![](https://habrastorage.org/webt/_j/cn/8r/_jcn8rrdzysqsmw8tnjiddtgd0g.png)
Здравствуйте, дорогие друзья. Сегодня целью моей статьи будет разбор функционала связки Maltego + Social Links на предмет поиска по геолокации. Как это работает и что мы сможем применять в OSINT? Давайте разбираться.
Геоположение играет не последнюю роль в OSINT. Не зря на Hack The Box один из новых OSINT челленджей (Kryptic Ransomware) завязан именно на поиске точных координат дома цели. Челлендж очень интересный, не поленитесь пройти.
Перед прочтением рекомендую ознакомиться с предыдущими статьями из цикла о Maltego:
Часть 1 — Что такое Maltego и зачем оно вообще нужно
Часть 2 — Интерфейс и базовое устройство
Часть 3 — Maltego и OSINT в Facebook
Часть 4 — Maltego и OSINT в ВК, Instagram, LinkedIN и других соцсетях
Часть 5 — Применение системы распознавания лиц для OSINT в Maltego
Там много полезной информации.
Итак, преступим. Первый метод, который мне известен — это использование родных Entities от Maltego: Circular Area и GPS Coordinate.
![](https://habrastorage.org/webt/eg/e4/uj/ege4ujiensrhlhzkhergafwznlo.jpeg)
В параметрах данных Entities нам нужно указать координаты, которые можно нагло взять из Google Maps, и радиус охвата поиска, если мы используем Circular Area.
Для Entitie: GPS Coordinate нам доступно:
![](https://habrastorage.org/webt/v3/jb/fq/v3jbfqoy2ao3b-emimr7qvrvnjs.jpeg)
[Censys] Search in IPv4 — сделать запрос к базе Censys и найти все IP адреса по данным координатам.
[Facebook] Photos by Geo — найти фото по указанному геоположению.
[Facebook] Search for Places — найти места по указанному геоположению.
[Facebook] Videos by Geo — найти все видео по указанному геоположению.
[Instagram] Media by Geo — найти все медиафайлы по указанному геоположению.
[Snapchat] Snap by Geo — найти все медиафайлы по указанному геоположению.
[Twitter] Search Tweets by Geo — найти все твиты по указанному геоположению.
[Vkontakte] Photos by Geo Popular — найти популярные фото по указанному геоположению.
[Vkontakte] Photos by Geo Recent — найти недавние фото по указанному геоположению.
[Vkontakte] Stories by Geo — найти все сторис по указанному геоположению.
[YouTube] Videos by Geo — найти все видео по указанному геоположению.
Также имеется возможность преобразовать Entitie GPS Coordinate в Circular Area.
Для Entitie: Circular Area нам доступно все тоже самое, за исключением работы с API Censys.
![](https://habrastorage.org/webt/ci/vz/j8/civzj8icukpzdmxzwjf2qxsdcrw.jpeg)
Для теста я выбрал координаты центра Дворцовой площади. Почему? Как обычно — просто так.
![](https://habrastorage.org/webt/lx/zh/fx/lxzhfxfsqi80vhukmk90xzavllo.jpeg)
Интереснее всего узнать, как работает Transform — [Facebook] Search for Places. По поводу фото, видео и медиа, думаю и так все понятно: есть геометка в соцсети — есть попадание в выдачу. Метки нет, нет в выдаче.
Конвертируем GPS Coordinate в Circular Area, выставляем радиус 1000 метров и запускаем трансформ. Получаем 94 места из поисковой выдачи Facebook.
![](https://habrastorage.org/webt/3m/xr/3i/3mxr3iaqe1tfcy-qkb6e-ktwrsu.jpeg)
Все достаточно релевантно, за некоторыми исключениями. Среди достопримечательностей, клубов, баров и ресторанов записалось 2 непонятных элемента.
![](https://habrastorage.org/webt/dy/8a/sh/dy8ashbexd4r9eyvnhuaws10kpm.jpeg)
Парень, который рассказывает, что можно купить яхту за 1000 евро и аккаунт, который называется Санкт-Петербург с фото какого-то рандомного чувака. Оба почему-то решили, что они компании и зарегистрировались на Facebook как коммерческий аккаунт с выставлением адреса юрлица в районе Дворцовой площади.
В остальном все достаточно верно. Все аккаунты имеют выставленный адрес в радиусе 1000 метров от Дворцовой.
![](https://habrastorage.org/webt/se/9q/lj/se9qljypdq1vt7wkksth13mydhy.jpeg)
Так что эти двое — больше недосмотр Facebook относительно достоверности коммерческих аккаунтов, чем ошибка Maltego. Геоданные у них в аккаунтах выставлены в пределах 1000 метров от Дворцовой.
Теперь опробуем поиск фото. Координаты — центр дворцовой по версии Google Maps (59.93901,30.315706), выдачу я специально ограничил на 50 фото, поскольку иначе нас просто захлестнет потоком всего найденного.
![](https://habrastorage.org/webt/ho/mn/bk/homnbk_xy3b3ilk49brom9k5wru.jpeg)
И тут уже начала вырисовываться некая модель, по которой Facebook возвращает результат. Изначально соцсеть находит ближайшее к точке место «интереса» и возвращает все фото, которые имеют соответствующую геометку. Так как мы указали центр Дворцовой площади, то и ближайшая метка по мнению соцсети — это Palace Square.
В итоге мы получаем в выдачу все фото, которые имеют данную метку.
![](https://habrastorage.org/webt/pr/v3/su/prv3suzmtmdh-yymzgg0ed_z0bi.jpeg)
![](https://habrastorage.org/webt/ip/w6/ya/ipw6yaczl5ijdva3p8nnrcz8mqk.jpeg)
Ну и в подтверждения гипотезы — возьмем координаты ресторана COCOCO (59.934991, 30.308709) и попробуем тот же трюк с поиском фото.
И получаем фото с … HI SO TERRACE … (это не то, что мы искали, если вы не поняли).
![](https://habrastorage.org/webt/-n/0l/h0/-n0lh0lffgnmzuuhffeglizxz7m.jpeg)
А нет, СТОП! Все верно. Данное заведение находится в одном доме с рестораном COCOCO. Видимо, рука дрогнула на пол градуса, когда метку на Google Maps ставил, чтобы координаты поймать).
![](https://habrastorage.org/webt/vv/rd/nm/vvrdnm26cufwonl8prfz_jlwerk.jpeg)
А как дела со ВКонтакте, спросите вы? А вот с нашим любимым ВК все не так хорошо. Разброс просто дикий. Вот, например, запрос — по предыдущим координатам, а в выдаче фото, как и на расстоянии 200-300 метров от точки, так и вообще с геометкой Петергоф!
![](https://habrastorage.org/webt/fp/v8/qr/fpv8qrzjb3idlb2-zi9jgqhr0yy.jpeg)
![](https://habrastorage.org/webt/g5/9y/ow/g59yow3jlwh_yypshff6qe4fp4y.jpeg)
Что касается трансформа [YouTube] Videos by Geo — то тут дела чуточку лучше. Хотя и не сильно. В выдачу попало как видео с геометками конкретных мест в Санкт-Петербурге, в том числе и с геометкой ресторана COCOCO, так и много видео с геометкой РОССИЯ.
![](https://habrastorage.org/webt/mh/-4/7h/mh-47h7sjgsdnyvnuegkauu06vg.jpeg)
![](https://habrastorage.org/webt/y6/62/yv/y662yv8thi42uqogccvld9c9b4o.jpeg)
![](https://habrastorage.org/webt/xe/mr/zj/xemrzjnaiziy6f6ydxs0wcrap-e.jpeg)
![](https://habrastorage.org/webt/ai/mt/d5/aimtd5b_0sdzm1g3qska5ev_8hi.jpeg)
Еще к вариантам поиска по местоположению можно отнести Entitie: Search Person. Эта Entitie сделана для поиска человека в Facebook и имеет несколько полей в свойствах. Указав эти поля, мы задаем критерии поиска.
![](https://habrastorage.org/webt/yd/jg/fp/ydjgfpn2taz81uql8sbsvdfdmh0.jpeg)
Представим, что нами известно ФИО и город. Задаем указанные значения и запускаем нужный нам Transform. На выбор доступно:
[Facebook] Search Users — поиск пользователей;
[Facebook] Search Users (Exact) — точный поиск с совпадением всех вводных данных;
[Facebook] Search Users (Up to 60 mins) — отложенный поиск пользователей;
[Facebook] Search Users (Up to 60 mins) (Exact) — точный отложенный поиск с совпадением всех вводных данных.
![](https://habrastorage.org/webt/je/yw/ab/jeywabg7wzobd6_ksozea_cdrds.jpeg)
Ну и тут все ОК. Моя страница на Facebook есть в выдаче, как и предполагалось. Метод, проверенный и на Facebook работает без осечек. Ну если только не считать кучу однофамильцев, которую придется разгребать в поисках искомого аккаунта.
![](https://habrastorage.org/webt/4b/wg/et/4bwgetf3etjvplo5jsdzj_awfc0.jpeg)
Отложенный поиск в данном случае нужен, чтобы обойти особенность Maltego по наличию окна ответа в 2 минуты. Применяется, если требуется выполнить поиск по большому массиву информации. Например, найти все аккаунты с указанным городом и выгрузить их на граф.
Теперь к практическим выводам.
![](https://habrastorage.org/webt/eu/gm/g9/eugmg9lifssq995t0jbgu-zvgiy.jpeg)
Как самостоятельный элемент поиска данный функционал использоваться не может. Как дополнительный канал проверки информации или, например, дополнительный вектор расследования функционал может быть успешно применен.
Лично я применял эту методику поиска 2 раза, когда нужно было подтвердить по соцсетям фактическое прибывание человека где-то.
В рамках одного кейса были выгружены фото по координатам через сущность Circular Area, а потом были выгружены фото из соцсетей жены объекта кейса. Maltego, как и полагается, построил связи между совпавшими фото и, как итог, мы получили нужный результат.
Не пропустите следующие статьи цикла. Там мы поговорим о поиске информации на формах и магазинах в Dark Net.
![](https://habrastorage.org/webt/zd/ii/uq/zdiiuqdz0koqhm6kqyhfjzqmmb0.jpeg)
А еще больше материалов и новостей из мира ИБ можно почитать в нашем телеграм-канале.