The Sunny Side of Geolocation Verifications

The sun is a useful helper in investigations and geolocation verifications. Looking at shadows in pictures could reveal the moment of capture. This helps debunking false information.

Three weeks ago we showed you how to use EXIF data in pictures to receive indications on the location and precise moment of capture. Unfortunately, not all pictures contain EXIF data, or even worse: the EXIF data could be falsified. The shadow cast in pictures enables us to check if the sun position correlates with the exposure time contained in the pictures’ metadata.

Let us look at the following picture:


I claim, that this picture was taken in front of my office on April 11, 2018 at 10:30am. True or false?

An evaluation of the EXIF data confirms that the coordinates and exposure time back my claim. The following screenshots depict the results of the fotoforensic check on Try it yourself, the picture actually contains the EXIF data.



Case closed, information verified? Not really, because I altered the EXIF data in the picture. While the coordinates were left unchanged, the exposure time was modified. To verify this, we’ll take a closer look at the picture and dissect it into it’s single pieces of information. Hereby, we will concentrate on the shadow cast by the tree on the left.


Next we will use the website to check the casted shadow. Suncalc uses Google Maps to diplay results and the existing satellite imagery on Google is good enough to pinpoint each tree. In the first step, tree 1 will be used as the reference point (red marking). It is important to know the precise location of your reference point, or else the final results may be distorted. Afterwards, we add the presumed exposure time. The result of this actually shows, that the cast shadow (black arrow) of tree 1 fell towards the west, and not towards tree 2 as shown in our picture.


EXIF data canbe manipuliated, however, no one can change the course of the sun. Without any doubt the exposure time in the picture’s metadata is wrong.  Now, let us cross check the actual exposure time. The picture was taken on April 25, 2018 at 02:58pm.


This method can be used in many different ways. Imagine someone stands trial and presents  a picture of himself containing EXIF data to prove that he or she was at a certain location at a certain time. Or it can be used to verify propaganda pictures and videos of ISIS in Syria, supposedly containing images of an attack the previous day.

MW-OSINT / 02.10.2018

Licht und Schatten bei Ermittlungen

Die Sonne ist ein nützlicher Helfer bei Ermittlungen und Geolocation Verifications. Ein Blick auf den Schattenwurf in einem Bild gibt Rückschlüsse auf den Aufnahmezeitpunkt. Dadurch lassen sich auch Falschinformationen entlarven.

Vor drei Wochen haben wir Ihnen gezeigt, wie man mittels EXIF-Daten in Fotos Hinweise auf Standort und Aufnahmezeit des Bildes bekommt. Leider liegen EXIF-Daten nicht immer vor oder noch schlimmer: sie können gefälscht sein. Anhand der Schattenwürfe in einem Bild lässt sich überprüfen, ob der Stand der Sonne mit dem in den Bildinformationen genannten Aufnahmezeitpunkt übereinstimmt.

Schauen wir uns nun folgendes Bild an:


Ich behaupte, das Bild wurde vor meinem Büro am 11. April 2018 um 10:30 Uhr vormittags aufgenommen. Richtig oder falsch?

Die Auswertung der EXIF-Daten ergibt, dass die Koordinate zum angegeben Standort passt und die Uhrzeit sich ebenfalls mit meiner Aussage deckt. Die folgenden Screenshots zeigen die Ergebnisse einer Foto-forensischen Auswertung auf der Webseite Probieren Sie es auch selbst aus, das dargestellte Bild enthält EXIF-Daten.



Fall abgeschlossen, Informationen verifiziert? Nicht ganz, denn ich habe die EXIF-Daten in diesem Bild manipuliert. Der Standort passt, der Aufnahmezeitpunkt allerdings nicht. Um dies zu verifizieren, zerlegen wir das Ausgangsbild zuerst in seine Einzelinformationen. Hierbei konzentrieren wir uns auf den abgebildeten Schattenwurf des linken Baumes.


Danach nutzen wir die Webseite zur Überprüfung des Schattenwurfs. Suncalc nutzt Google Maps zur Darstellung der Ergebnisse und auf dem vorliegenden Google Satellitenbild sind die Bäume gut zu erkennen. Im ersten Schritt wählen wir Baum 1 als Referenzpunkt (rote Markierung) in Suncalc. Es ist wichtig, den genauen Standort des Referenzpunkts zu kennen, damit die Ergebnisse nicht verfälscht werden. Anschließend tragen wir den vermeintlichen Aufnahmezeitpunkt ein. Als Ergebnis sehen wir, dass der Schattenwurf (schwarzer Pfeil) von Baum 1 zum angegeben Zeitpunkt 10:30 Uhr nicht wie im Ausgangsbild in Richtung Baum 2 fiel, sondern in westliche Richtung.


Man kann EXIF-Daten fälschen, aber nicht den Lauf der Sonne. Somit ist zweifelsfrei bewiesen, dass der Aufnahmezeitpunkt gefälscht wurde. Hier ist die Gegenprobe mit dem richtigen Aufnahmezeitpunkt. Das Bild wurde tatsächlich am 25. April 2018 um 14:58 Uhr aufgenommen.


Diese Methode kann in vielen Fällen angewendet werden. Stellen Sie sich vor, ein Angeklagter in einem Strafverfolgungsprozess möchte Anhand eines Bildes samt EXIF-Daten nachweisen, dass er zu einem bestimmten Zeitpunkt an einem bestimmen Ort war. Oder im Falle von Propagandamaterial des IS in Syrien, in dem ein vermeintlicher Angriff am Vortag gezeigt wird.

MW-OSINT / 02.10.2018

Asset Tracing using EXIF Data

Geolocation Verification was a topic in this blog last week. The previous post presented one method to geolocate a picture based on different reference points within the picture.

In some cases geolocating a picture is even easier, provided the picture contains georeferenced EXIF metadata. EXIF (Exchangeable Image File Format) is a standard ancillary tag used by digital cameras. Next to various camera settings, such as focal length and exposure time, EXIF metadata could include descriptions of the picture and be geotagged with GPS coordinates as well. Many smartphone users have the so-called ‘location services’ constantly switched on, thus resulting in their pictures being enriched with GPS coordinates.

The following example is based on a real investigation. The names and locations were altered to ensure the safety of the involved persons.

An asset tracing case has us looking for financial and property assets belonging to a German banker named Hans P. Extensive OSINT research on Hans P. remains unsuccessful.  The focus of this investigation will now be on family and friends of Hans P. We identified two of Hans’ children on Facebook. His eldest daughter, Anna H., recently married and had set a wedding webpage using the platform ZOLA. This website reveals that the wedding took place at a large unknown estate. The actual location of this estate was not easily given away on the website. The overall information, however, points towards the mediterranean region. On this site, Anna also thanks her father for financing this wedding and providing his estate for the celebration.


Example of a ZOLA wedding site

This is an indication that Hans P. is in fact in possession of the aforementioned estate. The website also features many professional pictures, as well as the possibility for wedding guests to upload their own pictures. We look at each picture using a browser extension which shows if the picture contains EXIF data or not. Luckily, one of them does.


Our next step is to extract the EXIF data using The EXIF data extracted from the picture contains information on the type of phone used and also the exact GPS coordinates from which it was taken. This location is directly displayed on Google Maps.


The estate  is located near the Italian city of Tuscania. After figuring out the specific street address, we check this in the local real estate and property register.

Bingo! The estate was purchased four years ago and currently belongs to Hans’ wife. Since Hans’ wife does not originate from a wealthy family, nor has she ever worked, we assume that this asset was in fact purchased with money provided by Hans P.

By the way: The wedding picture contains the EXIF data shown. Feel free to try this out yourself!

MW-OSINT / 12.09.2018