Aquí vamos a aprender análisis y forense de redes sociales. Usaremos Google dorking, archivs de web, enumeración y análisis de redes sociales y técnicas básicas de OSINT en el contexto de una investigación de redes sociales.

Todas las herramientas de la habitación son opcionales y se puede obtener toda la información necesaria con un navegador y buenas metodologías, sin embargo, las herramientas mencionadas hacen mucho más fácil para principiantes esta habitación.

La historia

Eres Aleks Juulut, investigador basado en Groenlandia. Te ha contratado una misteriosa persona conocida como H para investigar la supuesta infidelidad de Thomas Straussman.

Tras una breve charla telefónica con su esposa, Francesca Hodgerint, sabemos que ha estado actuando de manera sospechosa, pero no sabemos qué está haciendo exactamente.

Tenemos que investigarlo digitalmente.

¿Quién nos ha contratado?

ks{H}

¿A quién investigamos? (Formato de bandera ks{nombre apellido})

ks{Thomas Straussman}

Comenzando

Hablando con gente que conoce a Thomas, has averiguado que tiene un nombre de usuario online fácil de adivinar: tstraussman. Con eso, podemos encontrar sus cuentas en redes sociales y comenzar con esta habitación.

Este proceso se llama enumeración y puede automatizarse. Se puede hacer con scripts, aunque también podemos obtener resultados similares con Google dorking.

Ya nos avisa de que el ámbito de investigación se ciñe a Twitter y Reddit, lo demás, callejones sin salida y otras personas. Deberemos recoger información PASIVA, nada de interactuar directamente.

Eso nos dice que debemos mirar en:

¿Cuáles son las vacaciones favoritas de Thomas? Ya nos dice que la pista es la bio de Twitter. Son las Navidades.

Christmas

¿Cuál es la fecha de nacimiento?

En su cuenta de reddit hay un post de su 30 cumpleaños, si ponemos el ratón encima de la fecha del post (que pone hace 8 meses), nos dice el día concreto, que es el 20 de diciembre de 2020. Si no, miramos en el código fuente de la página.

El formato debe ser MM-DD-YYYY, así que:

12/20/1990

¿Cuál es el nombre de usuario de Twitter de la prometida de Thomas?

Vemos que en la bio pone Francesca, echemos un vistazo a sus seguidores.

La primera de ellas es Francesca Hodgelink, así que ponemos su nombre de usuario:

FHodgelink

¿Cuál es la imagen de fondo de Thomas? (fácil, no hay más que mirar).

Buddha

¿Spider… qué?

Para esta parte necesitaremos:

Nos aseguramos de tener la última versión de Python 3 y seguimos esta guía para instalar la última versión de Spiderfoot.

No tiene mucha ciencia si usas Linux:

git clone https://github.com/smicallef/spiderfoot.git
cd spiderfoot

Vemos que tiene un archivo requirements.txt con lo que hace falta instalar para que funcione, así que instalamos eso.

sudo pip3 install -r requirements.txt

Ahora lo ejecutamos con:

python3 sf.py -l 127.0.0.1:5001

Y visitamos http://localhost:5001

Hacemos clic en «New Scan» y en el campo «Scan Target» ponemos “Thomas Straussman” o “tstraussman”, luego en «By Use Case» nos aseguramos de haber marcado la opción «All» y pulsamos «run».

Ojo a las comillas del nombre o el nombre de usuario, que pone que son necesarias o no funcionará el escaneo.

Mirando a esos resultados nos podemos figurar qué son falsos positivos descartando cualquier cosa que no sea Twitter o Reddit.

Si encontramos una cuenta de Twitter que lleva a shadowban.eu hacemos clic en el enlace. Si no podemos encontrar nada relacionado con Twitter nos vamos a Settigs > Account Finder y ponemos la opción destacada en amarillo como «False».

Spiderfoot

Después de comprobar si la cuenta existe, podemos buscar su nombre de usuario en Twitter.

¿Cuál es el módulo fuente usado para encontrar estas cuentas? (Tercera columna)

Spiderfoot resultados

sfp_accounts

¿Comprueba la API de Shadowban, ¿cuál es el valor de «search»?

Nos vamos a Browse y pinchamos en el enlace de shadowban.eu de la imagen de arriba, nos aparece el dato que queremos:

ks{1346173539712380929}

Conexiones, conexiones y conexiones

Ahora que tenemos las cuentas de Reddit y Twitter podemos hacer cosas que molan.

Lo ideal es tener una extensión de búsqueda inversa, la favorita del creador de la habitación es RevEye, que deja elegir varios buscadores inversos. Complementos para Chrome / Firefox.

Hay algunos tipos de información que queremos encontrar a partir de redes sociales.

  • Imágenes de lugares que contienen identificadores claros como edificios, señales, monumentos o sitios clave para propósitos IMINT/GEOMINT.
  • Imágenes claras del rostro del sujeto, para búsquedas inversas que quizá revelen más cuentas y fuentes.
  • Imágenes claras del objetivo en grupos (familia, amigos y otra información que pueda aportar contexto de las relaciones con el grupo).
  • Información personal en la biografía o el perfil (dónde creció, dónde vive, fue a escuela, etc).
  • Posts relevantes que contengan información sobre hábitos o lugares (fumar, beber, ir a bares, vacaciones en lugares específicos…).

Es hora de pivotar a la cuenta de la prometida de Thomas.

¿Qué información personal puedes encontrar?

Hay una nota en la que, si nos quedamos atascados en la primera bandera, podemos considerar dos cosas.

  • Búsqueda inversa de imágenes de paisajes.
  • El código fuente por si hay metadatos.

¿Dónde se fueron de vacaciones Thomas y su prometida? Hay una foto del Rin en Alemania, que se puede localizar con búsqueda inversa y lleva a esta página, por ejemplo. Muy fácil.

Koblenz, Germany

¿Cuándo es el cumpleaños de la madre de Francesca? (Sin el año). Está en un post de Twitter y es el día de Navidad.

December 25th

¿Cuál es el nombre del gato? (En otro post de Twitter)

Gotank

¿Qué programa le gusta ver a Francesca? (En su bio y en posts)

90 day fiance

Atrasando el reloj

Ahora que hemos recogido información de Twitter, vamos con Reddit. Lo vamos a usar de dos maneras.

Primero, instalamos la extensión de navegador Wayback Machine en el navegador, no es necesaria, pero hace la vida mucho más fácil. Para Firefox y para Chrome.

Usando el sitio antiguo de Reddit, navegamos al perfil de Thomas. Hacemos clic en botón derecho de la página y elegimos Wayback machine > All Versions. Veremos un calendario que muestra todas las versiones guardadas del sitio, podemos hacer clic y mirar cada versión guardada.

En este caso, no hay ninguna, así que no hay nada fuera de lo habitual, ¿no? (En realidad, como estoy haciendo la habitación bastante más tarde de su creación sí hay varias versiones del año 2021).

Ahora, nos vamos al post de su cumpleaños, repetimos los pasos para encontrar la primera versión del sitio y… voilà. Hemos descubierto a un compañero de trabajo, que es otra fuente de inteligencia para nosotros, pero la cuestión es, ¿cuánta inteligencia?

Viejo reddit y wayback machine

¿Cuál es el nombre del compañero de trabajo de Thomas? (Se infiere del nombre de usuario).

Hans Minik

¿Dónde vive ese compañero de trabajo? (En su perfil de Reddit pone la ciudad)

Nuuk, Greenland

Cuál es el ID del paste para el enlace que hemos encontrado (en formato bandera).

Tenemos que buscar en los pantallazos de Wayback Machine para el usuario Hans Minik, ahí aparecen posts que ha borrado como este del 10 de febrero de 2021.

Viejo reddit y wayback machine

O este del 23 de marzo.

Viejo reddit y wayback machine

Nos lleva a Ghostbin y hay pegados unos mensajes. En la URL del pegado del 10 de febrero tenemos el id, que hay que poner en formato bandera.

ks{ww4ju}

¿Contraseña para el siguiente enlace?

Aparece en el mensaje que hay en Ghostbin y hay que ponerlo en formato bandera.

ks{1qaz2wsx}

¿Cuál es el nombre de la amante de Thomas?

Tenemos que visitar el Ghostbin al que hace referencia el mensaje, que habla de un chantaje porque Thomas tiene una amante. Hay que visitarlo con el enlace al nuevo Ghostbin que hay en el cuerpo del mensaje y tras la dirección del mismo, la contraseña para poder verlo.

Es decir, este enlace:

https://ghostbin.com/paste/JENxv/1qaz2wsx

Allí hay un correo de Thomas a su amante y aparece el nombre de la misma.

Emilia Moller

¿Cuál es el email de Thomas? (Aparece en cualquiera de los pegados en Ghostbin)

straussmanthom@mail.com