Деанонимизация для домохозяек - ч 2.

В первой части уже говорилось, что Фейсбук - няша? FB - это такой склад информации о людях, что АНБ может даже не запрашивать сведения - пользователи и так сами всё расскажут о себе. Вот, например, ещё один способ деанона, это Скайп, который сейчас очень популярный. Он отодвинул прочие мессенджеры в сторону, хотя давно есть аналоги, которые дешевле, безопаснее  без рекламы. Что поделать, если большинство выбрало именно его? Так вот, Фейсбук даёт возможность узнать, на какое мыло зареган Скайп. Обратили внимание на менюшку Скайпа? Возвращаемся туда и вбиваем данные. Не забудьте зарегаться в Скайп - аккаунте и добавить в список контактов анонима. Если аноним и отклонит запрос или проигнорирует, но он остаётся в списке контактов - поэтому фича сработает.

Соцсеть, конечно же, предложит пригласить все импортированные контакты, но это нам не надо! Поэтому, отказываемся и переходим по ссылке управления импортированными контактами https://www.facebook.com/invite_history.php Там должен быть список из логина к Скайпу и мыла. Не пугайтесь, что мыльник виден не полностью, если кликнуть по нему, Фейсбук предложит ввести капчу - эт шоп не парсили сотнями, и мыло отобразится целиком.

Что касается почты, Яндекс ввёл такую фичу, как телефон, собака, яндекс.ру. Google связал идентификаторы G+ с почтой. Просто ретрив (восстановление пароля) так же применим к почте. а Любимая многими майл.сру, показывает номер телефона, что есть не гуд. Но недавно этот баг заделали, добавив - скрыть телефон от всех. О нём пока мало кто знает, так что номерок можно увидеть, кроме последних четырёх цифр. Остальные, можно выудить на других сервисах, например, на том же Фейсбуке и Гугеле.

В таком поиске, очень хорошо помогает Гугл, любимый многими хакерами поисковик. В отличии от Яндекса, он индексирует все ресурсы подряд, на которых не настроен должным образом robots.txt. А всё благодаря браузеру Chrome - ишшо тот шпиён! Так вот, если аноним им пользуется, применим следующий дорк dork:vk.com inurl:login?act=mobile&hash и добавить его имя. Вот так можно узнать первые и последние цифры телефона.

 

Знаете, в чём недостаток большинства анонимов? Они люди и им свойственно ошибаться. Чтоб быть полностью анонимным, надо отказаться от всех удобных плюшек, иначе, объект можно будет вычислить. Они так же общаются со своими одноклассниками, коллегами, родственниками итд итп. Вот например, популярные сейчас приложения WhatsApp, Viber, TelegramMessenger - казалось бы, как добраться сюда? Зная номер телефона анонима - добавляй его в контакты на смартфоне. Когда откроешь мобильный мессенджер, там уже будет его имя и фотка, которые он сам загрузил в приложение. Поживём-увидим, может вскоре там появится поиск друзей по мыльнику.

 

Всего десяток лет назад, мобильником мог похвастаться только мажор, теперь, он есть у всех. К телефону привязаны не только соцсети, но и различные сервисы и услуги. К примеру, у тех, кто пользуется Сбербанком, для них есть прекрасная фича - перевод с карты на карту через SMS.

Эта фича полезна в том случае, если звонит друг и просит срочно одолжить сколько то, а ты находишься от него далко, но помочь то нужно. Поэтому, мы такие берём и отправляем SMS, при этом деньги переводятся на карту друга. Удобно, правда? Но помимо прочего, это ещё один из способов деанонимизации. Сценарий таков: пытаемся перевести на номер анонима 100рублей - отправляем ПЕРЕВОД 9150000000 100, в ответ приходит сообщение - "Для перевода 100 рублей на карту получателя Иван Иванович П. отправьте код 12345 на номер 900". Не боитесь, деньги не уйдут, пока не отправите полученный код обратно.

Для получения полного списка команд, нужно отправить Help на этот же номер, но там вроде больше ничего интересного нет. Я думаю, что Чбербанк не один такой, а если и один, то скоро такую фичу введут и в других банках, ибо это удобно!

 

Родственные связи, друзья, коллеги, так же могут вас выдать с головой! Например, если ты аноним на Фейсбуке, но под реальным именем зареган в Одноглазиках, можно найти родственников, лучших друзей в другой соцсети и поискать рядом. Изучай человека, осмотри его окружение, порой, можно подкатить к друзьям анонима и потихоньку побольше о нём разведать или сказать, что очень нужно выйти с ним на связь по важному вопросу. Импровизируй!

Если аноним, которого ищешь, выходит в сеть, есть ишшо один вектор - отправить ему ссылку, которая делает перенаправление на твой профиль в одной из соцсетей, где показывается, кто заходил на страницу. Это те же одноклассники (Мои гости), Linkedin (Кто просматривал ваш профиль), ну и другие... Главное, чтоб он был авторизован в этой соцсети, а то не получится. А вот для ВК можно создать специальное приложение. Для этого идём на соответствующую страницу vk.com/editapp?act=greate и выбираем IFrame/Flash приложение. В Iframe можно засунуть ссылку на свой сайт, который и будет отслеживать referer-ы зашедшего народа, а в них как раз таки и будет передаваться ID гостей. Аналогичное можно сделать и на Фейсбуке, только для этого надо будет ознакомиться с https://developers.fasebook.com/

А можно просто подцепить юзера на снифер. Есть одна фишка - некотрые современные мессенджеры, например QIP 2012 поддерживают теги [img] Если кинуть в аську или Jabber ссыль на свой сниффер в этом теге, клиент попробует её загрузить и тем самым можно получить его IP. И не только, а какую операционку юзает и через какой браузер вышел.  С помощью этих манипуляций можно узнать местоположение, если не использует прокси, программы или настройки по сокрытию айпишника. Далее сканится айпишка, в роутерах "закладок" - тьма, да и редко кто роутеры обновляет, даже если производители правят уязвимости. Но это уже относится к совсем другой теме.

 

Теперь подведём итоги. Как видишь, соцсети и различные месенджеры для тех, кто скрывает свою личность - зло! В большинстве случаев, аноним сам себе враг, а поисковик - нам лучший друг.

 

Статья напечатна в ознакомительных целях.