揭开暗网帐户背后的人物真实信息实战案例
内容介绍
Dread可以被认为是暗网的Reddit,就像Reddit一样,它被细分为不同的子论坛,称为Subdreads,是毒贩(或假装是毒贩的人)讨论他们不同经历的子论坛。
在本案例中,Maltego平台分析师将调查“scaryred24”的角色,这个人在发布到这个subdread的帖子中提供枪支出售。
Maltego是OSINT综合调查平台,可将复杂的网络调查从几小时加速到几分钟。Maltego平台支持使用Maltego Search进行数字分析的初步快速OSINT调查,以及使用Maltego Graph对大型数据集进行复杂的链接分析。通过Maltego Evidence和Maltego Monitor,该平台使调查人员能够实时收集、监控和保存社交媒体情报。
下图显示了在洋葱网站Dread上找到的Dread帖子。该帖子由2021年10月左右的用户“okbuddydread”指出,他们想报复据称欠他们钱的毒贩。
在这个阶段,已经可以收集来自这些帖子的重要信息。首先,用户名“scaryred24”似乎很独特。而且,鉴于scaryred24提出如果他们在波士顿地区或周边地区向发帖人出售“件”(枪支),可以假设他们位于该地区的某个地方。最后,“scaryred24”还提供了一个电话号码,可以通过WhatsApp或短信与他们联系。
这些信息已经为调查提供了一个良好的开端。看看可以收集什么样的信息来揭露隐藏在用户“scaryred24”背后的人。
整个调查内容分为6个部分:
第1步:使用别名在在线平台上查找个人资料
第2步:收集链接到别名的电子邮件地址
第3步:使用泄露的数据丰富调查
第4步:从别名收集基础信息
第5步:揭露别名背后的人
第6步:总结调查结果并确定后续步骤
第1步:使用别名在在线平台上查找个人资料
首先,将用户名“scaryred24”作为别名实体输入到Maltego Graph中,然后运行源中的[别名]搜索转换。
其中一些平台,如Roblox,表明“scaryred24”背后的人是游戏玩家,而MySpace上的存在表明这个人可能在2000年代初期,因为该平台在2000年代初的受欢迎程度达到顶峰。
决定进一步调查其中一些帐户,以收集更多信息,以帮助识别用户名背后的人。为了交叉引用和验证结果,对一些返回的实体运行了[URL]标识实体转换。
在MySpace帐户上的搜索显示非常有用的见解–个人的全名。此外,随后的[Extract]Entities Transform提供了个人的地址, 即马萨诸塞州汤顿。
更重要的是,发现了另一个别名“$tsukishrimp”,它似乎可以被个人互换使用。这引起了调查人员的注意,导致对这个新别名进行了类似的搜索。
还发现,此人对语言感兴趣,尤其是日语、西班牙语和德语,他的母语是英语。
第2步:收集链接到别名的电子邮件地址
使用别名的另一种方法是通过运行[SL ISE] 搜索转换来查找与别名关联的电子邮件地址。别名经常用于电子邮件地址的开头,就在“@”符号和域名之前。
这一发现表明,调查目标互换使用他们的Gmail和ProtonMail帐户。
第3步:使用泄露的数据丰富调查
使用Maltego,还可以在泄露的记录中搜索有关我们所感兴趣的人的信息。在本例中,运行了D4 Leaked记录搜索[Darkside]和电子邮件[Con-stella]在两个电子邮件地址上进行转换。发现了几条泄露的记录,这些记录可用于通过以下转换进一步调查:
• D4–提取个人身份信息
• To Password
• To Source
• To Domain
呈现的图表中填充了与两个电子邮件地址相关的大量信息。一些最相关的发现包括感兴趣的人的全名、他们用于登录各种平台的密码和电子邮件以及IP地址。
第4步:从别名收集基础信息
在像这样的调查中,还可以通过将数据与其他数据库进行交叉引用来证实我们的数据。为此,将使用相同的别名“scaryred24”,以找到与[Pipl]匹配的相应人员。
决定使用完全扩展[Pipl]变换更仔细地研究一个人实体。这使我们能够证实他们在美国汤顿的位置,此外,还发现了链接的Twitter帐户、朋友姓名以及与此人相关的车辆。
由于能够从个人实体中检索到大量信息,因此决定进一步追查这一线索。使用“To Website[Bing]转换,来搜索此人有关的信息网站源。
引起注意的是两个与汤顿相关位置的网站
在他们的链接中:Tauntonpd.com和Tauntongazette.com。
《汤顿每日公报》
《汤顿每日公报》2010年2月24日报道,本次调查的相关人员杰斯·詹姆斯(Jess-James Medeiros)2月23日(星期一),因使用危险武器袭击和殴打以及恐吓证人而被捕。指出Jess-James Medeiros随后被送往莫顿医院和医疗中心进行观察。
新闻稿链接:
https://www.tauntongazette.com/story/news/crime/2010/02/24/taunton-police-log-2-23/38238954007/
在汤顿警察局的警察日志中可以找到类似的信息,该日志记录了逮捕日期、袭击时被捕者的年龄和逮捕编号。对Maltego Graph中的暗网角色进行了调查,从而确定了他们的个人身份信息,包括个人的全名、电子邮件地址、另一个别名、位置,甚至居住地址。
从执法的角度来看,警方日志信息被证明特别有用。如果决定对逮捕后大约1.5年发布的可疑论坛帖子采取行动,现在只需要相关部门对此人进行进一步监测和观察。
希望本案例能就如何使用暗网论坛的别名对感兴趣的人进行调查提供有价值的见解。通过从Maltego中的不同个人标识符进行调整,可以发现隐藏的细节并建立更全面的个人档案。