LinkedIn OSINT методы часть I

LinkedIn OSINT методы: часть I.

LinkedIn остается популярной платформой для социальных сетей как для соискателей, так и для рекрутеров. Из-за характера платформы и высокой ценности потенциального получения нового концерта большинство пользователей, найденных на веб-сайте, намеренно или нет, предоставляют реальную и относящуюся к делу информацию о себе. У следователей есть большой объем информации, которую часто легко проверить. Пользователи проходят тонкую грань между выдачей слишком малого количества информации или выдачей слишком большого количества информации, которая может нанести ущерб их онлайн и физической безопасности и конфиденциальности..

Это руководство будет содержать два раздела, при этом первая итерация будет посвящена некоторым «быстрым ударам», которые могут быть обнаружены у пользователя, у которого может не быть полностью продуманной учетной записи. Второе руководство будет больше сосредоточено на использовании опыта, позиций и другой информации, найденной в более надежной учетной записи LinkedIn..

URL-адрес, связанный с профилем LinkedIn, всегда будет доступен по умолчанию, однако он не всегда предоставляет доступную для использования информацию. По умолчанию URL-адрес создается на основе имени и фамилии учетной записи. В отличие от других платформ, этот URL-адрес будет автоматически обновляться, когда пользователи меняют имя или фамилию в учетной записи. К сожалению, для учетных записей, которые показывают только начальную часть фамилии, это обычно не раскрывает полную фамилию, если они не настроили свой URL-адрес, чтобы включить его..

Пользователи могут создавать эти «персонализированные» URL-адреса (linkedin.com/in/#USERNAME) для своей учетной записи, которые легче запомнить, не меняются при каждом изменении имени и во многих случаях с ними можно обращаться так же, как с именем пользователя..

Наш пример выше — это настраиваемый URL-адрес, полученный из учетной записи LinkedIn, который можно рассматривать как имя пользователя. Выполнение этого через Google обнаружило ряд дополнительных платформ, на которых можно было бы изучить сбор информации. Результаты предоставляют нам личные блоги и другую информацию, которая обеспечивает легкий переход к нашей цели за счет повторного использования этого URL-адреса в качестве имени пользователя на других платформах..

Фотография баннера universal partners fx linkedin.

Как и многие другие сайты социальных сетей, LinkedIn позволяет своим пользователям загружать большие фотографии вверху своих страниц, которые могут выступать в качестве баннера или обложки. Этот баннер можно использовать, как и любую другую фотографию, с обратным поиском изображений, чтобы узнать, загрузил ли пользователь его на другой сайт. Я должен отметить, что, похоже, LinkedIn удаляет все соответствующие метаданные из фотографий и других файлов, загруженных на сайт, поэтому никакие данные EXIF ​​здесь не помогут..

Баннерные фотографии также могут быть проанализированы на предмет любой соответствующей информации, которая может появиться на фотографии, такой как рабочее пространство пользователя, отраслевое оборудование, известные места или офисные помещения и т. Д. Нет необходимости в каком-либо специальном инструменте для просмотра изображения, просто Щелкните баннер правой кнопкой мыши и выберите "Просмотр изображения". Имейте в виду, что это не работает с общей фотографией обложки. В это время мне не удалось найти способ получить полноразмерную фотографию баннера, загруженную пользователем..

В приведенном выше примере у нашего пользователя есть фотография баннера, однако она создается по умолчанию для пользователей, которые еще не загрузили свои собственные. Выполнение обратного поиска изображения на изображении возвращает большое количество других учетных записей LinkedIn с тем же изображением по умолчанию. Хотя это тупиковый путь, следователям полезно ознакомиться с любыми изображениями по умолчанию, чтобы они не преследовали зацепки, которые никуда не денутся..

Аватар.

Слева и под фотографией баннера будет фотография профиля пользователя. Фото профиля помогают нам идентифицировать человека, стоящего за аккаунтом. Хотя обычно считается плохим OPSEC загружать свою личную фотографию за онлайн-дескриптором на большинстве сайтов, многие пользователи LinkedIn свободно выставляют свои лица там. Остерегайтесь фотографий профиля, созданных AI, а также тех, которые могут быть стандартными или взятыми из других источников. Обычно небольшое расследование в сочетании с обратным поиском изображений может прояснить большинство случаев и может помочь вам найти другие места в сети, где объект мог использовать это. Кроме того, обязательно ищите улики на заднем плане или на других объектах на фотографии, которые могут помочь в расследовании..

Используя нашу вышеупомянутую цель в качестве примера, мы увидим, какую информацию мы можем извлечь только из его фотографии профиля. Со всеми фотографиями мы всегда хотим получить максимально крупную, необрезанную версию фотографии. Щелкнув правой кнопкой мыши по фотографии и выбрав «Просмотр изображения», вы получите изображение ниже..

Теперь у нас есть необрезанная версия, но что, если нам нужна версия большего размера, возможно, что-то, где нам нужно визуально проверить детали на заднем плане, или в этом примере, возможно, текст на наградах? Мы можем вернуться к профилю и добавить «/ detail / photo /» в конец URL-адреса. (например, https://www.linkedin.com/in/davidcameronofficial/detail/photo/) Откроется увеличенная версия фотографии, аналогичная приведенной ниже..

Намного больше, но все же обрезано. Щелкните эту новую фотографию правой кнопкой мыши и выберите «Просмотреть изображение», чтобы получить, наконец, изображение ниже..

Теперь мы можем лучше рассмотреть награды, по крайней мере, достаточно, чтобы попытаться перевести часть текста. Крупное слово на сертификате — ДИПЛОМ (Диплом). Я недостаточно знаю язык, чтобы сделать разумное предположение относительно текста на трофеи. Знание того, что пользователь приехал из страны, в которой использование критического скрипта может помочь нам сузить наши отправные точки..

Имя (Имя, Фамилия, Бывшее)

Все учетные записи LinkedIn будут содержать, по крайней мере, часть их имени и фамилии, которые будут отображаться непосредственно под фотографией профиля. Какую часть имени пользователя LinkedIn вы можете просмотреть, будет зависеть от его настроек конфиденциальности и от того, связаны ли вы с этим пользователем или нет. Это может варьироваться от очень заблокированного (пользователь LinkedIn) до частичного (полное имя только с инициалом фамилии) до полностью открытого (полное имя и фамилия). Также есть возможность добавить прежнее имя, которое иногда используется для псевдонимов, онлайн-псевдонимов или, возможно, девичьих имен. Это появляется не так часто, но когда появляется, оно отображается в круглых скобках. Стоит отметить, что прежнее имя не влияет ни на что в структуре URL-адреса, в отличие от имени и фамилии..

В приведенном выше примере показан пользователь, фамилия которого скрыта из-за настроек конфиденциальности. Однако есть несколько вещей, на которые мы можем обратить внимание, чтобы узнать полную фамилию. Во-первых, глядя на их собственный URL, мы можем сделать предположение относительно их фамилии..

Но что, если нам нужно дополнительное подтверждение, или, возможно, у нас нет пользователя, фамилия которого отображается в пользовательском URL-адресе? Мы также можем заглянуть в остальную часть их страницы и найти подсказки, которые могут подтвердить фамилию, такие как файлы, подтверждения и т. Д..

Снимок экрана выше взят из профиля того же пользователя. Похоже, что они оставили свои имя и фамилию в качестве имени файла в загруженном PDF-файле, что подтверждает наше предыдущее предположение. Этот пример показывает, как непоследовательные настройки в учетной записи могут быть бесполезны для конфиденциальности, если они не блокируют и другие области..

Заголовок.

Заголовок появится под именем пользователя в профиле и также является обязательным полем. По умолчанию это будет получено из начальной информации о работе или образовании, предоставленной пользователем при регистрации. Его необходимо редактировать отдельно от опыта работы и обучения, что означает, что пользователь может удалить свою первоначальную работу или опыт обучения, и если он забудет обновить свой заголовок, он все равно может содержать эту информацию. В дополнение к этому первоначальному заголовку пользователи также могут редактировать эту информацию, чтобы она содержала информацию, которую они хотят, чтобы другие видели в первую очередь. Это может включать соответствующие профессиональные сертификаты, допуски к системе безопасности, прошлую или текущую работу или учебу и т. Д..

Вышеупомянутый пользователь предоставляет свои текущие названия, однако здесь более интересна их информация о допуске к системе безопасности. Мы видим, что у них есть два связанных допуска, специфичных для британского правительства. Не зная информации о местоположении пользователя, мы обычно можем предположить, что пользователь находится в Соединенном Королевстве или, возможно, на заморской территории или в дружественной стране. Это резко сужает область поиска..

Расположение.

Под заголовком пользователя и перед количеством подключений указывается его местоположение. Это еще одно обязательное поле, но не стоит слишком доверять ему, поскольку пользователи могут выбирать здесь все, что захотят, без какой-либо проверки. Кроме того, пользователи могут изменять это по своему усмотрению любое количество раз. Это может быть как страна, так и город или мегаполис. Данные о местоположении вашей цели могут легко помочь сузить область потенциальных совпадений в разной степени, но их следует проверять с использованием других точек в их профиле, когда это возможно..

К сожалению, удобные приемы использования почтовых индексов, похоже, больше не поддерживаются LinkedIn. Однако, проведя небольшое исследование, мы можем иногда еще больше сузить их местоположение. Используя наш вышеупомянутый пример, мы видим, что пользователь установил свое местоположение как «Область Амстердама». Выйдя из столичного района Амстердама, мы можем увидеть, что это довольно большая область для поиска, особенно если у нас есть только информация на фотографии выше, чтобы использовать. Однако, если мы сопоставим местоположение с названием пользователя и компанией, мы можем сузить это до гораздо меньшей области..

Во-первых, давайте воспользуемся их названием, чтобы сделать несколько предположений. Они генеральный директор. Есть ли вероятность того, что у генерального директора будет офис в небольшом филиале? Навряд ли. Собираются ли они жить в пригороде в часах езды на транспорте из-за более низкой заработной платы или из-за экономии денег? Возможно, но маловероятно, что они будут располагаться слишком далеко от своего офиса. Таким образом, мы предполагаем, что они будут рядом с крупным офисом и, вероятно, не слишком далеко от них с точки зрения поездок на работу..

Проведя небольшое исследование, выяснилось, что штаб-квартира ING Group находится в юго-восточном районе Амстердама. Глобальная штаб-квартира была бы вероятным местом для генерального директора, чтобы иметь офис. Зная это, мы можем начать искать информацию по нашей теме в базах данных о людях и специально искать результаты, которые находятся в пределах разумного расстояния до этого офиса. Это дает нам более узкую отправную точку, чем просто «Район Амстердама», который может включать в себя несколько городов в местных коммутирующих районах..

Подключения.

Количество подключений будет отображаться после информации о местоположении в профиле и может отображаться или не отображаться в зависимости от настроек конфиденциальности цели и вашего подключения к цели. По умолчанию соединения цели будут открыты для соединений 1-й степени, поэтому, если возможно, убедитесь, что вы соединяетесь с вашей целью, используя хорошо созданную марионетку-носок. Если информация доступна для просмотра, следователи могут щелкнуть синюю гиперссылку, чтобы открыть список подключений, в противном случае он будет отображаться в виде обычного черного текста и не будет доступен для просмотра..

Щелкнув ссылку в приведенном выше примере, мы можем получить краткий обзор всех подключений цели. Ниже приведен снимок, который достаточно хорошо обобщает их с точки зрения местоположения и поля..

Основываясь на их связях, мы можем предположить, что пользователь, скорее всего, находится в Нидерландах, как они заявляют в своем местоположении. Кроме того, глядя на позиции их связей, кажется, что они, вероятно, имеют военное прошлое или иным образом связаны с ХБРЯЭ и связанными с ним работами с боеприпасами..

Контактная информация.

После информации о местоположении будет ссылка для отображения контактной информации пользователя, которая будет отображаться во всплывающем окне. Использование контактной информации может быть неудачным или отсутствующим в зависимости от объема информации, предоставленной пользователем, а также от того, являетесь ли вы связным лицом 1-й степени или нет. Несмотря на название этого раздела, он может содержать гораздо больше, чем просто контактную информацию. Этот раздел будет содержать, по крайней мере, URL-адрес профиля. Он также может включать номер телефона, адрес, дескрипторы обмена мгновенными сообщениями, дату рождения, а также URL-адреса их личных и профессиональных веб-сайтов. Также стоит отметить, что по умолчанию адрес электронной почты LinkedIn используется всеми подключениями 1-й степени. Не все знают, как это изменить, поэтому может быть полезно добавить цель, если вы можете это сделать..

Цель в приведенном выше примере представляет собой ряд веб-сайтов и учетных записей в социальных сетях, которые позволяют нам разобраться и собрать дополнительную информацию о них. Если мы будем искать нашу цель на одном из множества людей, выполняющих поиск на веб-сайтах, мы можем использовать указанную дату рождения, чтобы сузить наши возможные результаты..

О.

Некоторые профили Linkedin могут содержать дополнительную информацию в разделе «О нас», которая не встречается ниже в разделе «Опыт» профиля. Как и заголовок, это область произвольного текста профиля, которая позволяет пользователю вводить все, что он считает подходящим, чтобы сообщить другим пользователям. По этой причине вы можете найти ценную информацию, такую ​​как URL-адреса, альтернативные адреса электронной почты, дополнительные подходящие местоположения, информацию о прошлой и текущей работе, а также хобби и т. Д..

Для пользователей с подробным описанием разделов это может показаться чем-то вроде объективного заявления или биографии, которое может появиться в верхней части резюме, давая расследованиям быстрый снимок пользователя и его предыстории. Кроме того, пользователи могут обновлять этот раздел чаще или реже, чем раздел об их образовании и опыте. Это может привести к различию или даже противоречию информации в этих разделах..

В нашем примере выше у нас есть хороший пример надежного раздела about. Этот пользователь заявляет, что они в основном базируются в Германии, но они также разместили таланты во Франции, Нидерландах, Чехии, Великобритании и Китае. Они также заявляют, что изначально работали в лондонском агентстве, а затем обратились в немецкое, чтобы отстаивать свою позицию. Зная это, мы могли бы начать поиск немецких данных о человеке, а также искать британские данные для исторических (и, возможно, семейных) данных..

Мы также знали бы, что не следует немедленно исключать данные, поступающие из других названных стран, поскольку у них есть история работы в этих областях (хотя она кажется удаленной)..

Интересы.

Раздел интересов профиля может содержать полезную информацию, когда пользователь не заполняет разделы своего опыта или учебного заведения. Он может содержать список влияний, компаний или школ, за которыми следит пользователь. Кроме того, он также содержит группы, с которыми связан пользователь. Все это может предоставить информацию о том, в какой области пользователь находится сейчас или в прошлом, или даже о том, с какими компаниями и / или учебными заведениями связан пользователь. По умолчанию отображается только часть этих интересов, а остальные доступны по нажатию кнопки «Просмотреть все»..

В приведенном выше примере мы видим несколько интересов, которые могут указывать на то, что пользователь участвует в информационной безопасности и может быть связан с Earnst and Young или заинтересован в работе там. Нажав на «Просмотреть все», мы можем получить дополнительную вспомогательную информацию..

Взглянув на группы, членами которых они являются, мы видим дополнительные группы InfoSec (среди тех, что показаны выше), а также группу для веб-сайта ClearanceJobs. Это поможет нам сузить их вероятное местонахождение до Соединенных Штатов и может предположить, что они связаны или ранее были связаны с правительственной или военной работой и имеют допуск с активным статусом. Нажатие на вкладку школ также добавляет достоверности этому предположению, одна из которых предназначена для ветеранов и семей военнослужащих..

Заключение.

Мы только начали изучать использование LinkedIn для OSINT, однако вы сможете с уверенностью взяться за работу с большинством учетных записей. Чтобы дать вам возможность начать работу, я создал несколько простых букмарклетов OSINT и карту поверхности атаки OSINT, которую можно найти на моем Github. Кроме того, обязательно следите за вторым разделом этого руководства, в котором будут рассмотрены дополнительные моменты, которые вы можете использовать в отношении образования, истории работы и многого другого. Если у вас возникнут какие-либо вопросы, напишите мне в Twitter..

Великолепное изображение, используемое в этой статье, называется The Fratellis и было создано Ван Ортоном..

Синвинди.

Син — аналитик киберразведки, специализирующийся на кибер-расследованиях под руководством OSINT..

Похожие статьи