平均数的位置上。
将 maximum distance 设置为1,除非您正在监视一个非常大的区域,否则您将扫描大量随机个人资料。
第六步:开始扫荡
现在开始查看该区域中符合过滤器设置的任何人的个人资料。
每个个人资料都允许您展开它以查看更多信息,这对于将人员关联到另一个站点来说非常有用。黑客可以从中找到各种不同的攻击媒介。
如果您正在搜索特定的人,就需要把当前过滤器集提供的选项用尽,直到确定您的目标不在那里。
重点是在找到目标之前继续观察。
如果不这样做,也可以尝试查看其他位置或等待一段时间再查看目标是否登录。
第七步:瞄准
当找到目标时,您可以点击他们的个人资料以获取更多信息。
在这里您可以找到其他照片以使用反向图像搜索并链接到其他个人资料。
如下所示,反向图片搜索显示了很多结果。
还可以继续使用昵称和其他相关信息进行搜索,您将有希望发现其他在线数据面包屑。不够小心的人非常非常多。
如果您设置的袜子木偶账户足够能吸引目标的兴趣,对方甚至会主动和你联系。这是非常幸运的,准备好你的社交工程大法吧。
本案例中的袜子木偶 Edith 只是被动监视者,一直在看而不是出手;一旦你越过那条线,就不再是被动监视了。
当然,如果您很想要试探一下目标是否是您需要的那个人,主动出击是有效的。(万一对方也是个袜子木偶呢?)
第八步:改变位置,瞄准一个新区域
如果您的目标已经移动了位置或更新了社交媒体,您可以通过再次单击浏览器工具栏中的扩展图标,并按照之前的方式选择新位置,来调整您在 Tinder 上的位置。
您需要先关闭它并打开一个新标签,而不仅仅是刷新。然后,再次导航到 Tinder,您的位置应该已经使用 Chrome 提供的新位置进行了更新。
你可以重复这个过程,直到覆盖所有目标可能会徘徊地点的1英里半径区域,吸引相关区域内任何符合目标年龄的人。
在编写您的个人资料时需要考虑的东西
任何人都可以创建Tinder个人资料,但大多数人都忘记了他们可以被任何对他们感兴趣的人找到。
许多黑客认为约会网站个人资料是网络钓鱼和社交工程攻击的合法入口点。如果有人能找到你,他们也可以联系你。
所以,在撰写个人资料时,请问自己一些问题:
- 我还在哪里使用过这张照片? Google图片搜索是一款功能强大的工具。
- 我还在哪里使用过相同的个人简介?
- 我是否提到了自己在其他许多地方使用过的昵称?
如果你在重要的地方使用过相同的昵称、头像和简介,会带来很多额外的风险。
黑客和渗透测试人员都喜欢查找这类多汁的个人资料,所以不要让自己成为恶意陌生人的轻松目标。
约会网站永远不会受到限制
⚠️众所周知,约会网站已经被警察、间谍、罪犯、研究人员、以及其他各方用于任何目的。因为可以轻松揭示有关目标的更私密信息。
构建仿真个人资料的较好方法是,把不想干的但有逻辑关系的各种真人个人资料的片段拼凑在一起,以使袜子木偶看起来鲜活真实。
对于一些人来说,在现实中和在数字世界中的形象有一些差别,但约会网站中找到的数据往往能衔接现实和网络。
希望有更多中国行动者参与到开源情报调查工作中来。不仅仅是因为开源情报市场已经数十亿美元、相关工作都是高薪的;更有,中国真的需要挖掘真相的民间独立组织。⚪️