У цій статті ми розберемо практичні приклади, пройдемося за функціоналом та принципами роботи інструменту Maltego.
394 
Оскільки паперові сліди стали цифровими, розслідування осіб, що цікавлять, перетворилися на складну гру в кішки-мишки. Орієнтуватися в такому цифровому ландшафті може стати складним завданням як для правоохоронних органів, так і для слідчих. Водночас злочинцям і зловмисникам стає все легше й легше ховатися за фальшивими онлайн-ідентифікаторами. За допомогою Maltego дослідники можуть швидко та легко зв’язати, здавалося б, різнорідні сліди та створити повну карту цифрового сліду цільової особи. Інтегрований із різноманітними джерелами даних OSINT, соціального інтелекту та ідентифікаційних даних, Maltego є ідеальним інструментом для швидкого отримання та аналізу цифрової присутності особи, яка вас цікавить. Ресурс Social Links активно розвивається, його архітектура відкрита для нових модулів, правил, інтеграції з API, баз даних, веб-сервісів, систем обробки інформації. До представленого набору функцій та джерел даних постійно додаються нові.
Social Links працює з даними соцмереж, посиланнями, фотографіями, відео, геометками, повідомленнями, коментарями, репостами, списками друзів та передплатників. У графічному інтерфейсі Social Links можна вибирати джерела інформації, фільтрувати результати пошуку, оцінювати найважливіші чинники і регулювати глибину перегляду. Система дозволяє в декількох режимах переглянути взаємозв’язки між веб-сайтами, доменами, сервісами, мережевими та IP-адресами. (Дуже корисна річь.)
Спочатку короткий екскурс у як це працює. Social Links пропонує свій API для можливостей Maltego з пошуку інформації про людей, компанії, події тощо.
Як повідомляє офіційний сайт компанії:
За допомогою цього розширення для Maltego (саме комерційної версії) ви можете шукати інформацію у більш ніж 50 соціальних мережах, базах даних та джерелах Dark Net. Вам доступно більше 700 методів пошуку інформації, посилених можливостями з візуального розпізнавання осіб та пошуку з геоприв’язкою.
Тобто доповнення діє на «території» таких соціальних мереж, як Facebook, Instagram, LinkedIn, Twitter, Skype, ВКонтакті, Однокласники, YouTube. І навіть поширюється на месенджери (наприклад Telegram, Signal). А ще тут:
Пошук по Dark Net – це понад 30 форумів без реєстрації та СМС;
Бази даних із відкритим доступом: Companies House, Companies OC, Google Companies, OCCRP, Offshores;
Доступна інтеграція з різними API інших пошукових систем: Pipl, Bitcoinwhoswho, Securitytrails, Censys, Shodan, ZoomEye та ін.
Спочатку короткий екскурс у як це працює. Social Links пропонує свій API для можливостей Maltego з пошуку інформації про людей, компанії, події тощо. Плюс до всього вищезгаданого нам ще доступна БД компанії Social Links, яка начебто вже становить близько 7 TB інформації, зібраної з відкритих джерел (e-mail, номери телефонів, адреси та явки, але, на жаль, без паролів. Поки що). Тестуватиму функціонал буду на собі, бо інших бажаючих не знайшлося. У міру своєї параноїдальності, я зафарбую деяку частину своїх персональних даних.
MALTEGO і всі його надбудови – ЦЕ НЕ ЧАРОВЕЦЬКА КНОПКА, яку натиснув і отримав будь-яку інфу про людину, систему, компанію… Даний інструмент, як і будь-який інший, буде ефективний тільки в руках людини, яка знайома хоча б з основами OSINT та аналізу даних з відкритих джерел. Якщо здається, що один клік та вся інформація у вас на долоні – забудьте.
Для початку подивимося, що може показати Social Links, якщо, ми знаємо тільки пошту людини, і чи зможемо ми відразу знайти його в Facebook. З ходу, зрозуміло, знайти мій профіль по одному лише e-mail не вийшло. Воно й зрозуміло. Адреса пошти у мене прихована налаштуваннями приватності Facebook.
Багато хто, хто займався OSINT більше 1 разу, погодяться зі мною, що шукати інформацію на людину, яка хоча б кілька років дотримується базових принципів цифрової гігієни – це ще заняття. Але, як кажуть, чим вище складність, тим більший інтерес) Перший результат був отриманий від Transform, який конвертує e-mail у профіль Skype. Попадання 100% – Скайп мій.
Тепер спробуємо вивантажити максимум інформації з профілю Skype. За допомогою 3-х Transforms ми конвертували інформацію з профілю Skype в Entities, з якими тепер можемо працювати далі. Також всю інформацію про профіль ми можемо переглянути на вкладці Properties у властивостях Entitie.
Друге «напівпопадання» прилетіло від Transform, який перевіряє наявність користувача у Twitter. Тут, як зрозумів, йде збір даних через сторінку відновлення пароля. У результаті Twitter спалив, що у мене він у принципі є, а також показав дві останні цифри мого телефонного номера. Не густо, але все ж таки плюс.
Тепер спробуємо вивантажити максимум інформації з профілю Skype. За допомогою 3-х Transforms ми конвертували інформацію з профілю Skype в Entities, з якими тепер можемо працювати далі. Також всю інформацію про профіль ми можемо переглянути на вкладці Properties у властивостях Entitie.
І тут мою увагу привернула Entitie формату Alias… Усі люди ліниві тією чи іншою мірою. Я, у цьому випадку, не став винятком. Як багато хто з вас вже здогадався, Alias – це нікнейм або стосовно соцмережі Facebook – ID.
Запустивши Transform – [Facebook] Get Profile, Maltego було знайдено мій профіль у Facebook.
Для тих, хто не зрозумів, що сталося, поясню: Мій Skype та Facebook ID однакові. Це одна з базових методик OSINT, при якій ми маємо ймовірний нікнейм або список нікнеймів, пов’язаних з людиною, і перевіряємо всі популярні сервіси на наявність користувачів з тими самими ніками. З високою ймовірністю ми знайдемо відповідності і як результат – профілі користувача в різних соцмережах.
Отже, тепер у нас є обліковий запис Facebook. Давайте спробуємо деякі цікаві Transforms. Наприклад, давайте дізнаємося, хто з тих, хто є в мене в друзях, підписаний на Ольгу Бузову.
Ось, до речі, вам лайфхак по роботі з Maltego. Якщо ви не впевнені, що в правильній формі заповнили поля у властивостях Entitie, просто візьміть посилання на обліковий запис людини і використовуйте Entitie URL. За допомогою Transform отримайте Entitie потрібного типу і через неї отримаєте Entitie профілю соціальної мережі. Приклад можете переглянути на малюнку з акаунтом Ольги.
Як результат таких ось дій ми маємо коректно вивантажену Entitie профілю соціальної мережі Ольги Бузової.
Ну а тепер почнемо вилов «друзів». Зусиль знадобилося небагато. Вивантажуємо список фоловерів Ольги та мій список друзів. Решта Maltego зробить за мене.
Проста та ефективна методика пошуку афілійованості когось/чого-небудь з ким/чим-небудь за допомогою Maltego. Проблеми починають виникати, коли таких зв’язків не одна, а, наприклад, 100 або 1000. Тоді граф починає приймати складні форми хімічних елементів.
Для прикладу демонстрації цієї проблеми досить просто відключити угруповання однотипних Entities у колекції на вкладці Collections і подивитися, як виглядатиме повна версія графа всіх фоловерів Ольги та моїх друзів.
Прим. автора: це, на мій погляд, одна з найголовніших проблем, з якою ви зіткнетеся під час проведення OSINT через Maltego. Потрібно обов’язково постійно чистити граф від малоінформативних Entities, інакше ви ризикуєте потонути у купі інформації. Ще дана проблема частково вирішується покупкою хорошої мишки та ВЕЛИКОГО монітора. А краще за двох.
Тут Social Links готова простягнути нам руку допомоги. Наприклад, метод пошуку спільних друзів між двома профілями Facebook можна спростити, використовуючи Entitie під назвою Facebook Mutual Friends. Ця Entitie дозволяє нам по двох Facebook ID вивантажити ТІЛЬКИ спільних друзів для цих профілів. Без розвантаження профілів решти користувачів. За допомогою цієї методики ми можемо оптимізувати графік залежно від завдань пошуку інформації.
Як же це виглядає наживо?
Варіант 1 – Вивантаження всіх друзів та Maltego будує зв’язки.
Варіант 2 – Вивантаження спільних друзів через Entitie Facebook Mutual Friends.
Таким чином, ми зменшили кількість виведених результатів на граф і позбавили себе необхідності видалення непотрібних Entities.
Але не одними списками друзів є Transforms для Facebook. Також за допомогою окремих Transforms ми можемо:
Вивантажити список постів, фото, облікових записів, які лайкнув користувач;
Вивантажувати альбоми, пости, фоловерів, коментаторів тощо. для конкретного користувача, сторінки, заходи, поста, фото тощо;
Здійснювати пошук фото, постів, користувачів, груп, заходів за ключовими фразами та тимчасовими проміжками;
Шукати користувачів за фотографіями із застосуванням внутрішніх механізмів Face Recognition через сервіс Social Links (про це поговоримо в окремій статті);
Для організацій – виконувати пошук облікових записів, які вказували цю організацію як місце роботи;
Конвертувати інформацію із профілю користувача, групи, заходи тощо. Entities на граф для подальшого використання;
Виконувати запит із відкладеною обробкою (про них трохи нижче).
За замовчуванням вікно Transforms обмежене двома хвилинами. Якщо ми знаємо, що час вивантаження інформації буде більше двох хвилин, ми можемо відправити завдання на сервер Social Links і чекати результату. Час виконання може досягати 1 години, але й застосовуються дані відкладені Transforms тільки у разі великого обсягу даних під розвантаження. Наприклад, нам потрібно вивантажити список усіх фоловерів з облікового запису блогера мільйонника.
З повним списком всіх доступних Transforms ви можете ознайомитись тут. Зрозуміло, результат застосування даних Transforms залежить від того, як багато методів OSINT ви знаєте і наскільки добре ви можете їх комбінувати. Наголошу ще раз: Maltego та Social Links – не чарівна кнопка, яку натиснув і отримав повне досьє на людину.
Тепер поговоримо про інтеграцію зі сторонніми API на прикладі Transforms для пошуку людей за допомогою сервісу Pipl. Для цієї мети ми маємо окрему Entitie під назвою Pipl Search. Властивості цієї Entitie ви можете бачити на малюнку.
Отже, як багато хто з вас вже в курсі, пошуковик Pipl став платним і для його інтеграції в Social Links буде потрібно API ключ. Тут вже справа життєва – заходимо на сайт Pipl, реєструємось, отримуємо ключ і додаємо в налаштуваннях Maltego.
Особливо хочу відзначити саме ту опцію, яку я виділив на знімку вище. Поставивши галочку у графі Top Match, ви отримаєте у видачі лише результати, які потрапили до ПОВНОЇ відповідності введеним критеріям. Іншими словами, якщо ви ввели ПІБ та e-mail, то без цієї галочки ви отримаєте всі результати щодо збігу окремо імені, окремо прізвища та окремо e-mail. Якщо поставили галочку Top Match, то лише акаунти, у яких усі 3 критерії співпадуть. Дуже корисно, якщо в обліковому записі Pipl у вас налаштована оплата за результати пошуку.
Проте! Часто при проставлянні цієї галочки (Top Match) ви можете отримати нульову пошукову видачу. Навіть за відомими людьми. Справа в тому, що дана функція в пошуковій системі Pipl є поки що експериментальною і може працювати некоректно. Додатково Pipl надає файл JSON з результатами своєї пошукової видачі, де є все, що він виніс на граф.
Прим. Автора: дуже цікава деталь полягає в тому, що пошуковий сервіс Pipl працює за принципом «ЩО ПОТРАПИЛО В ІНТЕРНЕТ, ТО ЗАЛИШАЄТЬСЯ ТАМ НАЗАВЖДИ». Наприклад, у профілі Facebook у вас колись стояла інформація, що ви працюєте в компанії А, і ваш профіль був проіндексований з боку сервісу Pipl. , Про те, що ви були співробітником компанії А, а потім з чистою совістю пішли на співбесіду в компанію B. Але раптом вас не беруть на роботу туди. Ви починаєте розумітися. І виявляється, що навіть у разі видалення інформації зі свого профілю в соцмережах і навіть після нової індексації цього профілю сервісом Pipl, дані про роботу в компанії А всередині Pipl були дбайливо збережені та видані потрібним людям на запит у компанії B. «ЩО ПОТРАПИЛО В ІНТЕРНЕТ , ТО ЗАЛИШАЄТЬСЯ ТАМ НАЗАВЖДИ».
За славною традицією, яка стаття про Facebook може бути без згадки Цукерберга. Ось давайте його й шукаємо. До речі, не забуваймо у пошуковому запиті виставити галочку на параметрі AND if selected. Цей параметр встановлює “І” між усіма значеннями. За замовчуванням використовується значення «АБО». Застосування «АБО» призведе до того, що у нас буде загальна видача по людях з ім’ям Марк + всі люди з прізвищем Цукерберг, а ми шукаємо конкретно тільки Марков Цукербергів.
Тут бачимо дуже яскравий приклад того, що часто зустрічається в OSINT. Навіть за такою відомою та однозначною особистістю пошуковик Pipl видає аж 21 фейк.
Помітив дуже цікаву деталь. У Pipl, на внутрішньому профілі користувача, з незрозумілих причин, записана купа ID фейкових сторінок Цукерберга, крім вірного.
Тому, якщо ми спробуємо застосувати Transform [Facebook] Search Person, то перед нами, у прямому розумінні, розкриються ворота OSINT-ПЕКЛО.
Ну або давайте ось так, для більшої драматичності того, що відбувається…
Ось, власне, і все сьогодні. Не пропустіть нові статті на тему Maltego. Далі ми розглянемо, що ж там із пошуку в інших соцмережах. Обов’язково торкнемося VK, Однокласники та Instagram. Поговоримо про можливість пошуку акаунтів та людей по фотографії (Аналог Find Face тільки в екосистемі Maltego), подивимося пошук геолокації. Ну і на десерт найцікавіше – дізнаємося, що ж може запропонувати Social Links щодо пошуку в Dark Net.
394 
279 
298 
251 
255 
249