新生情报工具(5):翻译间谍、头像中的秘密、连锅端利器、和追踪资金往来

  • 继续我们的不定期更新系列

如果您忘记了此前的内容,或者忘记了本栏目的来源,可以在这里回顾:

来看看今天有什么好玩的东西。

使用社会工程准确定位智能手机

Seeker 背后的概念很简单,就像托管网页仿冒页面获取凭据那样,请求目标人的位置。

Seeker 使用 Serveo 生成链接,将它转发给目标;网站要求获得位置许可,如果目标允许,追踪者就可以获得

  • 经度
  • 纬度
  • 准确度
  • 海拔(并非总是可用)
  • 方向(仅在用户移动时可用)
  • 速度(仅在用户移动时可用)

除了位置信息,追踪者还能获得没有任何权限的设备信息

  • 操作系统
  • 平台
  • CPU核心数
  • RAM容量 — 近似结果
  • 屏幕分辨率
  • GPU信息
  • 浏览器名称和版本
  • 公共IP地址
  • IP地址侦察

此工具是仅用于教育目的:显示恶意网站可以收集的有关您和您的设备的数据,以及您不应该点击随机链接并允许关键权限(如位置等)的原因

像 Serveo 和 Ngrok 这样的服务在一些国家是被禁止的,所以如果在你的国家被禁止,你可能无法获得URL,如果没有,那么看这里:https://github.com/thewhiteh4t/seeker

还有一个视频演示:

头像中隐藏着什么?

社交网络头像中可能隐藏着重要的调查线索,在这里看到一个利用头像中隐藏的线索挖掘网络水军的演示网络水军如何试图影响选举? 一个调查案例,观察对选民的在线心理战》。

头像照片往往尺寸很小,难以看清其中的细节线索。我们也介绍过如何改变这点,见《别让社交媒体的自然模糊阻挡真相》。

一些初学者依旧感觉这样的方法有难度。幸运的是现在有了一个免费服务可以帮您轻松做到这点。

InstaDP 是一项免费服务,可让您以高分辨率的品质查看任何人的 Instagram 个人资料图片。你可以搜索任何帐户。

浏览 Instagram 时,个人资料图片很小,没有选项可以将其放大。该网站则允许您以原始大小放大个人资料图片。

它们还有iOS或Android版的应用程序 Qeek for Instagram。

网站的搜索栏可以让您搜索任何用户,即使您不知道确切的用户名。

在这里:https://www.instadp.com/

连锅端和避免连锅端的警告

社交媒体情报是个庞大的金矿;几乎所有目的的人都一直在从中挖掘着属于自己的宝物。从调查记者到政府间谍,从商业营销到社交工程,从私人侦探到威胁情报……

于是,相关技术工具可以说非常丰富,您可以在这里看到大部分关键工具《社交媒体情报和反情报基本工具手册》。

不幸的是,目前为止大多数人依旧感觉某些细节“不起眼/很平常”,于是公开“无所谓”。

请随时记得情报分析的思考方式没有什么信息是不相关的。也许它们单独摆在那里时看起来很普通,但只要你把它们关联起来,就有可能牵出背后庞大的秘密。

所以,作为防御者,你必须小心,要非常小心。

⚠️尤其是对于那些民间独立组织尚且没能充分使用开源情报技术的社会 —— 因为这意味着开源情报没能做为反击能力获得对权势操作的透明度,而是仅仅作为打压工具被政府用来抓捕异议人士了。

如今的行动者往往通过社交网络进行动员,这也许非常便捷;但是,这也会令您陷入被提前维稳的风险。

如果您不想要自己的计划被挫败,那就要从动员的最初做好各方面的防御

我们介绍的情报挖掘工具都可以反用于防御 —— 让更多人看到技术能做到什么,追踪和抓捕以什么为线索,人们就能更为深刻地体会到该如何避免进入圈套

随时提醒自己,我在监视者眼中是什么样的

互粉很常见,但对于监视者来说:互粉意味着谁与谁存在强连接关系。

⚠️这就是为什么我们要强调:如果是重要的联系人,切勿在任何社交媒体上互粉。

否则您和您的团队有被连锅端的可能。

反过来,互粉也是追查政府宣传战网络的可靠参数之一。因为有组织的水军往往紧密相关、互相促进,很少有水军网络注重隐藏关系特征。

要挖掘这些关系,有两个工具可以帮您做到:第一个是 http://twiangulate.com/search/

它的网站很清楚无需过多解释。

另一个工具是: https://tweepdiff.com

Tweepdiff 可以用来比较(超过2个)Twitter 帐户,以找到其共同的追随者/关注对象 — — 显然,“连锅端”的利器。

⚠️再次重申,所有这些工具都在提醒安全意识;即便您不是战士,从来没有打算投入战斗,您一样可以通过尝试使用这些工具以获得安全防御的最佳判断

当然我们希望您具有战斗精神,因为民间组织需要更多技术精英的支持。

元搜索引擎和关键字研究工具

我们介绍过什么是元搜索引擎,以及一些常规工具,见《如果你擅长搜索,你能找到一切》。

元搜索引擎又称集合型搜索引擎,将多个单一搜索引擎集成在一起,提供统一的检索界面,将用户的检索提问同时提交给多个独立的搜索引擎,同时检索多个数据库;并根据多个独立搜索引擎的检索结果进行二次加工,如对检索结果去重复、排序等。

您可以简单的理解为全网搜。

这里有一个相对强大的工具,而且非常简单易用,上面那个图是示例:https://soovle.com/

它可以自定义搜索查询,可拖动以保存、或者下载。在左上角看到选项。

如果您正在深挖信息,建议使用关键字及其各种可能的变体(包括不同语种)逐一查询。因为人们经常会使用变体以避免被搜索

比如本文使用“开源情报”,而不是“OS**T”,这样就不会被搜索引擎捕捉到;但是如果搜索者使用中文关键字或者变体”OS**T”,这篇文章就会被捕获。

追踪资金往来

Venmo 是 PayPal 旗下的一个移动支付服务,让用户可以使用手机或网页转账给他人。

截至2018年6月,Venmo 已经拥有约2300万用户,仅2018年第二季度的交易总额就超过140亿美元。

⚠️不幸的是,Venmo 非常不安全,因为它将所有交易公开给任何人可以通过未经身份验证的API实时查看。

而且默认情况下,用户个人资料也是公开的,这意味着任何人都可以在未登录应用的情况下查看用户的最近五笔交易。

可以轻松找到个人的电话号码,并可用于在开源情报调查中发现 Venmo 帐户信息。

于是就诞生了一个挖掘资金往来的工具

Venemy(开源工具可在github上获得)可以抓取所有线索信息并生成情报报告。可以转换为图形分析的格式,以便与 Neo4j 等平台一起使用,实现深度挖掘。

你能想到它的用处非常广泛。⚠️资金往来是最敏感的揭示性情报。

可以在这里看到 Venemy 的介绍视频:

搜索 Telegram 的工具

Evans 推荐了一个可搜索 Telegram 频道/群组/机器人的搜索引擎:Telegago。

现在它更新了,变得更好用:

  • 结果更加丰富
  • 可看到消息类别
  • 优化的 Google dorks

Telegram 爱好者来试试看吧:https://cse.google.com/cse?q=+&cx=006368593537057042503:efxu7xprihg#gsc.tab=0&gsc.q=%20&gsc.page=1

间谍翻译(它是个警告⚠️)

互联网打开了全世界沟通的大门,人们发现了跨文化交流的便捷和快速。但与此同时,语言问题也被突出出来了。

掌握多门外语的人毕竟是少数,于是技术公司紧急开发了简单易用的在线翻译工具,比如众所周知的谷歌、Bing、Yandex 这是仅举几例。

谷歌翻译允许您选择两种语言:掌握的语言和目标语言。

但是翻译工具实在是太多了,也可能非常不安全。比如 ‘cevirsozluk’。它的工作方式略有不同。

首先,您只能看到一个输入框。在您键入时,翻译会显示在框下方。

⚠️您应该注意到页面底部显示的是其他用户搜索过的最新翻译。

所以呢?谁在乎是否有人想知道如何用法语说“蛋糕”?⚠️如果用户不知道自己的秘密和敏感的翻译内容被索引了,那么情况就会变得更加严重

更危险的是,使用“Google dorks”,可以找到此翻译网站的所有索引结果

截至2009年8月23日,这里显示了大约有 2170000 个结果。而几个月前这个数字还不到200万,所以你能知道它正在迅速增加。

所以,现在这里的可能性无穷无尽。

你会发现人们翻译单个单词、基本短语,但也会发现 —— ⚠️许多有趣的数据来自人们翻译他们的电子邮件!

你可以在上面的高级搜索中添加其他关键字。比如尝试像“信用卡”、“@ gmail.com”这样的关键词、以及 “确认”等等;你就会找到非常敏感的东西。

上面的图片显示有人正在翻译他们收到的包含信用卡详细信息的电子邮件。

⚠️其中包含有完整的卡号、安全码(CVV)、到期日期、卡类型,甚至是其帐户的ID!⚠️

这表明当人们没有意识到这些翻译被编入索引时会有多严重。

而另一种电子邮件翻译包括登录警报。这是非常常见的,现在站点会在有人从新的设备或位置登录时发送警告电子邮件给您。

这很危险吗?是的!

因为其中包括来自 Bittrex 这类网站的警告邮件,这是一个比特币交易平台。

由于用户点击了自动翻译,该邮件中包含的登陆IP抵制就泄漏了。

⚠️切勿随意使用在线翻译!这非常重要。即便无法公开索引,翻译工具的提供者也能看到您输入的内容 —— 想象一下,如果敏感人士使用隐写术或者任何加密通信传递内容,而其中使用的信息并非母语;这种情况下如果接收者使用了翻译功能 …… 任何安全技术都保护不了你。

这里要展示的最后一个危险例子并不是来自电子邮的件,而是来自网站。

有人在网站注册了一个账户,网站自动显示已经发送了确认代码到用户的手机;而在这种情况下用户使用了翻译功能 —— 完整的电话号码就暴露了。

在这里看到电话号码有多危险《如果只知道一个电话号码,你能挖出多少有效信息?》。

请注意以上只是最简单的几个例子而已,在此索引中您能挖到很多神奇的东西,什么银行支付交易ID、PayPal交易等等,五花八门。

永远都会有新服务出现,人们往往很少会花时间先学习一下如何正确使用它们、以及它们可能揭示的关于你的数据都包括什么。

这种习惯本身非常危险!

⚠️提醒所有人:小心上传任何内容,不论使用任何数字工具都应该非常谨慎。

如果您对此感兴趣,请关注本网下一篇文章:关于在线沙箱服务(恶意软件分析)如何变成了间谍的故事。小心!⚪️

—— 未完待续 ——

广告

发表评论

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据