How to Conduct Person of Interest Investigations Using OSINT and Maltego,https://www.maltego.com/blog/how-to-conduct-person-of-interest-investigations-using-osint-and-maltego/
随着纸面记录的数字化,对嫌疑人的调查已经变成了一场复杂的猫捉老鼠的游戏。对执法机构和调查人员来说,在这样的数字环境中导航可能是一项挑战。与此同时,犯罪分子和恶意行为者越来越容易用虚假的网络身份作为掩护。
有了Maltego,调查人员可以快速、轻松地将看似不相干的线索联系起来,并建立一个目标人物的数字足迹的全面地图。集成了各种OSINT、社会情报和身份数据源,Maltego是快速获取和分析感兴趣的人的数字存在的完美工具。
在本教程中,我们将演示如何在Maltego中使用标准的个人侦察过程,从一个名字或别名开始进行相关人员调查。
一、利害关系人调查的个人侦查过程
在本教程中,我们将根据“Prabal Panjabi”的名字(或别名)对相关人员进行调查。他是一个朋友,他想绘制和清理他的数字足迹,并请求我们的帮助。我们将尝试使用Maltego找到所有关于Prabal的在线数据。
首先,我们将通过查看相关网站和图像,绘制目标姓名或别名的完整在线呈现。
其次,我们将尝试从目标的在线足迹中发现任何个人信息,如电子邮件地址或电话号码。
最后,一旦我们确认了目标的身份,我们将转向高级的个人兴趣数据库,以获得更具体的身份情报。
二、开始:转换此POI调查所需的集线器项目
在本教程中,我们将使用以下Hub项目:Maltego Standard Transforms、Social Links CE和Pipl。如果您想在自己的Maltego客户端中进行后续操作,请确保安装了这些集线器项目。
要访问Maltego标准转换和社交链接CE,只需将它们安装在Maltego桌面客户端的转换集线器中。您可以通过购买我们的数据包或Pipl数据连接器来访问Maltego中的Pipl数据。
三、请观看教程
在我们的YouTube频道观看本教程的视频演示!请阅读本文,了解完整的文档化过程。
步骤1:绘制相关人物的在线足迹
我们以Phrase Entity作为起点开始研究,并将输入值从默认更改为目标别名“Prabal Panjabi”。为了提高Transform结果的准确性,我们使用了一些搜索引擎Dorking技术,并在输入文本周围添加了引号。
然后我们在这个短语实体上运行To Websites [Using Search Engine] Transform。
这个Transform查询Bing搜索引擎,它会返回所有提到我们引用的搜索词“Prabal Panjabi”的网站。
注意:我们已经将最大结果数设置为256,以避免在本演示中放大我们的图表。
运行这个Transform已经返回了256个网站,包括社交媒体个人资料或Facebook、Instagram、维基百科、Twitter,甚至IMDB等公共页面。
接下来,我们在这些网站实体上运行To url [Using Search Engine] Transform来找到相关的url。
从返回的URL实体来看,我们的朋友Prabal似乎是宝莱坞电影行业的演员。为了证实这一点,我们需要更多的信息。
我们可以通过两种方式从这些url获取信息:
首先,我们运行To Entities [IBM Watson] Transform,它将提取在网页上找到的实体,如组织、位置、电子邮件地址、人物和图像。
其次,我们运行To Images [Found on webpage] Transform,它找到并返回网页上的所有图像。
从这些变换的结果中,我们已经有了一些有趣的发现。例如,Facebook的个人资料锁定了目标在孟买的位置,并将一些艺术家与这个人联系在一起。维基百科页面将目标锁定在印度的另一个城市昌迪加尔,并将这个人与迪士尼联系起来。
“变换”还返回了一些图像,可能有助于我们识别目标。
到目前为止,我们发现的最有趣的结果是,Prabal Panjabi Person Entity被我们所有的网站资源共享。
接下来,让我们看看能否从这个Person Entity转向寻找更多的个人细节。
第二步:从目标公司已知的在线信息中寻找个人信息
首先,我们在Person实体上运行To EmailAddress [Bing]转换。如果我们已经知道这个人使用的是哪个电子邮件服务,我们可以在弹出窗口中指定一个电子邮件域,但在我们的情况下,我们将其留空,以便找到尽可能多的结果。
Transforms返回了许多电子邮件地址,其中一个与目标的别名匹配。这可能是我们目标的邮箱地址。
注意:为了避免公开我们朋友的隐私信息,我们在图表中隐藏了一些信息。
我们可以通过运行verify和fraud-check电子邮件地址[IPQS] Transform来验证电子邮件地址。结果将被填充到右侧的详细信息视图中。
IPQS Transform结果告诉我们,该电子邮件地址确实存在,并且没有参与欺诈活动。现在可以肯定地说,这确实是一个个人电子邮件地址。
从电子邮件地址转向社交账户调查
到目前为止,我们一直在使用Maltego Standard Transforms进行这项调查,它是随我们的软件免费提供的。然而,Maltego也有各种各样的第三方数据集成,可以丰富各种调查。
通过这个电子邮件地址,我们可以使用social Links CE数据集成来进行社交账户调查,以发现目标用户的社交足迹。
我们运行[Skype]电子邮件搜索转换,以找到与此电子邮件相关的Skype帐户。然后我们运行[Skype]用户详细信息转换,以提取该帐户的可用信息。
我们现在发现了Prabal Panjabi的Skype账号,他是一个30岁的男性,住在印度孟买。我们还有他的照片,这样能更容易找到相关线索。
注意:为了避免公开我们朋友的隐私信息,我们在图表中隐藏了一些信息。
第三步:进入高级身份智能系统,了解目标的真实情况
现在,我们可以利用Pipl(世界上最大的身份数据库),从这里获得我们的发现和下转。查询Pipl数据库可以帮助我们找到目标的真实身份,并了解这个人的当前概况和历史背景。
Pipl身份数据库及其如何使用Maltego查询
Maltego中的Pipl Transforms接受姓名、电子邮件地址、电话号码等输入,并在它们的数据库中搜索以找到匹配的个人配置文件。这些将作为Person Entities返回到Maltego图中。从Pipl Person Entity中,我们可以进一步查询数据库,以发现其他个人信息,如职业历史、相关人员、爱好等。
使用Pipl变换的POI调查
我们从Prabal Panjabi Person实体开始,并运行Search Person [Pipl] Transform。
Transform返回了一些带有橙色圆点覆盖的Pipl可能的Person实体。这些人存储在Pipl数据库中,可能与我们的目标匹配。
我们知道我们的目标是30岁我们有他的Skype头像。这有助于我们将焦点缩小到返回的三个可能的Person实体。
我们选择所有三个,并运行Resolve搜索指针[Pipl] Transform,它将可能的Person实体解析为与之完全匹配的Pipl Person实体(带有绿色点覆盖)。
要查看这些是否真的代表我们的目标人员,我们运行Expand in Full和Expand in Detail转换集。这些转换将返回存储在Pipl数据库中的这些Person实体的所有信息。
这两个Transforms返回了大量的信息,包括物理地址、电子邮件地址、电话号码、社交媒体帐户和一些Pipl标签实体。由于大多数结果是在三个Pipl Person实体之间共享的,所以我们可以确定所有三个Person实体具有相同的身份。
让我们仔细看看普拉巴尔·旁加比是谁。
Pipl Transforms返回的电子邮件地址与我们之前发现的电子邮件地址匹配,特此确认我们的调查结果是准确的。
根据地址,Prabal Panjabi似乎曾住在印度和美国弗吉尼亚州。有几个电话号码我们可以进一步研究。我们也有一些Twitter账户与我们的目标相关。
Pipl标签实体也非常有趣。这些实体代表了Prabal Panjabi的爱好、兴趣和其他值得注意的信息。
例如,在榜单上,我们可以看到Prabal Panjabi似乎对一些电影和系列表现出兴趣,如《老爸老妈浪漫史》、《功夫熊猫》、《蝙蝠侠》、《宿醉》和《越狱》。他似乎也喜欢西瓜。
虽然这些特别的兴趣爱好是无害的,但像这些来自一个人的过去(或现在)的小信息可以帮助我们收集一个完整的画面,并更接近这个人和他或她的兴趣爱好。
如果我们想知道这些信息的来源,我们可以选择这些标签实体并运行to source Origin [Pipl] Transform。根据结果,我们知道Pipl从Prabal Panjabi的Facebook活动中收集了这些信息。
我们的嫌疑人调查演示到此结束。
下一步:用更多的OSINT数据丰富POI调查
这是一个使用Maltego的个人侦查过程的例子。
POI调查过程概述
快速回顾一下,我们从一个名字开始,然后找到提到这个名字的网站。从这些网页中,我们检索了目标的可能位置信息和个人身份。
接下来,我们发现了一个电子邮件地址,这个电子邮件地址指向一个Skype账户,该账户提供了目标用户的照片,并透露了更多的个人信息,比如年龄。
最后,我们以Pipl的身份数据库为中心,为感兴趣的人获取更详细的信息。
转向其他OSINT数据
从返回到我们图表的不同实体中,我们当然可以进行更深入和更广泛的研究,例如转向反向图像搜索或使用电子邮件地址进行网络足迹。这将帮助我们绘制一个广泛的在线和基础设施网络的人的兴趣。
如果我们正在进行有关欺诈的当事人调查,我们也可以使用OpenCorporates和WhoisXML数据集成来查看目标的业务关系。我们在与Pipl的联合网络研讨会中展示了这样一个用例。
