Поиск по электронной почте

Привет, друг.

Продолжаем качать скилуху осинтера. И сегодня у нас, на первый взгляд, простая, а на самом деле не очень, тема. Это поиск информации по адресу электронной почты. Конечно же, на самом деле, ничего сложного в этом нет, просто это требует определенной скрупулезности, потому что чтобы найти что-то имея электронную почту придется перелопатить довольно большое количество ресурсов. При этом не менее важна внимательность, потому что можно банально провтыкать какой-то важный момент. В этой статье будет минимум софта, да и собственно основная цель её, не столько показать нужные ресурсы, хотя это тоже, но что более важно, хотелось бы научить тебя, на конкретных примерах, то что я называю “цепляться за информацию” т.е. из всего того объёма который ты видишь на экране, выбирать и собирать именно ту информацию которая будет тебе полезна. Знание софта, нужных ресурсов это конечно здорово, но намного важнее правильно оценивать информацию и правильно выбирать направление дальнейшего расследования, отфильтровывая информационный шум и вычленяя фактаж который приведет к результату. И, очень важно, научится работать в таком режиме всегда когда ты занимаешься поиском, ну а потренируемся мы на примере поиска по электронной почте, мы соберем все данные которые получится найти и наметим пути для дальнейшего расследования.

Итак начнем. В качестве подопытного я взял адрес электронной почты с которого рассылались фишинговые письма нацеленные на владельцев криптовалютных кошельков, причем письма примитивно-дебильные, в стиле: “Поменяйте пароль, потому что старый устарел”.

Любой поиск начинается с оценки исходных данных. Наши исходные данные: адрес электронной почты [email protected] и письмо с него пришедшее:

osint
Кстати, что убедится что оно действительно фишинговое и я не наворачиваю, закинем ссылку на которую ведет кнопка в письме на Virus Total: https://www.virustotal.com/gui/url/c01c1b72b711e3f2ff998f81a1e7282c5bc02ff9a3f095a4c51ed65137aef624/detection

Следующим шагом нам нужно увидеть оригинал письма, в разных почтовых клиентах это можно сделать по разному, но как правило, присутствует кнопка или пункт меню “Показать оригинал” либо “Исходный текст”, всё зависит от клиента.

Вообщем тычем эту кнопку и получаем оригинал письма со всей сопутствующей технической информацией, и именно с неё мы и начнем наш путь, потому что оттуда можно получить довольно много полезной информации.

osint

Вникать что означают прям все эти данные нам не нужно, разберем те которые могут быть нам полезны. И в первую очередь мы посмотрим на записи Received:

Received: from slimvps-1061908-21900.host4g.ru (slimvps-1061908-21900.host4g.ru. [89.253.226.57])
by mx.google.com with ESMTPS id bf13si1318586edb.64.2020.06.02.04.35.52
for [email protected]

Received-SPF: pass (google.com: domain of [email protected] designates 89.253.226.57 as permitted sender) client-ip=89.253.226.57;

Received: by slimvps-1061908-21900.host4g.ru (Postfix, from userid 10000)
id 2558A64FED; Tue, 2 Jun 2020 14:35:52 +0300 (MSK)

тут учитывай что смотреть на них нужно начинать с низу т.е. в обратном порядке. Эти записи показывают путь письма пока оно достигало адресата т.е. в самом низу находится отправитель, в верху получатель, а между ними промежуточные сервера через которые шло письмо. И, как видишь тут мы получаем первую полезную информацию, а именно мы видим сервер с которого письмо отправлено: slimvps-1061908-21900.host4g.ru и ip-адрес этого сервера 89.253.226.57, а также видим ещё одну электронную почту [email protected] и видим домен ireon.ru. Пока что делать выводы рано, просто записываем полученные данные и идем смотреть дальше.

Следующий пункт который нам интересен это:

Return-Path: [email protected]

это адрес для ответного письма. Следующий пункт:

X-PHP-Originating-Script: 10000:hbHeSdgkUU.php

Это имя скрипта который отправил нам это письмо. Иногда может пригодится.

Так же можно обратить внимание на записи Authentication-Results на предмет IP-адресов, доменов и электронных почт, но в нашем случае мы там ничего нового не находим, а потому пропускаем их.

Теперь небольшое отступление от тематики с уклоном в практическую часть, применительно к именно нашему случаю. На самом деле мы сейчас идем по длинному и сложному пути, потому что если перейти по адресу ireon.ru то мы увидим что это хоть и заброшенный но вполне реальный интернет-магазин, сделанный на OpenCart. Пусть и не порядочный магазин, с накрученными отзывами на Яндекс Маркете, но тем не менее вполне реальный. С реальным владельцем, данные которого есть на этом сайте, это ИП Дараев Андрей Владимирович, но это совсем не означает что нужно агрится на него, идти шатать магазин или делать какие-то гадости Андрюхе. Я более чем уверен, что Андрюха не причем и это сайт был взломан и его просто используют для рассылки. И сейчас мы в этом убедимся, а за одно попробуем напасть на след наших мамкиных фишеров. Для этого мы глянем исходный код письма и найдем там ссылку по которой нам предлагают перейти:

<a style="text-align: center; font-weight: 600; background-color: rgb(53, 88, 168); font-size: 18px; color: rgb(255, 255, 255); padding: 12px 30px; border-radius: 4px; text-decoration: none;" href="https://docs.google.com/document/d/e/2PACX-1vRtPV05LQhoAHFtmThV_H3EU3qmda0kqApaYzVj7_ruqL4TO6zyBkSw1FYLDH1ucosVsiU-KvD0ueYt/pub">Change data</a>

Теперь перейдем по ней и посмотрим что мы там увидим
(напомню что переходить по подобным ссылкам можно исключительно на виртуальной машине):

osint

И мы видим якобы страницу авторизации криптовалютного кошелька Blockchain. Делаем вид что мы не заметили, что эта страница сделана в Google Docs, смотрим исходный код и находим следующую ссылку

https://www.google.com/url?q=https://bucksshon.com/jferjvne.php&sa=D&ust=1591789067342000

И вот здесь мы видим еще один адрес: https://bucksshon.com/ – и вот это уже, с огромной долей вероятности, наши фишеры. Ну а как искать данные зная адрес сайта, я уже рассказывал в других статьях, если пропустил можешь почитать здесь и здесь.

Ну, а мы возвращаемся к теме нашей статьи и продолжим собирать информацию о электронной почте (хотя на самом деле мы уже нашли все что хотели), но, тем не менее чтобы статья была более информативной рассмотрим и другие инструменты.

После того как мы изучили данные самого письма и уже получили немало полезной информации, нам следует убедится что адрес с которого пришло письмо действительно существует, для этого идем на https://hunter.io/email-verifier и вводим там наш адрес почты:

osint

В принципе заниматься самим адресом на этом можно заканчивать, потому что адреса не существует и дальнейший поиск по нему не имеет смысла.

Но для полной картины я покажу другие полезные сервисы, которые могут помочь в работе.

Так стоит сходить на http://metricsparrow.com/toolkit/email-permutator/# и, если мы, например знаем имя и фамилию, то там можно сгенерировать список возможных адресов на разных почтовых сервисах:

osint

Есть ещё такой вариант, что если известный нам адрес электронной почты зарегистрирован на каком-нибудь сервисе типа gmail, yandex, mail.ru и подобных им, то обязательно стоит воспользоваться кнопкой “Востановить пароль”, потому что перед тем как нам нужно будет вводить данные нам покажет последние цифры телефона к которому привязан аккаунт или часть резервного адреса электронной почты, что иногда может быть полезно. Аналогичным способом можно пройтись и по социальным сетям, вдруг повезет.

Ну и не помешает ручками проверить адрес на предмет взлома на сайте https://haveibeenpwned.com/, если он там окажется можно увидеть где человек регистрировался и чем интересуется, что тоже может быть не лишним.

Infoga. Инструкция по использованию

Теперь мы познакомимся с полезным инструментом по сбору информации по адресу электронной почты. Это утилита Infoga, она позволяет автоматизировать процесс сбора информации об адресе используя возможности поисковых систем.

Для начала устанавливаем:

git clone https://github.com/m4ll0k/Infoga.git infoga
cd infoga
sudo python setup.py install 
python infoga.py

После запуска мы видим справку и сразу вводим команду для поиска по нашему адресу:

python infoga.py --info [email protected] -b -v 3 -r mail.txt

Здесь мы дали команду собрать информацию о нужном нам адресе, проверить его по базе haveibeenpwned.com на предмет утечек и сохранить результаты в файл mail.txt

osint

Так как Infoga не дала нам каких-либо результатов (по уже понятным причинам), мы переходим к следующему шагу.

Если все выше перечисленное, вдруг, не дало никаких результатов (что кстати маловероятно), то можно переходить к условно-агрессивным действиям и вспоминать о существовании сайта https://iplogger.ru/ и пробудив в себе социального инженера попытаться впихнуть на нужный адрес ссылку с логером, либо гео-логером тут уже всё зависит от наших талантов и степени наивности либо параноидальности нужного нам персонажа.

Также не стоит забывать о тех данных которые мы себе записывали:

osint

мы ведь это делали не для красоты, а чтобы с этими данными поработать, если проведенным анализом основного адреса ничего найти не получилось то переходим к каждому записанному пункту и начинаем работам с ним, при этом учитывая уже найденную информацию и пытаясь найти совпадения, связи и дополнить уже сложившуюся картину и так до получения нужного результата, как говорится: “Не мытьем так катанием”, тут какие-то рекомендации тяжело давать потому что каждая ситуация по своему уникальна и все решает твой опыт и внимательность, а потому потренируйся и всё у тебя получится.

Вообщем с алгоритмом действий вроде как разобрались. Как видишь немного усидчивости и внимательности и ты наверняка найдешь нужную инфу, а со временем так вообще доведешь свой поиск до автоматизма и на автопилоте будешь выдергивать из контекста нужную тебе информацию.

На этом тему поиска по адресу электронной почты можно считать рассмотренной, но не забывай возвращаться к нам, ведь нам предстоит изучить и ещё много тем касающихся поиска в сети.

Твой Pul$e.