Gli utenti "Doxing" sui social media

Naviga le tue risposte
5

Spero che questa domanda rientri nella portata del faq ... Sono curioso di vedere che tipo di risposte ottengo.

Supponiamo quanto segue

  • Un utente pubblica messaggi di diffamazione e diffamazione sui social media (diciamo Twitter ad esempio). I post potrebbero essere fuorvianti, propagandistici o semplicemente menzogneri
  • Un utente ha dei sospetti e crede di sapere chi potrebbe essere o meno l'utente nella vita reale
  • L'utente non è esperto di computer e probabilmente non è interessato alla sicurezza come potrebbe essere un professionista. Stanno usando il loro computer di casa o il telefono per pubblicare il contenuto e non si connettono tramite proxy o VPN

Come faresti per provare a dimostrare l'identità delle persone - supponendo che il sito web dei social media non sarà di alcuna utilità. Non esiste un vero piano di ricorso legale ... voglio solo provare che una persona che sospettiamo stia postando queste cose, sta in realtà postando queste cose. I metodi devono essere legali.

Suppongo che l'ingegneria sociale sarà coinvolta in una certa capacità, anzi, immagino che quasi tutto ciò venga fatto con l'ingegneria sociale. Quello che stavo pensando è stato cercare di convincere l'utente a fare clic su un link che punta a un sito di mia proprietà ea collegare l'indirizzo IP registrato a quello di un messaggio inviato da un'e-mail (o qualcosa del genere). Come tenteresti di dimostrare l'identità del poster?

    
posta DKNUCKLES 17.04.2012 - 05:01
fonte

3 risposte

3

Se l'utente non è attento alla sicurezza, probabilmente il modo più semplice e non istruttivo sarà sicuramente quello di eseguire un lavoro investigativo vecchio stile. Utilizzo di siti web come Pipl e google sul nome utente Usato. Da lì puoi vedere se l'utente ha usato quel nome utente in altri siti web e iniziare a creare un profilo in base alle informazioni che puoi raccogliere.

Se quel nome utente non va bene, un altro modo potrebbe essere eseguire la scansione dei loro tweet precedenti e vedere se fanno riferimento a un luogo specifico più di una volta.

Un altro modo è vedere se hanno pubblicato foto e vedere se hanno metadati GPS ancora incorporati e vedere se questo è correlato alla posizione sospetta dell'utente. Come il FBI recentemente ha fatto su un ignaro membro Anonimo .

    
risposta data 17.04.2012 - 10:02
fonte
3

Per rimanere legale, suggerirei di documentare tutto ciò che è possibile e ottenere un ordine del tribunale.

Qualsiasi tipo di ingegneria sociale o attacchi attivi potrebbero essere archiviati in tribunale se non eseguiti correttamente nel tuo stato.

Anche per citare in giudizio qualcuno per diffamazione o calunnia, devi subire una perdita in un modo che può essere quantificato. (Es. Il supervisore documenta che hai fatto qualcosa che tu non hai fatto e sei sospeso senza lavoro dal lavoro per un giorno) Questo sarebbe un giorno di salari persi per i danni.

Se stanno dicendo che sei basso e sei alto puoi vedere questo come diffamazione del personaggio ma a meno che tu non abbia un sacco di soldi da buttare per renderli infelici, non ne vale la pena. Inoltre, il karma arriverà ad un certo punto nel tempo, sii paziente.

    
risposta data 17.04.2012 - 17:49
fonte
2

Se riesci a far visualizzare all'utente un messaggio che invii loro, potresti essere in grado di scaricarli automaticamente (ad esempio immagine) da un server monitorato. Se invii loro un link ad es. myserver.com/1px.jpg la loro applicazione può scaricare automaticamente l'immagine dal server rivelando così il loro indirizzo IP nei log del server. L'immagine può essere ad esempio un'immagine di 1 x 1 pixel.

Si noti che questo tipo di tecnica può essere controverso. Dovresti consultare il tuo avvocato prima di provare questo tipo di tecnica.

Il social engineering può essere usato per cercare di sfruttare la paura o la fiducia degli utenti. Spero che possiate provare a far avanzare l'utente in modo legale creando buoni messaggi. Non sottovalutare mai il potere dell'ingegneria sociale. Ricorda che questa tecnica è molto spesso utilizzata in scenari di vita reale in cui il perpetratore viene attivamente provato ad essere influenzato da un ingegnere sociale professionista di forze dell'ordine.

Una volta che l'indirizzo IP è stato esposto, è possibile che le forze dell'ordine contattino l'ISP per recuperare l'utente dietro il nome e l'indirizzo reali dell'IP.

    
risposta data 13.08.2012 - 08:04
fonte

Leggi altre domande sui tag

Registra tutte le chiavi crittografiche utilizzate per le connessioni SSL / TLS in uscita sul server Linux Come verificare gli indirizzi e-mail negli UID di GnuPG?