It’s a Match! Combining Tools & Methods for Email Verification

Email permutators and the browser extension LinkedIn Sales Navigator have been on the market for quite a while. Both are among the basic tools of trade for marketing and sales. Combined, they make a powerful OSINT tool for email verification.

Let’s imagine the following white-collar crime scenario. We are investigating a fraud case and screen one of the suspects: Fritz Marchow. He has a LinkedIn profile but what we do not know is his email address.

Most people use rather unsophisticated email addresses based on a variation of variables such as firstname, lastname, middle and nickname or the respective initials and use a common email provider. Therefore, it is not rocket science to guess these combinations.

An email permutator will do most of the work and, hence, save us a lot of time. Our tool of choice is Email Permutator+, since it allows us to permutate addresses for three domains at the same time.

We fill in the information we have: our suspect’s first- and lastname. We choose the domains manually. We start with gmail.com and yahoo.com and pick outlook.de as the third option, since our case is set in Germany. The tool permutates 102 email addresses, waiting to be copied to our clipboard.

permutator2

We have already installed the LinkedIn Sales Navigator for Gmail Lite browser extension from the chrome web store. Now all we have to do is open our Gmail account and paste the copied list in the ‘to’ field of an email that we are composing. While we hover over the addresses with the cursor, we see the details appear in the Sales Navigator sidebar on the right.

permutator3

It’s a match! Hovering over fritzmarchow@outlook.de the Sales Navigator shows the LinkedIn profile that belongs to this address. We now have our suspect’s confirmed email address. If there is no matching LinkedIn profile for one of the addresses we are hovering over, the Sales Navigator will show that.

On a side note: Hovering over any Gmail address will also reveal a corresponding Google account with first- and lastname and the profile picture or an initial in case no picture has been added. This is an easy method for verifying gmail addresses. Sometimes this also works for other email providers as well, such as Hotmail.

In our case, we have another match hovering over fritzmarchow@gmail.com. Recognizing the same profile picture he used for LinkedIn we now have a second email address that can be attributed to our suspect.

permutator4

Email permutation has its limitations. It can only use a number of preset variables. As with most OSINT tools: Combined with the LinkedIn Sales Navigator it will most likely not solve your case. However, it adds another puzzle piece. In the end, many of those make up an overall picture.

It is worth mentioning that this tool ONLY uses publicly available data and it cannot help finding the email address of people who want to keep it hidden.

Sebastian Schramm / 16.11.2018

The Sunny Side of Geolocation Verifications

The sun is a useful helper in investigations and geolocation verifications. Looking at shadows in pictures could reveal the moment of capture. This helps debunking false information.

Three weeks ago we showed you how to use EXIF data in pictures to receive indications on the location and precise moment of capture. Unfortunately, not all pictures contain EXIF data, or even worse: the EXIF data could be falsified. The shadow cast in pictures enables us to check if the sun position correlates with the exposure time contained in the pictures’ metadata.

Let us look at the following picture:

IMG_5542_2

I claim, that this picture was taken in front of my office on April 11, 2018 at 10:30am. True or false?

An evaluation of the EXIF data confirms that the coordinates and exposure time back my claim. The following screenshots depict the results of the fotoforensic check on fotoforensics.com. Try it yourself, the picture actually contains the EXIF data.

Case closed, information verified? Not really, because I altered the EXIF data in the picture. While the coordinates were left unchanged, the exposure time was modified. To verify this, we’ll take a closer look at the picture and dissect it into it’s single pieces of information. Hereby, we will concentrate on the shadow cast by the tree on the left.

Next we will use the website suncalc.org to check the casted shadow. Suncalc uses Google Maps to diplay results and the existing satellite imagery on Google is good enough to pinpoint each tree. In the first step, tree 1 will be used as the reference point (red marking). It is important to know the precise location of your reference point, or else the final results may be distorted. Afterwards, we add the presumed exposure time. The result of this actually shows, that the cast shadow (black arrow) of tree 1 fell towards the west, and not towards tree 2 as shown in our picture.

EXIF data canbe manipuliated, however, no one can change the course of the sun. Without any doubt the exposure time in the picture’s metadata is wrong. Now, let us cross check the actual exposure time. The picture was taken on April 25, 2018 at 02:58pm.

This method can be used in many different ways. Imagine someone stands trial and presents a picture of himself containing EXIF data to prove that he or she was at a certain location at a certain time. Or it can be used to verify propaganda pictures and videos of ISIS in Syria, supposedly containing images of an attack the previous day.

MW-OSINT / 02.10.2018

Licht und Schatten bei Ermittlungen

Die Sonne ist ein nützlicher Helfer bei Ermittlungen und Geolocation Verifications. Ein Blick auf den Schattenwurf in einem Bild gibt Rückschlüsse auf den Aufnahmezeitpunkt. Dadurch lassen sich auch Falschinformationen entlarven.

Vor drei Wochen haben wir Ihnen gezeigt, wie man mittels EXIF-Daten in Fotos Hinweise auf Standort und Aufnahmezeit des Bildes bekommt. Leider liegen EXIF-Daten nicht immer vor oder noch schlimmer: sie können gefälscht sein. Anhand der Schattenwürfe in einem Bild lässt sich überprüfen, ob der Stand der Sonne mit dem in den Bildinformationen genannten Aufnahmezeitpunkt übereinstimmt.

Schauen wir uns nun folgendes Bild an:

IMG_5542_2

Ich behaupte, das Bild wurde vor meinem Büro am 11. April 2018 um 10:30 Uhr vormittags aufgenommen. Richtig oder falsch?

Die Auswertung der EXIF-Daten ergibt, dass die Koordinate zum angegeben Standort passt und die Uhrzeit sich ebenfalls mit meiner Aussage deckt. Die folgenden Screenshots zeigen die Ergebnisse einer Foto-forensischen Auswertung auf der Webseite fotoforensics.com. Probieren Sie es auch selbst aus, das dargestellte Bild enthält EXIF-Daten.

Fall abgeschlossen, Informationen verifiziert? Nicht ganz, denn ich habe die EXIF-Daten in diesem Bild manipuliert. Der Standort passt, der Aufnahmezeitpunkt allerdings nicht. Um dies zu verifizieren, zerlegen wir das Ausgangsbild zuerst in seine Einzelinformationen. Hierbei konzentrieren wir uns auf den abgebildeten Schattenwurf des linken Baumes.

Danach nutzen wir die Webseite suncalc.org zur Überprüfung des Schattenwurfs. Suncalc nutzt Google Maps zur Darstellung der Ergebnisse und auf dem vorliegenden Google Satellitenbild sind die Bäume gut zu erkennen. Im ersten Schritt wählen wir Baum 1 als Referenzpunkt (rote Markierung) in Suncalc. Es ist wichtig, den genauen Standort des Referenzpunkts zu kennen, damit die Ergebnisse nicht verfälscht werden. Anschließend tragen wir den vermeintlichen Aufnahmezeitpunkt ein. Als Ergebnis sehen wir, dass der Schattenwurf (schwarzer Pfeil) von Baum 1 zum angegeben Zeitpunkt 10:30 Uhr nicht wie im Ausgangsbild in Richtung Baum 2 fiel, sondern in westliche Richtung.

Man kann EXIF-Daten fälschen, aber nicht den Lauf der Sonne. Somit ist zweifelsfrei bewiesen, dass der Aufnahmezeitpunkt gefälscht wurde. Hier ist die Gegenprobe mit dem richtigen Aufnahmezeitpunkt. Das Bild wurde tatsächlich am 25. April 2018 um 14:58 Uhr aufgenommen.

Diese Methode kann in vielen Fällen angewendet werden. Stellen Sie sich vor, ein Angeklagter in einem Strafverfolgungsprozess möchte Anhand eines Bildes samt EXIF-Daten nachweisen, dass er zu einem bestimmten Zeitpunkt an einem bestimmen Ort war. Oder im Falle von Propagandamaterial des IS in Syrien, in dem ein vermeintlicher Angriff am Vortag gezeigt wird.

MW-OSINT / 02.10.2018

Strava als Ermittlungstool

Strava, ein Soziales Netzwerk zum Tracking sportlicher Aktivitäten mittels Wearables, war in der Vergangenheit in Verruf geraten, weil aus seiner Globalen Heatmap anhand der aggregierten Aktivitäten der Nutzer unzählige militärische Basen, Patrouillenwege sowie geheime Einrichtungen diverser Nachrichtendienste abgelesen werden konnten. In die Heatmap hineingezoomt, gelangte man sogar zu den Profilen der einzelnen Sportler. OPSEC sieht anders aus.

Der Aufschrei war groß, etliche Militärs erwogen kurzerhand ein generelles Verbot der Fitness-Tracker. Strava reagierte umgehend, aktualisierte die Heatmap und verpflichtete sich, „die Privatsphäre unserer Sportler zu respektieren und eventuelle Bedenken bezüglich der Sensibilität einzelner Informationen zu adressieren“.

Doch auch nach der Aktualisierung der Heatmap, lassen sich aus den von Strava veröffentlichten Daten sensible Informationen gewinnen. Strava selbst weist auf seiner Webseite explizit darauf hin, dass trotz eingeschalteter Erweiterter Privatsphäre „Aktivitäten immer noch an öffentlichen Orten wie dem Flyby, Gruppenaktivitäten und in Segmenten sowie in öffentlichen Clubs und Herausforderungs-Bestenlisten sichtbar sind.“ Im Klartext heißt das, über die Segmentbestenlisten gelangt man zu den Namen und Profilen der einzelnen Sportler.

Wie lässt sich diese Erkenntnis nun für Ermittlungen verwenden?

Stellen wir uns folgendes Szenario vor: Am sogenannten Amphibientümpel im Forstenrieder Park südwestlich von München wird am 18.07.2017 eine unbekannte Männerleiche gefunden. Anhand der gefundenen Spuren lässt sich mit Sicherheit sagen, dass das Opfer am späteren Fundort getötet wurde. Durch die Obduktion kann der Tatzeitraum relativ genau eingegrenzt werden: am späten Nachmittag des 16.07.2017.

Der Forstenrieder Park ist bei Sportlern äußerst beliebt. Tagtäglich sind Dutzende Läufer, Wanderer und Radfahrer auf dem Waldweg, neben dem die Leiche gefunden wurde, unterwegs. Möglicherweise hat einer von ihnen am Tattag etwas Auffälliges beobachtet?

strava1

Die in OSINT geschulten Ermittler prüfen unter anderem auf Strava, ob der besagte Waldweg ein Lauf-Segment ist. Und tatsächlich wurden auf dem Segment am ermittelten Tattag zwei Bestleistungen erzielt. Über die Bestenliste gelangen die Ermittler zu den vollständigen Namen der Sportler und darüber zu den Nutzerprofilen inkl. Profilbildern.

strava2

Einer der beiden Sportler hat die Erweiterte Privatsphäre aktiviert, so dass man seine Aktivitäten auf seiner Profilseite nicht einsehen kann, wenn man ihm nicht folgt. Dazu müsste der Nutzer seine Erlaubnis geben.

Der andere Sportler dagegen hat alle Informationen öffentlich gemacht. Er nutzt Strava schließlich, um sich mit anderen Sportlern zu messen. Die Ermittler können sich durch seine Aktivitäten klicken und sehen, dass er den Lauf, bei dem er auf dem Segment die Bestzeit aufgestellt hat, um 16:59 Uhr startete. Er war zum vermuteten Tatzeitpunkt also ganz in der Nähe des Tatorts.

strava3

Dank der Klarnamen ist es den Ermittlern ein Leichtes, den Sportler ausfindig zu machen. Sie kontaktieren ihn umgehend und bitten ihn um Mithilfe bei der Aufklärung des Verbrechens. Der Läufer hatte von dem Fund der Leiche noch gar nichts mitbekommen. Aber er erinnert sich, dass ihm bei seinem Lauf etwas aufgefallen war: In unmittelbarer Nähe des Amphibientümpels, halb zwischen den Bäumen, hatte ein Kleintransporter eines örtlichen Handwerksbetriebs gestanden. Das war ihm zwar merkwürdig vorgekommen, er hatte der Beobachtung aber keine weitere Bedeutung beigemessen. Doch dieser Hinweis führte schlussendlich zur Ergreifung des Täters.

Die Quintessenz: OSINT sollte integraler Bestandteil aller Ermittlungen sein. Im vorliegenden Fall konnte durch OSINT-Methoden ein Zeuge ermittelt werden, der die entscheidenden Hinweise zur Aufklärung des Gewaltverbrechens lieferte. Dazu bedarf es aber versierter Ermittler…

Sebastian Schramm / 24.08.2018