Recherchen in Sozialen Netzwerken sind ein wichtiger Bestandteil in OSINT. Die einzelnen Netzwerke haben dabei große Gemeinsamkeiten aber auch Unterschiede. Gemeinsam haben alle, dass man dort Posts absetzen kann. In der Regel sind dies Links, Texte, Bilder und Videos. Diese Posts können wiederum geteilt, geliked und kommentiert werden. Manche Netzwerke erlauben darüber hinaus Gruppen (alle dürfen posten und kommentieren) und manche auch Kanäle (eine Person darf posten, der Rest nur kommentieren). Ein Unterschied ergibt sich in den Möglichkeiten, sein Profil auf privat zu stellen und Teile der eigenen Veröffentlichungen somit vor der Masse der Nutzer zu verbergen. Manche Netzwerke sehen auch eine Löschung der Posts nach einer gewissen Zeit vor.
Interessant sind allerdings zwei Dinge. Zum einen haben viele Nutzer nicht nur ein Profil in einem Sozialen Netzwerk, die meisten haben Profile in mehreren Netzwerken. Ich habe z.B. Profile in Youtube, Mastodon und Bluesky. Zum Anderen haben Personen mehrere Profile im selben sozialen Netzwerk. Das trifft bei mir auf Youtube zu, da ich so meine Interessen in speziellen Accounts habe und die Videovorschläge somit besser sind. Wenn es einem nun gelingt diese Profile zu finden, hat man gute Chancen eine Menge zusätzlicher Informationen zu sammeln.
Welche Gründe können nun dafür sprechen, dass Profile zusammengehören:
- Verlinkung auf andere Profile (z.T. auch sowas wie admosc (add me on snapchat))
- gemeinsame Freunde
- Namensgleichheit / Namensähnlichkeit
- gleiche/ähnliche Profilbilder
- gleiche/ähnliche gepostete Inhalte
- gleiche/ähnliche (ungewöhnliche) Hashtags
- ähnliches Registrierungsdatum
- wer liked?
- wer kommentiert?
Natürlich ist diese Liste nicht abschließend und diese Punkte sollte man natürlich auch nur als Indiz werten. Letztendlich schaut man von draußen auf ein Profil. Was dahinter steckt ergeben erst die weiteren Recherchen.
Gerade bei privaten oder weitgehend leeren Profilen ist es sinnvoll herauszufinden, ob es weitere Profile in sozialen Netzwerken gibt, in denen die Inhalte nicht so einfach auf privat gestellt werden können. Ich habe z.B. eine Person gefunden, die 4 Facebook- und 3 Instagram-Accounts hatte, dazu kam noch ein Snapchat Account. Auf allen war nicht sonderlich viel zu sehen. Aber über Likes konnte ich vermutliche verwandte Personen identifizieren, deren Likes auch auf mehreren Profilen der Person zu finden waren. Über Likes konnten Personen gefunden werden, die ihren Wohnort angaben und es gab eine auffällig Häufung von diesem Wohnort. In einem Profil wurde auf die beste Freundin verlinkt usw. Letztendlich hatte die Person auch einen TikTok-Account auf dem dann auch Videos und Bilder zu finden waren.
Ein anderes Beispiel war ein Twitter-Nutzer, der auf seinen Blog verwiesen hat. Im Blog konnten Links auf viele andere Accounts in Sozialen Netzwerken gefunden werden. Dort hatte die Person fast den gleichen Spitznamen, allerdings stand vor dem Nickname noch ein Vorname, so dass der Schluss nahe lag, dass der Nickname der Nachname sein müsse. In seinem „Ich über Mich“-Bereich auf dem Blog wurde noch der Wohnort und ein Link auf eine Homepage angegeben. Auf der Homepage stand dann auch unter Kontakt die Wohnadresse.
Natürlich ist es nicht immer so, dass man weitere Accounts findet. Aber es lohnt sich danach zu suchen, weil man auf jedem Account neue Hinweise finden kann, die im anderen nicht zu sehen waren. Trägt man diese Informationsstücke zusammen, kann dies dabei helfen, die Person zu identifizieren.
Die wichtigsten Bereiche für derartige Recherchen sind Profil, „Ich über mich“, Kontakt, Impressum u.ä. Dort finden sich in der Regel Hinweise, die bei der Identifizierung helfen. Auf manchen Seiten sind ausführliche Profilinformationen möglich (z.B.: Facebook, VK) auf anderen sind sie rudimentär (z.B.: Instagram, Twitter, TikTok).
Man sollte nie vergessen, dass Menschen wiedergefunden werden wollen. Deswegen verwenden sie den gleichen oder einen ähnlichen Nickname auf anderen Sozialen Netzwerken. Diesen Umstand kann man ausnutzen, indem man Nickname-Suchmaschinen einsetzt, hier ein paar Beispiele:
WhatsMyName
KnowEm
NameChk
Selbstverständlich kann ein und der selbe Nickname durch unterschiedliche Personen verwendet werden. Dies geht mir auch so, man findet diverse Accounts in sozialen Netzwerken zu Bashinho, die nicht mir gehören. Die Aufgabe ist also auch herauszufinden, welche der Accounts nun relevant sind und was Fehltreffer sind.
In diesem Beispiel gehören mir z.B. die Accounts in GitHub, IFTTT, Mastodon und Linktree. Trotz der vielen Fehltreffer, hat man so einen Hinweis, wo man eben suchen kann. In meinem Fall hat man das Glück, dass ich Linktree verwende und dort auf viele meiner Präsenzen hinweise. Aber auch dort ist z.B. IFTTT nicht vermerkt.
Es ist aber nicht nur wichtig, die Profile der Person zu finden. Auch Profile von nahen Personen wie Verwandte oder Freunde können aufschlussreich sein. Was z.B: wenn die Person ihr Profil komplett auf privat hat, aber man das Profil der (Klischee) Tochter findet, wie sie auf TikTok durch das ganze Haus tanzt?
Hilfreich können auch Suchmaschinen sein, um Profile in Sozialen Netzwerken zu finden. Die Einschränkung der Suche auf site: macht dies möglich. Über die Verwendung von site: habe ich schon einen Artikel geschrieben. Manchmal findet man auf diesem Weg einen Account, den man über die interne Suche des Sozialen Netzwerks nicht findet.
Und wo wir schon bei Suchmaschinen sind. Diese bieten ja auch Bildersuchen an, die sich hinter einem Fotoapparat-ähnlichem Symbol verbergen. Man kann hier z.B: die URL eines Profilbildes aus einem sozialen Netzwerk eintragen und herausfinden, wo dieses Bild schon einmal veröffentlicht wurde. In der Regel bekommst Du die URL, wenn Du mit der rechten Maustaste auf das Bild klickst und „Grafikadresse kopieren“ bzw. „Bildadresse kopieren“ auswählst. Es gibt aber auch Addons wie Search By Image (Firefox, Chrome) , die die Suche direkt aus dem Rechtsklickmenü auslösen lassen.
Google (das rechte Symbol im Suchfeld):
Google hat noch die Besonderheit, dass man in Google Lens (also nach dem Ausführen einer Bildersuche) oberhalb des gesuchten Bildes einen Button sieht, der mit „Bildquelle suchen“ beschriftet ist:
Bing (auf der rechten Seite das mittlere Symbol im Suchfeld) :
Bei Yandex muss man zuerst auf Images klicken um den Fotoapparat zu sehen:
Da die Suchmaschinen unterschiedliche Indexe und Datenbestände haben, ist es sinnvoll immer alle zu überprüfen. Zusätzlich kann man auch noch die Matchengine von Tineye nutzen, diese kostet allerdings in der günstigsten Variante 200$/Monat.
Nicknames
Was man bei Spitznamen auch immer bedenken sollte ist, dass sie für den Benutzer etwas bedeuten. Kein Mensch wählt seinen Nickname ohne Grund. Bei mir hat es z.B. etwas mit der Bash und brasilianischen Fußballern zu tun, auch wenn meine Begeisterung für Fußball massiv nachgelassen hat, ist es Teil meiner Geschichte. Nicknames können vielfältige Hinweise bieten. Ich habe mal dazu ein Video gemacht, in dem ich verschiedene Twitter Namen zeige. Dort finden sich in den Nicknames u.a. Namensbestandteile, Hinweise aufs Land oder andere Sozialen Netzwerke, Hinweise auf Beruf oder Hobbies und so weiter. Es lohnt sich also, sich über den Nickname Gedanken zu machen.
Des weiteren können Nicknames auch Bestandteile von E-Mail-Adressen und Domains sein. Für Domains bietet Whoxy eine Domain Keyword Search:
SEINTpl hat ein Tool namens NAMINT entwickelt, mit dem man mit Informationen wie Vorname, Spitzname, Name und Jahr verschiedene Suchen zu möglichen E-Mail-Adressen, Namensvariationen , Avatare etc. erzeugen kann um zu überprüfen ob diese existieren. Die Bedienung ist leider etwas zeitaufwändig, da man jeden einzelnen Eintrag manuell überprüfen muss und die Seite echt extrem viele Links erzeugt.
Account-Umbenennung
Die meisten Sozialen Netzwerke bieten die Möglichkeit sich umzubenennen, z.T. ist es sogar möglich den Benutzernamen zu wechseln. Was man aber nicht wechseln kann ist die vom Sozialen Netzwerk vergebene ID. Wenn man einen Account über längere Zeit beobachten möchte, ist es erforderlich, diese ID herauszufinden, um den Account nach einer Umbenennung wieder finden zu können. Je nach Sozialem Netzwerk gibt es Addons (Facebook) oder Webseiten (Twitter, Instagram, Facebook, TikTok, Youtube, Diverse), die dies anbieten. Manchmal findet man auch Anleitungen, wie man die ID im HTML-Quellcode (Rechtsklick-Menü) oder mit den Webentwicklertools (F12) herausfinden kann.
Fake Accounts
Bedenke, dass nicht nur Du einen Fake-Account für deine Recherchen verwendest. Auch das Profil, welches Du untersuchst, kann ein Fake Account sein. Die Hinweise, die ich unter OPSEC für Fake-Accounts, durch KI erzeugte Bilder und mehr gebe, können auch auf den Account zutreffen, über den du recherchierst. Mit diesen Hinweisen, die ich dort gebe, findest du Möglichkeiten, wie Du dies überprüfen kannst.
Ein Hinweis auf einen Fake-Account kann auch sein, wenn sich der Benutzername gravierend von dem angezeigten Namen unterscheidet. Benutzernamen findet man oft in der URL des Profils. Allerdings kann es natürlich auch eine nachträgliche Umbenennung sein, um die Identität nur zu verschleiern oder weil man sich einen supertollen neuen Namen ausgedacht hat.
Auch Inkonsistenzen, wie „der Name passt nicht zu der Sprache der verbreiteten Inhalte“, können ein Hinweis sein. Wenn eine Maria Müller ausschließlich chinesischsprachige Inhalte (unterbrochen von TikTok Videos) teilt, ist das zumindest auffällig.