Всем привет! Электронная почта сегодня — не просто канал связи. Для OSINT-расследователя это отправная точка, ведущая к сети данных: техническим метаданным, следам в утечках, связанным аккаунтам и даже рекламным профилям. В этой статье мы разберем как провести глубокий анализ почты, начиная от заголовка и заканчивая ADINT. Ищем цифровые следы, изучаем домены и никнеймы, проверяем email на компрометацию и отслеживаем пиксели. За подробностями добро пожаловать под кат!
DISCLAIMER: Данная статья написана в ознакомительных целях и не является руководством к неправомерным действиям или обучающим материалом для сокрытия правонарушений. Напоминаю, что активные мероприятия в рамках OSINT могут быть квалифицированы как незаконное проведение оперативно-розыскных мероприятий и вторжение в частную жизнь.
Вскрываем техническую оболочку
Первая линия атаки — заголовки письма (Headers). Они хранят цифровой маршрут прохождения электронного письма между серверами. В частности, это помогает выявить признаки подмены электронного адреса (несоответствие Return-Path, From и SPF/DKIM), его фактического существования, а также скрытых получателей (Bcc, неявные пересылки).
Инструменты:
Если же для анализа у вас имеется электронное письмо в виде файла, то для его анализа можно воспользоваться:
Восстановление как источник данных
Если есть доступ к системе восстановления почты (через опцию «Забыли пароль?»), аккуратно используйте ее. Часто она показывает привязанный номер телефона (частично скрытый), контрольные вопросы (намекают на личную информацию), а также альтернативные email для восстановления (расширяем круг поиска).
В случае проверки адресов почты экосистемных сервисов (GMail, Yandex Mail), можно получить и уникальный идентификатор пользователя (ID), через который откроем его личные кабинеты в других сервисах экосистемы (карты, диск, фото, кино, отзывы, календарь и так далее).
Поиск «цифрового следа»
Email — это логин для множества сервисов. Наша задача в том, чтобы выявить соцсети, форумы, игровые аккаунты, сервисы доставки — любую платформу, где использовался адрес (для регистрации или восстановления доступа).
Ключевые сервисы:
Universal Search Bot в Telegram
И, чуть не забыл, часть электронных адресов используют для регистрации доменных имен и субъектов бизнеса. Поэтому не забывайте поискать их в ИИ-моделях, поисковиках, СПАРКе или на BigDomainData.
Проверка на компрометацию
Скомпрометированный email — источник паролей (часто используемых повторно) и связки с другими данными. Это наш ключ к другим аккаунтам и личности владельца ящика.
Must-use сервисы:
Ловите небольшой лайфхак. Утекший актуальный пароль от почты, привязанной к аккаунту Android (Google) или Apple (iOS), дает вам реальный шанс получить информацию о местоположении мобильника владельца электронной почты. Делается это через сервис «Поиск телефона» при наличии у вас всего двух параметров: самого адреса электронки и актуального пароля к ней. И никакой двухфакторки (2FA)!
Пароли и PGP
Мы часто повторно используем не только одни и те же пароли, но и ключи шифрования. Это позволяет успешно находить другие электронные адреса, а также социальные аккаунты, принадлежащие владельцу ящика.
Один повторно использованный пароль может скомпрометировать целую цепочку аккаунтов пользователя, включая многолетней давности, о которых он сам уже не помнит.
Инструменты для проверки:
Изучаем домен
Домен в email (@company.com) — самостоятельный объект исследования. Он может относиться не только к публичным почтовым сервисам, но и принадлежать конкретной организации или физлицу. Это мы узнаем из регистрационных данных WHOIS.
Инструменты:
Pulsedive
К слову, часть официальных доменов вполне себе использует общедоступные почтовые сервисы для работы корпоративной почты. Выявить это можно при помощи простейшего SMTP-запроса, который сдаст все пароли, явки и MX-сервер.
Пробиваем никнейм
Нередко часть email (ivan.petrov@ — это логин ivan.petrov) пользователь использует как никнейм. И мы можем попробовать найти все социальные профили, где фигурирует этот логин, даже если email там скрыт.
Сервисы проверки занятости ников:
Нашли похожий профиль, пробили, получили профит. Это работает не только с никнеймами, но и аватарками пользователя (впрочем, их в электронной почте обычно мало, особенно у злодеев, которых нам приходится исследовать).
Отслеживающие пиксели и ссылки
Крошечный невидимый пиксель-картинка или уникальная ссылка загружаются при открытии письма или переходе, сигнализируя отправителю о факте и времени просмотра почты и фиксируя цифровой отпечаток пользователя.
Инструменты:
IPLogger
Несколько советов по их использованию. Логеры прекрасно работают в связке с сервисами рекламных рассылок, позволяя замаскировать интересы расследователя под невинную «Черную пятницу». А логируемые гиперссылки отлично маскируются различными функциональными кнопками в теле письма.
ADINT
Advertising Intelligence — история малоизученная, но жутко перспективная. Если коротко, рекламные платформы создают уникальные идентификаторы для email, позволяя таргетировать рекламу, получать социальные параметры их владельцев и... отслеживать перемещения. Делается это посредством загрузки списка email в рекламную платформу для поиска связанных с ними рекламных профилей/аудиторий.
Чем исследуем:
Подробнее об ADINT и проверке контактов в целом читайте в моей статье на Хабре Проверяем контакты: OSINT и иные методы.
Подведем итог. Исследование электронных адресов — мощный метод OSINT, но его нужно использовать ответственно. Всегда действуйте в правовом поле, уважайте приватность и используйте информацию исключительно в законных целях. Помните, что полученные данные — это улики, а не обвинение. И всегда перепроверяйте информацию по нескольким независимым источникам. Удачных расследований!