In early 2016, Islamic State (IS) supporters published pictures in Telegram messenger channels containing handwritten pledges to the Islamic States’ cause. With this propaganda campaign, the terrorist organisation wanted to show the size and strength of its worldwide network.

Apparently some of the IS supporters were not aware of how much information regarding their actual location they had divulged in these pictures. Within hours of release, Twitter users had revealed these locations. IS was not really able to demonstrate global power with this propaganda campaign, however, I am quite sure that some of these supporters gained the attention of law enforcement and government security agencies afterwards.

How could this happen? First off, there is a large community of OSINT specialists, many of them with a journalistic background, specialized in the verifcation of information. One aspect of this is Geolocation Verification, in which pictures are dissected to receive individual clues that can be researched online using various different tools. The main goal is to pinpoint the exact location.

Geolocate This! is one of them and is very useful to find a location using two separate reference points.

Based on one the pictures posted by an IS supporter in 2016, I would like to demonstrate how this works.

Step 1: Dissecting the picture into individual clues

This picture contains several clues, which will help us along the way.

1. The city of Paris is written on the note in Arabic (باريس). This indicates we are looking for a location in the capital of France.
2. In the background we can see a Suzuki sign. It most likely belongs to a dealer or repair shop.

These clues alone would enable us to find the exact location. Looking up all Suzuki dealers or repair shops in Paris on Google Maps could be successful. However, it would take an unproportionate amount of time to view all results.

3. The opposite side of the street depicts a sign of the beer brand Heineken. This likely indicates a bar.

Step 2: Using Geolocate This!

1. I looked up the coordinates (latitude, longitude) for the center of Paris on  latlong.net and entered these into the search mask.
2. Next I set the search radius to 10.000m.
3. The first keyword is Suzuki and I add a category as well. The second keyword is bar, which I also used as the category. The use of categories is optional.
4. Based on the picture, the distance between both locations is approximately 20m, which I then add as the final input.

After clicking on Search, I receive ten results with possible locations for my picture.

Step 3: Verification with Google Street View

Luckily, Paris has an excellent Google Street View coverage. I check each result from Geolocate This! in Street View and compare this view with the IS supporter’s picture. As the picture clearly shows a smaller side street, I check these first.

Et voilà! Shortly afterwards I am able to identify the location from which the picture was taken. This Street View was captured in July 2016 and I can clearly see the Suzuki sign, the Heineken Bar and the scaffolding in the background.

Tilting Street View to the left, gives me a view of the house from which the initial picture was taken, probably in a room somewhere between the first and third floor.

We now have an address in which a probable IS supporter lives. This information might be relevant for law enforcement and government security agencies…

This is just one example of how OSINT techniques can lead to the exact location of a picture. There are many more used within Geolocation Verification. 

In the following weeks, we’ll present more tools and techniques from the everyday life of an investigator. In the meantime, I advise you to practice your geolocation skills trying to solve the pop quizzes on Twitter at @Quiztime 

Ingmar Heinrich / 07.09.2018

Anfang 2016 veröffentlichten Anhänger des sogenannten Islamischen Staates (IS) auf Kanälen des Messengers Telegram mehrere Fotos. Diese enthielten handgeschriebene Treuebekundungen zum IS. Die Terrororganisation wollte durch diese Propagandaaktion die Größe und Stärke ihres weltweiten Netzwerkes darstellen.

Dem einen oder anderen IS-Sympathisanten war vermutlich nicht bewusst, wie viele Hinweise er damit über seinen eigenen Standort preisgibt. Innerhalb weniger Stunden wurden die genauen Aufenthaltsorte mehrerer IS-Anhänger von Twitter-Usern enttarnt. Der erwünschte Effekt des IS blieb aus und es ist sogar anzunehmen, dass einige dieser Personen in den Fokus der Sicherheitsbehörden gerieten.

Was war passiert? Es gibt mittlerweile eine sehr große Gemeinde von OSINT-Spezialisten, davon viele aus dem journalistischen Umfeld, die sich auf die Verifikation von Informationen spezialisiert haben. Bei der sogenannten Geolocation Verification werden Fotos in ihre Einzelinformationen zerlegt, um diese dann mit Hilfe unterschiedlicher Tools im Internet zu recherchieren. Ziel ist die Lokalisierung der exakten Ortsangaben.

Ein sehr nützliches Tool ist Geolocate This!, mit dessen Hilfe sich Orte unter Angabe von zwei Bezugspunkten lokalisieren lassen.

Anhand eines der geposteten IS-Fotos möchte ich die Funktionsweise kurz erklären.

Schritt 1: Zerlegen des Fotos in Einzelinformationen

Auf dem Foto lassen sich mehrere Informationen erkennen, die uns bei der weiteren Recherche helfen.

1. Auf dem Zettel steht auf Arabisch Paris (باريس). Diese Information grenzt die Suche auf die Hauptstadt von Frankreich ein.
2. Zudem ist ein Schild der Automarke Suzuki erkennbar. Vermutlich gehört es zu einem Händler, der die Marke Suzuki vertreibt.

Allein diese beiden Informationen reichen aus, um den genauen Ort zu lokalisieren. Eine Suche der Suzuki-Händler in Paris bei Google Maps würde zum Erfolg führen. Allerdings müsste ich verhältnismäßig viel Zeit aufwenden, um mich durch die Treffer zu klicken.

3. Auf der gegenüber liegenden Straßenseite ist das Schild der Biermarke Heineken erkennbar, das wahrscheinlich zu einer Bar gehört.

Schritt 2: Eingeben der Daten bei Geolocate This!

1. Die Koordinaten (Latitude, Longitude) von Paris erhalte ich von einer Webseite wie latlong.net. Den Ausgangspunkt setze ich in das Zentrum von Paris. Die Koordinaten übertrage ich in die Suchmaske.
2. Ich grenze den Suchradius auf 10.000m ein.
3. Das Keyword 1 ist unserer wahrscheinlicher Suzuki-Händler. Optional vergebe ich die Kategorie Car Dealer. Als Keyword 2 vergebe ich Bar und kategorisiere es zudem als Bar.
4. Der Abstand zwischen den beiden Orten beträgt ungefähr 20 m.

Danach klicke ich auf Search und ich erhalte eine Übersicht mit 10 möglichen Treffern.

Schritt 3: Recherche mit Google Street View

Paris verfügt über eine exzellente Abdeckung mit Google Street View. Ich gehe nun durch die einzelnen Treffer von Geolocate This! und gleiche sie mit dem Ausgangsfoto ab. Als weitere Eingrenzung sichte ich zuerst Treffer, die sich in Nebenstraßen, wie auf unserem Foto, befinden.

Et voilà! Nach einer kurzen Suche kann ich den Ort lokalisieren. Auf einer Aufnahme von Juli 2016 erkenne ich das Suzuki-Schild, die Bar mit dem Heineken-Schild, sowie das Baugerüst im Hintergrund.

Drehen wir die Google Street View-Kamera nun nach links, sehen wir das Haus, aus dem heraus das Foto aufgenommen wurde. Sehr wahrscheinlich wurde es aus einem der Fenster zwischen dem 1. – 3. OG geschossen.

Somit haben wir die wahrscheinliche Adresse und sogar das Stockwerk, in dem ein mutmaßlicher IS-Anhänger wohnt. Um alles weiter müssen sich jetzt die Sicherheitsbehörden kümmern…

Das Beispiel zeigt eine Möglichkeit, wie ich exakte Standorte mit Hilfe von OSINT-Techniken lokalisieren kann. Bekanntlich führen viele Wege nach Rom und es gibt zahlreiche weitere Methoden im Rahmen der Geolocation Verification.

In den nächsten Wochen werden wir weitere Tools und Techniken aus dem Alltag eines Ermittlers vorstellen. Wer sich die Wartezeit verkürzen und bis dahin etwas üben möchte, dem empfehlen wir den Twitter-Kanal @Quiztime 

Ingmar Heinrich / 06.09.2018