В Интернете нам доступно так много информации, что иногда она может быть подавляющей по своему охвату. Профессиональный исследователь OSINT должен найти источник ключевых данных и извлечь необходимую информацию.

 

В некоторых расследованиях у нас может быть информация о Wi-Fi AP, к которой подозреваемый подключен через различные источники, включая записи в реестре. В других случаях мы можем подозревать, что подозреваемый использовал свой телефон в качестве AP для привязки к другим устройствам. В любом случае местоположение AP может предоставить нам информацию о местонахождении или перемещениях подозреваемого.

 

Wigle (Wireless Geographic Logging Engine)

 

Wigle.net это веб-сайт, который объединяет местоположение и другие данные в беспроводных сетях по всему миру. Эти данные собираются добровольцами, которые загружают приложение на свои телефоны, и приложение регистрирует все точки доступа, с которыми они сталкиваются, и их координаты GPS. Все эти данные затем поступают в базу данных Wigle. Эти данные затем представляются пользователям на простом в использовании веб-сайте и в приложении, как показано ниже.

 

Если вы не знакомы с терминологией и технологиями Wi-Fi, перейдите в раздел Wi-Fi Основы Linux для хакеров или глава "Wi-Fi Hacking" Начало работы Стать мастером-хакером.

 

Всего несколько ключевых терминов, которые вам нужны здесь.

AP - точка доступа Wi-Fi

SSID- Идентификатор на стороне сервера. Это имя, которое идентифицирует AP

BSSID- это глобально уникальный MAC-адрес устройства

 

Шаг № 1: Поиск местоположения AP подозреваемого

 

В некоторых расследованиях мы можем знать имя AP, к которому подключен подозреваемый, и нам нужно получить местоположение. Это может исходить от подозреваемого Windows registry или мобилное устройство. В любом сличае, Вигл может помочь найти АП, к котором бород, опозрем.

 

Например, давайте предположим, что реестр подозреваемого содержит AP SSID «Big Black». Давайте также предположим, что нам нужно определить, куда отправился подозреваемый, где он может быть подозреваемым в совершении преступления.

 

Откройте сайт Wigle и нажмите на Посмотреть. Появится раскрывающееся меню и нажмите. Основной поиск.

Теперь нам нужно ввести термин «большой черный» в разделе SSID параметров поиска, таких как ниже.

 

Это показывает десятки этих AP с этим SSID в западной части США. Когда мы нажимаем на AP с MAC-адресом f9: AB: 54: 53: B8: FE, карта показывает, что этот «Большой черный» AP расположен в южной части Монтаны.

 

Мы можем дважды щелкнуть по этому AP и увеличить, чтобы обнаружить, что он находится за пределами Bozeman, MT .

Чтобы получить лучшее представление о местоположении, мы можем увеличить и переключиться на спутниковый обзор. Это показывает, что этот AP был записан около этого ранчо на S. 19th Ave, к югу от Bozeman. Вполне вероятно, что AP передает с этого ранчо, но другая возможность состоит в том, что это могло быть зарегистрировано с транспортного средства, проезжающего по этой дороге.

Чтобы определить, принадлежал ли этот SSID AP к местоположению и ранчо, мы можем искать по глобально уникальному MAC-адресу или BSSID. Если этот BSSID появляется в других местах, вполне вероятно, что этот AP является мобильным, а не статичным, что затрудняет наш поиск.

 

Давайте введем BSSID и поищем по всей территории США. Если это мобильный AP, он, вероятно, появится в других местах. Когда мы ищем по этому BSSID, мы видим, что единственное место, записанное для этого BSSID, это на том ранчо возле Боземана.

 

Вот где наш подозреваемый находится или находился в недавнем прошлом!

 

Шаг № 2: Нахождение цели по привязному AP SSID

 

Во многих случаях люди используют свой телефон в качестве привязного AP. Вы, вероятно, сделали это. Вам нужен был Wi-Fi AP в удаленном месте или там, где доступный Wi-Fi был очень медленным или дорогим. Если вы это сделали, Вигл, вероятно, записал это!

 

Перейдем к Лас-Вегасу, район NV в США на Wigle. Там мы можем нажать на кнопку поиска.

Давайте предположим, что мы знаем, что цель - использование iPhone. Мы можем искать все AP с iPhone на их имя, используя подстановочный знак % (это представляет ноль или любое количество символов перед термином) и перед словом «iPhone», например;

 

% iPhone

 

Это должно захватить все AP с SSID, который заканчивается термином «iPhone».

Этот тип общего поиска показывает - как и следовало ожидать - множество iPhone, используемых в качестве AP в районе Лас-Вегаса.

 

 

Чтобы сузить наш поиск, мы можем добавить имя пользователя с помощью общего суффикса iPhone, такого как Дженс-iPhone.

 

 

Как вы можете видеть выше, это значительно сузило наш поиск, обнаружив меньшее количество AP, которые все включают в себя AP SSID Дженс-ифон.

Нажав на любой из Дженс-ифон экземпляры, мы можем определить точное местоположение Дженс-ифон на карте Вигла.

 

 

Это место, кажется, прямо рядом с Tuscany Suites and Casino.

 

 

Мы можем увеличить и переключиться на спутниковое изображение, чтобы найти точное местоположение этого iPhone. Как вы можете видеть ниже Дженс-ифон появляется в нескольких местах рядом со входом сотрудника и погрузочным доком Tuscany Suites and Casino

Существует очень большая вероятность того, что «Джен» является сотрудником в этом отеле?

Может быть, то, что происходит в Вегасе, действительно остается в Вегасе?

 

Итоги:

Wigle - это еще один инструмент, который исследователь OSINT может использовать, чтобы попытаться найти цель. Учитывая имя (SSID) AP, к которому цель подключилась в прошлом (возможно, из их реестра) или интерполируя их имя для подключения телефона, мы можем точно определить их местоположение.

Оригинал https://www.hackers-arise.com/post/osint-tracking-the-suspect-s-precise-location-using-wigle-net

Наш паблик: https://t.me/osint_san_framework