Для начала создай аккаунт в Gmail и добавь в контакты своего анонима (так и назови — аноним, заполни поле с мылом и укажи телефон, если есть, конечно). Нужно вычислить сразу несколько человек? Еще лучше! Сейчас будем пробивать людей оптом. Ну а если ты сделал, как я тебя просил, и добавил в гугл мыло анона (ну или множество email’ов), то делаем следующее: заходим в vk.com/friends?act=find и выполняем поиск друзей через Gmail и сервисы. VK сам произведет импорт контактов и выдаст список ссылок на найденные аккаунты. Однако для того, чтобы узнать, кто есть кто, лучше все-таки добавлять контакты по одному.
В Facebook аналогичную функцию выполняет страничка «Пригласить друзей», справа внизу окно «Добавить личные контакты», а там «Другая электронная почта». Готово? А теперь идем на LinkedIn и также импортируем контакты — https://www.linkedin.com/fetch/importAndInviteEntry.
И тут не нашлось? Тогда давай проверим, вдруг у искомого друга есть кошелек WebMoney! Заходим на contacts.webmoney.ru (для этого даже не нужно иметь WebMoney-аккаунта) — и производим поиск там. В отличие от соцсетей, если WebMoney находит подтвержденный аккаунт, то там будет достоверная информация, таким образом можно спалить адрес и телефон, что не может не радовать!
Зайдя в Facebook’е на страницу восстановления пароля, ты можешь ввести email или номер телефона, и он тебе по-братски выдаст фотографию и имя, спросит, восстанавливаем по телефону или лучше по email? Все для людей — красота!
Допустим, нам повезло, и мы нашли имя и фото/аватарку анонима в обеих соцсетях, заходим в поиск и ищем его страницу. Манипулируя при этом с возрастом, можно узнать дату и год его рождения. А теперь пошли смотреть его аватарки! Вообще, полученные фотографии могут засветиться в любом другом месте, поэтому не упускай возможность поиска по фотке — в этом нам поможет Google (поиск по картинкам) и TinEye. Разумеется, если фотография не картинка с маской Гая Фокса, то способ вполне может сработать и привести тебя на какой-нибудь другой сайт, который может раскрыть дополнительную информацию об объекте.
В WebMoney можно загрузить целый список для «пробива» |
Зайдя в Facebook’е на страницу восстановления пароля, ты можешь ввести email или номер телефона, и он тебе по-братски выдаст фотографию и имя, спросит, восстанавливаем по телефону или лучше по email? Все для людей — красота!
Facebook — самая добрая и совершенно не жадная соцсеть |
Допустим, нам повезло, и мы нашли имя и фото/аватарку анонима в обеих соцсетях, заходим в поиск и ищем его страницу. Манипулируя при этом с возрастом, можно узнать дату и год его рождения. А теперь пошли смотреть его аватарки! Вообще, полученные фотографии могут засветиться в любом другом месте, поэтому не упускай возможность поиска по фотке — в этом нам поможет Google (поиск по картинкам) и TinEye. Разумеется, если фотография не картинка с маской Гая Фокса, то способ вполне может сработать и привести тебя на какой-нибудь другой сайт, который может раскрыть дополнительную информацию об объекте.
Еще интересную информацию можно найти на таких популярных сайтах, как:
- sprashivai.ru (даже не спрашивай, что это) — авторизация там происходит через VK, и ссылка указана прямо в профиле;
- kinopoisk.ru, lastfm.ru — также интеграция с соцсетями, ссылки на профили.
Именно тут Facebook покажет тебе данные от Skype |
Facebook дает возможность узнать, на какой email зарегистрирован Skype. На прошлом шаге ты, наверное, уже обратил внимание на менюшку Skype? Возвращайся туда и вбивай данные. Не забудь для этого зарегистрировать Skype-аккаунт и добавить в список контактов анонима. Интересно то, что аноним может даже отклонить авторизацию или вовсе проигнорировать, но он останется в списке контактов — поэтому фича сработает. Соцсеть, конечно же, предложит пригласить все импортированные контакты, но нам это надо? Нет. Поэтому отказываемся и переходим по ссылке управления импортированными контактами — https://www.facebook.com/invite_history.php. ТАДАМ! Там будет список из логина к Skype и email’а. Не пугайся, что email видно не полностью, — просто кликни по нему, Facebook предложит ввести капчу (ну чтоб не парсили сотнями), и мыло отобразится полностью.
Что еще касается почты, Яндекс ввел такую фичу, как (телефон)@yandex.ru, Google связал идентификаторы G+ (ну помнишь, социальная сеть для работников Google) с почтой. Просто ретрив (восстановление пароля) также применим к почте, советую это отдельно рассмотреть. А любимая многими mail.ru показывает номер телефона, кроме четырех последних цифр, что не есть гуд (но не для нас). Остальные цифры можно найти в других сервисах, например, Facebook и Google могут дать две недостающие цифры номера — но я уверен, что можно найти и все четыре :).
В тему ИБ: Досадный баг ВКонтакте
В таком поиске очень хорошо помогает Google, любимый многими хакерами поисковик. В отличие от Яндекса, он индексирует все подряд ресурсы, на которых должным образом не настроен robots.txt, а все благодаря браузеру Chrome (ух, шпион). Так вот, если аноним им пользуется, можно применить следующий dork: site:vk.com inurl:login?act=mobile&hash и добавить его имя. Вот так можно узнать первые и последние цифры телефона.
Если тот чувак, которого ты ищешь, выходит в Сеть, есть еще один вектор — можно отправить ему ссылку, которая сделает редирект на твой профиль в одной из соцсетей, где показывается, кто заходил на страницу. А это те же «Одноклассники» («Мои гости»), LinkedIn («Кто просматривал ваш профиль»), ну и, конечно же, другие. Главное, чтобы он был авторизован в этой соцсети, а то получится не торт. А вот для ВК можно создать специальное приложение. Для этого идем на соответствующую страницу — http://vk.com/editapp?act=create и выбираем «IFrame/Flash приложение». В iFrame можно засунуть ссылку на свой сайт, который и будет отслеживать referer’ы зашедшего народа, а в них как раз таки и будет передаваться ID гостей. По аналогии так же можно сделать и в Facebook, только для этого надо будет ознакомиться с https://developers.facebook.com/.
А можно просто отправить юзеру ссылку на снифер, в виде смайлика в личку на форуме, на почту с темой «компромат», ну или в тех же приложениях. Еще одна фишка — некоторые современные мессенджеры (например, QIP 2012) поддерживают теги типа [img]. Если ты кинешь в аську или Jabber ссылку на свой снифер в этом теге, клиент попробует ее загрузить, тем самым ты получишь его IP. С помощью этих манипуляций ты хотя бы узнаешь его местоположение, а еще можно просканить его айпишку, в роутерах «закладок» — тьма, да и редко кто роутеры обновляет, даже если производители правят уязвимости.
Черт возьми, всего десяток лет назад мобильным телефоном мог похвастаться только мажор (я в свою очередь хвастался пейджером), а теперь это необходимое устройство для повседневной жизни. Сейчас к телефону привязаны не только социальные сети, но и различные сервисы и услуги. Вот, например, банки. Я пользуюсь Сбербанком (цыц, не реклама!), и у меня есть прекрасная фича — перевод с карты на карту через SMS. Это на самом деле полезная фича — вот звонит тебе друг и говорит: «Бро, одолжи срочно пять тыщ рублей до зарплаты», а ты находишься в другом конце города (а то и в другом городе), но человеку реально нужно помочь. Поэтому мы такие берем и отправляем SMS, при этом деньги с карты переводятся на карту друга. Круто, правда? Но, помимо прочего, этого еще один прекрасный способ деанонимизации. Сценарий таков: пытаемся перевести 100 рублей на номер анонима — отправляем ПЕРЕВОД 9150000000 100, в ответ приходит SMS — «Для перевода 100 рублей на карту получателя Василий Васильевич П. отправьте код 12345 на номер 900». Не бойся, деньги не уйдут, пока ты не отправишь полученный код обратно. Для получения полного списка команд нужно отправить слово Help на этот же номер, но там вроде более ничего интересного нет. Я думаю, что Сбербанк не один такой, а если и один, то скоро такую фичу введут в других банках, ибо удобно!
Что еще касается почты, Яндекс ввел такую фичу, как (телефон)@yandex.ru, Google связал идентификаторы G+ (ну помнишь, социальная сеть для работников Google) с почтой. Просто ретрив (восстановление пароля) также применим к почте, советую это отдельно рассмотреть. А любимая многими mail.ru показывает номер телефона, кроме четырех последних цифр, что не есть гуд (но не для нас). Остальные цифры можно найти в других сервисах, например, Facebook и Google могут дать две недостающие цифры номера — но я уверен, что можно найти и все четыре :).
Mail.ru раскроет большинство цифр твоего телефона |
В тему ИБ: Досадный баг ВКонтакте
В таком поиске очень хорошо помогает Google, любимый многими хакерами поисковик. В отличие от Яндекса, он индексирует все подряд ресурсы, на которых должным образом не настроен robots.txt, а все благодаря браузеру Chrome (ух, шпион). Так вот, если аноним им пользуется, можно применить следующий dork: site:vk.com inurl:login?act=mobile&hash и добавить его имя. Вот так можно узнать первые и последние цифры телефона.
Если тот чувак, которого ты ищешь, выходит в Сеть, есть еще один вектор — можно отправить ему ссылку, которая сделает редирект на твой профиль в одной из соцсетей, где показывается, кто заходил на страницу. А это те же «Одноклассники» («Мои гости»), LinkedIn («Кто просматривал ваш профиль»), ну и, конечно же, другие. Главное, чтобы он был авторизован в этой соцсети, а то получится не торт. А вот для ВК можно создать специальное приложение. Для этого идем на соответствующую страницу — http://vk.com/editapp?act=create и выбираем «IFrame/Flash приложение». В iFrame можно засунуть ссылку на свой сайт, который и будет отслеживать referer’ы зашедшего народа, а в них как раз таки и будет передаваться ID гостей. По аналогии так же можно сделать и в Facebook, только для этого надо будет ознакомиться с https://developers.facebook.com/.
А можно просто отправить юзеру ссылку на снифер, в виде смайлика в личку на форуме, на почту с темой «компромат», ну или в тех же приложениях. Еще одна фишка — некоторые современные мессенджеры (например, QIP 2012) поддерживают теги типа [img]. Если ты кинешь в аську или Jabber ссылку на свой снифер в этом теге, клиент попробует ее загрузить, тем самым ты получишь его IP. С помощью этих манипуляций ты хотя бы узнаешь его местоположение, а еще можно просканить его айпишку, в роутерах «закладок» — тьма, да и редко кто роутеры обновляет, даже если производители правят уязвимости.
Черт возьми, всего десяток лет назад мобильным телефоном мог похвастаться только мажор (я в свою очередь хвастался пейджером), а теперь это необходимое устройство для повседневной жизни. Сейчас к телефону привязаны не только социальные сети, но и различные сервисы и услуги. Вот, например, банки. Я пользуюсь Сбербанком (цыц, не реклама!), и у меня есть прекрасная фича — перевод с карты на карту через SMS. Это на самом деле полезная фича — вот звонит тебе друг и говорит: «Бро, одолжи срочно пять тыщ рублей до зарплаты», а ты находишься в другом конце города (а то и в другом городе), но человеку реально нужно помочь. Поэтому мы такие берем и отправляем SMS, при этом деньги с карты переводятся на карту друга. Круто, правда? Но, помимо прочего, этого еще один прекрасный способ деанонимизации. Сценарий таков: пытаемся перевести 100 рублей на номер анонима — отправляем ПЕРЕВОД 9150000000 100, в ответ приходит SMS — «Для перевода 100 рублей на карту получателя Василий Васильевич П. отправьте код 12345 на номер 900». Не бойся, деньги не уйдут, пока ты не отправишь полученный код обратно. Для получения полного списка команд нужно отправить слово Help на этот же номер, но там вроде более ничего интересного нет. Я думаю, что Сбербанк не один такой, а если и один, то скоро такую фичу введут в других банках, ибо удобно!
Cбербанк тоже отлично раскрывает информацию |