- 注意思考方式哦!很重要
自动化是开源情报越来越重要的部分。即使是最简单的调查,也可能需要快速收集和分析大量不同的数据类型。手动是真的不行。
但是,随着时间的推移,建议将所有开源情报调查工作都自动化,是不对的 —— 优秀的开源情报调查人员应该可以从自动化中受益,而不是被自动化所取代。
👉 调查分析领域始终需要优秀的人类分析师、新闻工作者、侦探在最前端来理解数据并评估其价值。
Spiderfoot HX 是最棒的开源情报自动收集工具。我们曾经介绍过,在下面看到:
在这篇文章中,nixintel 演示了 Spiderfoot HX 如何用于调查恶意IP地址,是一个很精彩的调查案例。
还记得我们以前挖掘过的骗局吗?在下面回顾:
- 《演示:对 Elon Musk 比特币诈骗的开源调查》
- 起底法国的加密货币骗局挖出中国网军《好玩的间谍挑战》
👉本案例将展示 Spiderfoot 如何自动识别相关数据并通过识别感兴趣的点来进行扩展和探索,从而扩大开源情报调查的范围。
目标
本次调查的主题来自于下面这个诈骗邮件:
很惊人是吧?美国著名导演 Thomas Anderson(或Anthony Ned?)邀请你加入他的会员营销计划。当然,这是假的。
那么你能找到什么呢?该垃圾邮件中提供了几个身份标识,可以将它们输入到 Spiderfoot 中。有一个电子邮件地址、一个Skype用户名、和一个 telegram 帐户 —— 但是我对 Bitly 链接非常感兴趣,它们指向何处?
网络安全101意味着:不要点击垃圾邮件中的链接,你一定知道;但是,Bitly 有一个小窍门,可以帮助避免这种情况。
👉 在浏览器搜索栏中输入URL并在末尾添加+号,即可转到 Bitly 对该URL的分析页面。因此,对于电子邮件中的第一个URL,Bitly 告诉我们:
👉因此,无需点击链接!(可能很可能是恶意的),就已经可以知道垃圾邮件的背后域是 proinvest[.]ink。
第二个 Bitly 链接也指向同一域。在这里还可以看到总共有15个人点击了该链接,并且该链接自11月底以来一直处于活动状态。
因此,在 proinvest[.]ink 上究竟能找到什么呢 ……
这是一种典型的加密货币投资骗局!
这种骗局如今变得越来越普遍,骗走了许多无辜的人毕生的积蓄。2019年每名受害者的平均损失惊人地达到了14,600英镑(19,000美元)。
这些骗局鼓励受害人将他们的钱投资于比特币或外币,并承诺获得快速回报。乍一看一切都很好,并且被害者被愚弄着认为他们已经赚了大笔钱。然后他们就会进行更多投资,大多数情况下都是如此。
但是,这种时候骗子就会找借口并中断联系,然后带着钱人间蒸发。
这是 Proinvest 对自己的评价:
他们甚至提供了真实的英国地址和公司运营详细信息:
但是,它究竟合法吗?我们可以使用 Spiderfoot HX 来了解 Proinvest 骗局的运作方式,以便了解更多信息。
设置 Spiderfoot HX
我们将使用自定义扫描来调查该网站。要开始使用,请转到扫描,然后单击+号以创建新的扫描。给它起个名字叫 “crypto scam”:
目前为止还没有添加太多信息。我只关注域、垃圾邮件的电子邮件地址、和“Tom” 的 Telegram 用户名,显然他们是如此热衷于拿走我的钱。
👉Spiderfoot HX 还允许您搜索电话号码(一定要在开头添加+)以及人名。人名必须以逗号分隔。
我曾考虑在扫描中添加 “Thomas Anderson”,但像这样的非常普通的名字可能会引起过多的误报,因此我将其搁置。
Spiderfoot HX 大约有170个模块可供选择,但并非所有模块都与您的调查相关,因此,可以禁用不需要的模块以节省时间,并确保不浪费API积分。
👉这里有一些很好的模块可以探索网站内容、电子邮件和用户名,我们要启用它们。其中包括 Archive.org,BuiltWith(需要API密钥),Clearbit(API),EmailRep,File Metadata,Fraudguard,内部和外部URL以及 Web Analytics。
因为我们有一个电子邮件地址和一个用户名,所以启用“帐户”、“社交媒体资料”、和 “社交网络” 模块也很重要:
帐户模块会检查将近200个不同网站是否与所提供的用户名相匹配,这甚至比 Sherlock 还要多。在下面看到:
- 《针对人的追踪调查:开源情报思考方法(1)》
- 关于 Sherlock,见《在互联网上识别和追踪一个人的基本方法》
准备就绪后,请单击 “立即运行扫描” 以开始。您可以立刻查看结果,也或者,Spiderfoot 将在扫描完成后向您发送电子邮件通知。
扫描结果
这篇文章的目的之一是展示 Spiderfoot 的快速开源情报自动化功能如何扩大调查范围。我为该扫描启用了许多模块,Spiderfoot 返回了数千个数据点,几乎所有数据点都以某种方式有用。
如果使用手工技术甚至包括一系列本地运行的脚本来获取这些信息的哪怕一小部分,也需要花费很多时间,而且容易出错,并且可能错过了重要的数据点。
您花在收集信息上的时间越少,意味着就有更多的时间来分析和调查所发现的材料。
现在收集已经完成,我们可以使用 Spiderfoot 的结果和可视化工具开始深入研究这个加密货币骗局。
IP和域信息
Spiderfoot 的风险识别功能会立即标记出与欺诈网站关联的IP地址是恶意的:
您可以从它经营的公司那里得知很多有关网站的信息。 VirusTotal 以前已将该IP及其周围的IP与恶意活动相关联:
Spiderfoot 还在同一IP上标识了另一个域(“扫描结果”>“域名”)。这是该IP当前托管的唯一其他域。我们可以通过可视化功能了解到很多东西:
另一个域(online2019[.]com)本身尚未被归类为恶意,但其同名域名很多。如果(安全地)进行访问,那么该网站的实际外观是什么?
一看就是骗局对吧。只需要接受5分钟调查就给你一个比特币(价值$7200)?做梦呢。
关于该IP地址,还有其他一些有趣的观点。尽管该IP已分配给德国,但实际上是由一个立陶宛托管公司拥有的。Spiderfoot 已设法从收集的数据中选择了托管公司的物理地址(“扫描结果”>“物理位置”)。
这是伦敦 “顶级私人股本公司” 之一据称用于运营的托管公司的地址:
可笑吧……
验证和分析ID
即使从一开始不是一个明显的骗局网站,Spiderfoot 发现的IP和域名信息也倾向于表明我们也许根本就没有与伦敦的一家大型投资公司打交道。
但是还可以了解到什么呢?
我们从一开始就看到了用于垃圾邮件推广活动的 Bitly 链接仅在短时间内处于活动状态,那么在此之前,该网站背后的团队在做什么?
可以使用捕获的数据来尝试查找欺诈者可能涉及的其他站点。
👉Spiderfoot 以原始格式捕获目标网站的内容,因此无需直接访问该网站即可查看 HTML、CSS 和 Javascript 文件。该网站 HTML 中有 Google 和 Yandex 的分析标签:
网络管理员像我们其他人一样喜欢便利。因此,同一网站所有者很可能在他或她负责的所有网站中频繁重复使用相同的 Google Analytics ID。
在这种情况下,Google 和 Yandex 都有验证码,这使所有者可以证明该网站是他们的。但是他们在其他地方使用相同的标识吗?
Google的快速搜索显示,在另外两个已失效的加密货币骗局网站 icolimited[.]org 和 bit-crown[.]com 上使用了相同的 Yandex 和 Google 身份标识。
在这种情况下,我们的目标网站实际上没有包含 Google Analytics ID,但是 Spiderfoot 会自动浏览其他关联网站、识别分析和 Adsense ID,然后使用 SpyOnWeb API 查找共享相同 analytics ID 的网站。
👉这是在多个站点之间建立明确连接的绝佳方法,这些站点之间显然没有任何其他表面上的联系。
它清楚地显示了如何使用一个ID来证明多个站点之间的连接:
文件资料
Spiderfoot 还可以从网站上挖掘出哪些其他小细节以帮助我们更多地了解背后的人?
首先,我们启用了文件元数据模块来捕获有关在网站中发现的所有文件的信息。这是 Spiderfoot 带回来的东西:
Spiderfoot 已在网站中找到了四个PDF。可视化它们比遍历数据行更容易:
我们可以看到它们是使用 Microsoft 产品创建的,但是每个文件都有一些更有趣的元数据:
这显示了网站上PDF的创建日期,也恰好与上次修改日期相同。
该PDF是于2019年11月26日15:55:11创建的,但请注意时区:+ 03’00。计算机使用UTC作为参考点,这恰好与英国时间相同。
那么,为什么这个自称 “伦敦” 投资公司的计算机的时间戳比伦敦本地时间早3小时?以下是有关原因的可能性:
所有这些国家/地区都在UTC +3时区中,但是在创建此文件的日期里,只有白俄罗斯和俄罗斯在该时区中。这表明该骗局网站的创建者实际位于何处。
文件上的时间戳反映了实际创建文件的本地计算机的时间,因此它使我们对站点创建者的位置很有信心了。
但是这些PDF实际上指的是什么?让我们看看其中之一:
这些是来自 Company House 的文件,英国的所有企业都必须在该处进行注册。👉如果尝试验证这些详细信息是否正确,你会发现,Proinvest Ltd 是一家真正的英国公司。
法人是 Piotr Antoni Kaszynski,他还曾在其祖国波兰注册为多家公司的董事。诱人的是,他看起来就像是骗局的幕后黑手,但是,这些信息似乎并不真实。
甚至其登记的地址实际上并没有那么大的帮助。 Wenlock Road 20–22 是一个真实的地址,但它只是供公司注册的虚拟办公室。该地址与欺诈者的实际位置之间没有物理联系。这类设置对犯罪分子具有吸引力也就不足为奇了。
问题是 —— 在伦敦上市的 Proinvest Ltd 公司与诈骗网站背后的 Proinvest 公司是否是同一个东西?
👉答案是否定的。英国的所有金融公司均需获得金融行为监管局的许可。毫不奇怪,Proinvest [.ink] 并非如此。他们是一家克隆公司,并使用真实公司的名称和注册详细信息来使他们的欺诈行为看起来更合理。
文件元数据模块还揭示了网站本身的结构。我们刚刚查看过的PDF的文件路径是 proinvest[.]ink/glavna/cert/xxxx。
“Glavna”是俄语中的 “主要”的意思,因此,该网站的真正来历还有另外一条线索。
如何引诱受害者? —— 使用的是一个袜子木偶军团!
说服人们继续留在骗局里,这需要大量的时间和精力,也需要大量的袜子木偶。Spiderfoot 再次非常快速地映射和识别了袜子木偶网络。
选择 Browse By > Data Type > Linked URL — External,这将显示该欺诈站点指向的所有外部网页。一个名为 “Thomas Anderson” 的袜子木偶一开始就试图招募我,但 “Tom” 只是为进行欺诈而创建的数百个袜子木偶帐户之一。
👉这就是骗子与受害者交流的手段。 Spiderfoot 确实会很快找到所有这些对象 —— 超过400个!
要查结果,请选择 Discovery Path (Left > Right):
发现路径使我们能够看到每个搜索结果如何与原始查询联系在一起。这是一个很大的可视化效果,因此我将其分解以使其更易于查看。
这是给 Spiderfoot 的原始查询:
接下来 Spiderfoot 会确定该网站的一部分,称为 “Support”(也有一些其他URL,但我现在不打算讨论这些URL):
在整个图表之后,我们可以从 “Support” 页面看到一个链接,该链接指向另一个页面,称为 “Representatives”,或者我喜欢将其称为 “骗子操纵的袜子木偶”:
能一次找到所有这些袜子木偶不是很好吗?好吧 ……这样:
👉来自 Telegram,Facebook,YouTube,LinkedIn,Twitter,Google Plus,VK 和其他平台的数十个袜子木偶,都链接回了这个欺诈网站,目的是欺骗受害者,使他们相信这是真正的“赢家”真正的投资计划。
一张截图无法容纳太多,但已识别出400多个袜子木偶。
从 Facebook:
从VK:
YouTube 频道可帮助预览其他关联的加密货币骗局。在这一点上,他们的俄语链接甚至都没有伪装一下下:
当然,伦敦所有最大的私募股权公司都使用 Telegram 获得客户支持:
这的确显示了自动化开源情报调查的真正价值。手动执行此操作将花费数小时或数天。 Spiderfoot 只花了几分钟就做到了。
寻找 Tom_Proinvest
要研究这些袜子木偶和永无休止的加密货币骗局本身就是另一项调查,因此,最后,将重点介绍发送这封垃圾邮件的袜子木偶 “Thomas Anderson”,是它先触发了这项调查。
我已经在初始扫描中添加了 “ tom_proinvest”一词。除了我们已经知道的 telegram 帐户之外,蜘蛛脚还确认了关联的 Facebook 帐户。
👉不幸的是,Facebook 帐户已被删除,但是我们仍然可以做些事。
使用 Yandex 进行反向图像搜索可立即识别出用于创建袜子木偶 “Tom” 的头像。原来他也被称为 Maxim Belsky,Maxim Semenov,Bogdan Smirnov,Mikhail Pekletszov 甚至 Dmitry Andreyevich ……一大堆名字:
这是 “Tom” 被用来推动又一次加密货币骗局。有一个手机号码、Skype 帐户、和另一个 Telegram 帐户,可以将其输入 Spiderfoot 并继续进行研究。
实际上,如果点击 Tom aka“ Maxim Belsky” 正在宣传的 YouTube 视频的链接,就会发现他的 YouTube 频道、Gmail 地址、以及很多视频,这些视频说明了如何进行会员营销投资诈骗。
甚至有可能 Tom” 就是经营 YouTube 频道的骗子 Maxim。
但是,仍有很多线索在里面。事实证明,“ Maxim” 在他办公桌前的那张图片源于乌克兰 “营销专家” Oles Timofeev 的VK个人资料。
还有很多值得探索的地方 —— 随时注册 Spiderfoot,您可以亲自动手尝试侦探!
结论
这项小小的调查是从简单的垃圾邮件开始的,但是通过使用 Spiderfoot HX 进行自动化的工作能够迅速扩大调查范围,并确认该网站不是它声称的网站。
从一开始它就很可疑,但是 Spiderfoot 有助于弥合纯属怀疑与能够指出客观事实之间的鸿沟,这些事实有助于证明该网站是欺诈性的。
蜘蛛脚是一个了不起的调查利器。如果没有通过某种形式的自动化数据收集进行扩展,您很难进行这种调查。
👉尤其请注意这篇文章中透露的调查思考方式。您学会了吗?⚪️