Sock Puppet

Como fazer contas Sock Puppet para OSINT em 2021

20 de março de 2021 321 leituras

8

@ MattyBv3Matty Bv3

Privacidade - Segurança - OSINT

A cada dia parece que fica cada vez mais difícil fazer o fantoche de meia (ou seja, 'falso') ser responsável pela pesquisa OSINT. Os serviços querem mais informações. Eles exigem números de telefone reais (não VOIP). Eles assumem o uso de VPN = esboçado.

Pessoalmente, eu culpo as fazendas de trolls russos.

Independentemente das razões e restrições, há boas notícias para nós, investigadores da OSINT. Enquanto eles quiserem permanecer no negócio e crescer, os serviços devem permitir que novos usuários se inscrevam. Portanto, tudo o que precisamos fazer é convencê-los de que somos isso - novos usuários legítimos.

Em março de 2021, essas são as etapas exatas que descobri serem mais bem-sucedidas ao tentar criar uma nova conta de fantoches de meia do zero. Lembre-se de que as coisas mudam rapidamente. Os sites caem. Mudança de aplicativos. Os serviços se adaptam. Assim como durante uma investigação, temos que ser capazes de girar também.

Siga este guia de criação de fantoches de meia passo a passo, em ordem cronológica, e você não apenas criará suas contas hoje, mas aprenderá o processo para o futuro. Vou tentar mantê-lo atualizado, mas se você encontrar algum erro ou instruções desatualizadas, sinta-se à vontade para me enviar um e-mail para 0ne2q3qj@anonaddy.me .

Planeje a Persona

Não fique tentado a inventar coisas rapidamente. Pelo menos, tenha essas noções básicas descobertas de antemão:

• Nome / Idade / Sexo
  - FakeNameGenerator pode ajudar com isso
  
• Foto
  - Esta pessoa não existe pode ajudar com isso 
  - Aproxime o zoom na foto para procurar falhas
  - Se você precisar editar, mas não tiver o Photoshop, use o Photopea diretamente no navegador
  
• Banner
  - Pesquisa de imagens para um banner genérico que sua persona provavelmente usaria
  - por exemplo, se 'você' é um recrutador de 25 anos nos EUA, pesquise por 'banner de citação motivacional' e baixe um

Use um gerenciador de senhas

Conforme você cria novas contas, terá que inserir muitos detalhes sobre 'você'. Seu nome, senhas, números de telefone, data de nascimento, perguntas de segurança, etc. Gerenciadores de senhas gratuitos e de código aberto como Bitwarden (hospedado na nuvem) ou KeePassXC (hospedado localmente) podem ser uma ótima maneira de manter o controle de tudo.

Obtenha um telefone 'Burner'

Sim, você realmente precisa de um telefone físico.
Não, telefones 'queimadores' não são ilegais.
Na verdade, qualquer pessoa sem telefone fixo deve ter um telefone extra disponível o tempo todo. E se houvesse uma emergência e seu telefone principal cair na água, congelar sem motivo ou você simplesmente não conseguir encontrá-lo?

1

Eu divago.

Hoje em dia, é quase impossível configurar contas (e mantê-las vivas) sem ter um número de telefone que não seja VOIP. Compre um Android barato e usado da forma mais anônima possível. Eu sei que é vago, mas uma explicação detalhada está além do escopo deste artigo. Faça alguma pesquisa, seja criativo e descubra como comprar um com dinheiro. Em seguida, limpe-o algumas vezes.

Obtenha um cartão SIM

Um novo cartão SIM fornece um novo número de telefone. Isso não o torna anônimo. O dispositivo físico tem uma ID de hardware que não pode ser alterada, portanto, rastrear diferentes SIMs de volta para um único dispositivo não é difícil. Daí, o motivo pelo qual você pagou em dinheiro por um novo dispositivo na última etapa.

Atualmente, se você mora nos EUA, a melhor oferta em cartões SIM é o teste de 7 dias do Mint Mobile por US $ 0,99 na Amazon . Você também pode comprar anonimamente, se criar uma nova conta, pagar com um cartão de crédito mascarado privacy.com e enviá-lo a um armário da Amazon. Mas, novamente, além do escopo aqui.

Desligue o dispositivo, mude para o novo cartão SIM e reinicie-o novamente. Só por diversão, vá em frente e limpe aquele dispositivo usado mais uma vez. Não pode ser muito cauteloso.

Vá para o Wi-Fi público

Você não quer fazer nada disso em casa ou no trabalho, onde está compartilhando seu endereço IP real. Você também não pode usar uma VPN, pois isso quase sempre o impedirá de criar contas. Use uma biblioteca local, shopping ou cafeteria. Tente escolher um local que não seja próximo à sua casa, mas que seja próximo o suficiente para viajar. Você vai voltar aqui no futuro.

Baixar aplicativos

Baixe e instale os seguintes aplicativos nesta ordem:

• F-Droid : Pense nisso como a Apple App Store ou Google Play, mas para aplicativos gratuitos e de código aberto.
  
• Aurora Store : Faça o download de dentro do F-Droid. Este é o seu substituto para o Google Play. De dentro da Aurora Store, você pode baixar todos os aplicativos abaixo (e qualquer outro que normalmente encontraria no Google Play) sem o rastreamento do Google.
  
• Mint Mobile : Use para ativar seu novo número de telefone real.
  
• Authy (por Twilio): você usará isso para configurar a autenticação de dois fatores (2FA) para todas as suas próximas contas. Dessa forma, você não precisará do número de telefone do Mint Mobile depois que o período de teste expirar. Sinta-se à vontade para substituir o Authy pelo aplicativo 2FA gerador de tokens de software de sua escolha.

Configurar 2FA

Idealmente, você usará um token de hardware como YubiKey quando possível. Não é apenas o método mais seguro de usar 2FA, é o mais conveniente na minha opinião. Infelizmente, nem todos os serviços o utilizam, portanto, configure o Authy (ou sua alternativa escolhida) também.

Crie sua conta de e-mail Pillar

Esta é a sua conta de e-mail central . Você pode configurar serviços de encaminhamento ou outras contas de e-mail mais tarde, mas vai querer ter uma conta de e-mail principal e centralizada para a qual todas as outras contas forem encaminhadas.

Qual serviço de e-mail você deve usar? Bem, isso é discutível. Você quer uma conta que pareça normal (tornando a criação de conta mais fácil). Provedores de email de privacidade centrada como ProtonMail ou Tutanota muitas vezes ter sinalizado. Serviços de e-mail temporário também estão fora de questão, pois você provavelmente precisará deles no futuro. Odeio dizer isso, mas minha recomendação é:

Gmail

Sim, eu sei, é o Google. Sim, ele está espionando você. Sim, ProtonMail e Tutanota são melhores. Sim, pessoalmente me dói recomendar, daí a falta de texto em negrito .

Mas se você seguiu as etapas acima, ele não está conectado a você de qualquer maneira. E uma vez que você o está usando apenas para contas de fantoches de meia, você realmente não deve se importar com as informações que ele tem sobre 'você'. Além disso, você provavelmente vai acabar usando um número do Google Voice aqui em breve, então morda a bala e configure uma conta do Gmail.

Crie um número VOIP

Veja, eu disse que você configuraria o Google Voice. Sim, existem opções melhores como MySudo. Você pode até passar pelo incômodo de comprar números manualmente direto do Twilio. Se você tiver tempo e paciência para isso, fique à vontade. Mas o Google Voice é rápido, fácil, gratuito e você não se importa se as informações da sua personas são rastreadas de qualquer maneira. Basta escolher o seu veneno e criar um número VOIP para você, para não depender do Mint Mobile.

Configure suas contas Sock Puppet

Você deve ter tudo que precisa para construir suas contas, seja no Facebook, Twitter, LinkedIn, Instagram, etc. Leve o seu tempo, crie cada conta do início ao fim e armazene todas as informações em seu gerenciador de senhas durante a criação, neste pedido:

• Crie a conta
  - Você deseja que o serviço pareça o mais 'normal' possível
  - use Wi-Fi público
  - não use VPN
  - use seu número verdadeiro (Mint Mobile) para verificação
  
• Assim que a conta for criada, navegue imediatamente até as configurações de privacidade e segurança
  
• Mude o número de telefone do Mint para o seu número VOIP
  
• Configurar 2FA usando Authy
  
• Saia completamente da conta
  
• Faça login novamente com seu nome de usuário / senha do gerenciador de senhas e o código Authy 2FA

Apenas depois de criar sua conta e ter confirmado que pode fazer login usando o Authy para 2FA, você deve prosseguir para a construção do perfil.

Crie seu perfil de conta

Passe algum tempo construindo seu perfil. Imagine que você fosse realmente aquela pessoa que finge ser ... o que eles fariam? Faça essas coisas. No mínimo, certifique-se de:

• Adicione informações pessoais aplicáveis
  - por exemplo, nome, trabalho, interesses, etc.
  
• Adicione a foto do perfil criada anteriormente
  
• Adicione o banner genérico que você baixou anteriormente
  
• Curta ou siga alguns tópicos relevantes para sua persona
  
• Encontre alguns outros usuários interessados ​​em tópicos semelhantes, como algumas de suas postagens, e siga-os (5 a 10 pessoas é o suficiente)

Agora pare. Não exagere.

Saia desta conta e vá para a próxima conta que deseja criar. Lave, enxágue e repita.

Idade das suas contas

Parabéns, você conseguiu! Você tem contas de fantoches de meia funcionando! Agora, você quer passar por tudo isso de novo em um ou dois dias?

Não pensei assim.

Nada impedirá completamente o encerramento de suas contas, mas você pode tornar isso menos provável envelhecendo-as. Tente não usá-los por alguns dias, de preferência uma semana. Deixe-os ferver.

Em seguida, volte para o mesmo lugar em que os criou. Conecte-se ao mesmo Wi-Fi público. Um por um, faça login em cada conta e envolva outros usuários como sua persona faria.
Siga mais tópicos. 
Curta e compartilhe postagens. 
Faça alguns comentários. 
Siga pessoas e solicite conexões. 
Ensine ao provedor de serviços que 'você' é uma pessoa normal, que faz coisas normais, e será menos provável que você fique de fora no futuro. Depois de fazer tudo isso, saia de tudo e deixe envelhecer por mais uma semana.

Agora você deve estar pronto para ir. Suas contas são criadas e dependem apenas do seu número VOIP e token de software 2FA. Seus perfis parecem reais para humanos e bastante legítimos para algoritmos também. Sinta-se à vontade para prosseguir e OSINT.