OSINT mit E-Mail-Adressen

E-Mail-Adressen (email) bieten vielfältige OSINT Möglichkeiten.

Analyse der Adresse

Der Benutzername vor dem @-Zeichen kann schon viel verraten. Oft enthält er Echtnamen, manchmal auch Spitznamen, Organisationsbezeichnungen uvm. Mit diesen Namen kannst Du natürlich all die Recherchen machen, die ich bereits bei meinen Artikeln über Accounts in Sozialen Netzwerken finden und das Dilemma mit der Personensuche beschrieben habe. Gerade bei Spitznamen kannst Du natürlich auch darüber spekulieren, warum sich jemand diesen Spitznamen gegeben hat.

Der Teil nach dem @-Zeichen ist ebenso sehr interessant. Je nach Mailprovider kannst Du daraus Schlüsse ziehen:

  • GMX und Web.de – vermutlich jemand der deutsch spricht
  • Siemens.de oder andere Firmen – spricht für einen Mitarbeiter der Firma (Aber Achtung: bei vodafone.de z.B. kann sich jeder registrieren)
  • icloud.com, me.com oder mac.com sprechen für Apple-Nutzer
  • proton.me wird von Menschen verwendet, die sehr viel Wert auf Anonymität und Datenschutz legen
  • mail.ru und Co. – es könnte eine Präsenz im hauseigenen Sozialen Netzwerk geben.. (https://my.mail.ru/<MAILDOMAIN>/<USERNAME> also z.B. my.mail.ru/mail/bashinho, bei inbox.ru my.mail.ru/inbox/bashinho usw.)
  • tempr.email und Co. – es handelt sich um eine Wegwerfadresse die nicht ernsthaft verwendet wird. Meist können die Postkörbe öffentlich eingesehen werden und von unterschiedlichen Personen verwendet werden.

Natürlich gibt es auch große Mailprovider wie gmail.com bei denen sich keine großartigen Erkenntnisse aus dem Domainnamen ergeben. Aber es gibt sicherlich noch weitere Möglichkeiten, die ich nicht in der Liste aufgeführt habe.

Websuchen

Wie ich schon in meinem Artikel über Sonderzeichen bei der Suche geschrieben habe solltest Du E-Mail-Adressen immer in Anführungszeichen setzten, da Sonderzeichen meist ignoriert werden und Du dann statt nach bashinho@example.com nach den Worten bashinho, example und com suchst. Für die Suchmaschine ist es egal welche der beiden folgenden Eingaben gemacht werden, Hauptsache Du verwendest die Anführungszeichen.

"bashinho@example.com" 
"bashinho example com"

Natürlich kannst Du diese Suchen auch noch mit Suchoperatoren wie site: oder filetype: kombinieren. Mit site: kannst Du gezielt auf einer Domain suchen, während Du mit filetype: in Dokumenten suchen kannst. Beispiele:

site:bashinho.de "bashinho@example.com"
filetype:xls OR filetype:xlsx "bashinho@example.com"
filetype:pdf site:example.com "bashinho@example.com"

Denke immer daran, dass es nicht nur Google gibt. Es lohnt sich auch andere Suchmaschinen zu nutzen, da ihr Index ggf. von Google noch nicht indexierte Inhalte enthält.

Checks

Bei Centralops oder DNSlytics kannst Du z.B. überprüfen ob eine Mailadresse existiert ohne ihr eine E-Mail zu senden. Allerdings gibt es zwei Haken. Erstens muss der Mailprovider derartige Anfragen nicht korrekt beantworten und zum anderen kann der Betreiber bei einem Maildienst auch einstellen, dass er einfach jede Mailadresse akzeptiert, egal ob es sie gibt oder nicht.

Es ist nicht mehr als ein Check, den man auch bei anderen Diensten durchführen kann. Eine 100%ige Gewähr, dass das Ergebnis korrekt ist, kann man so jedoch nicht erhalten.

Databreaches

Bei Webseiten wie Have I been pwned kannst Du prüfen, ob eine Mailadresse in einem Einbruch erbeutet und das Passwort veröffentlicht wurde. Wenn ja, erhältst Du Informationen, wo sich der Nutzer registriert hat(te) und je nach dem wie lange der älteste Einbruch zurückliegt, bekommst Du auch einen Eindruck wie lange die Mailadresse schon verwendet wird. Eine Alternative für letztere Prüfung ist Emailrep.io, die ebenso mit Breaches und Leaks das Alter einer Mailadresse zu bestimmen versucht. Das Ergebnis wird im JSON-Format dargestellt.

Accounts in Sozialen Netzwerken u.ä.

Es gibt viele Dienste und Programme, die Schwachstellen in Sozialen Netzwerken und anderen Diensten ausnutzen und so herausfinden können, ob es einen Account zu dieser E-Mail-Adresse in Sozialen Netzwerken gibt. Wenn das Soziale Netzwerk es zulässt, erfährt man sogar den konkreten Account – das ist aber selten. Meist funktioniert diese Methode, weil der Dienst eine Rückmeldung gibt, wie z.B: dass beim Loginversuch die Mailadresse falsch ist. Manche mildern dieses Problem ab, indem der Besitzer des Accounts über den Loginversuch informiert wird. Dies ist z.B. bei Facebook der Fall. Es ist auch nur eine der Methoden, es gibt noch viel mehr. Eigentlich sollten diese Methoden keinen Erfolg haben. Als ich in den 90er Jahren zu programmieren lernte, lehrte man mich, dass man immer zurückmeldet „Benutzername oder Passwort falsch“ – aber dann hat halt der Support viele Anfragen, weil sich mal wieder jemand vertippt hat. Sicherheit und Komfort werden in diesem Leben keine Freunde.

Es gibt einige öffentliche und kostenlose Möglichkeiten diese Recherche durchzuführen, aber für die guten Dienste muss man zahlen. Solltest Du diese Recherchen für deinen Arbeitgeber durchführen, informiere Dich ob hierfür ein spezieller Dienst bereits vorhanden ist. Ansonsten kannst Du natürlich auch z.B. die kostenlosen Varianten von Seon oder Epios nutzen. Du solltest dort, trotzdem einen Account anlegen, weil Du so mehr Daten bzw. Anfragen bekommst. Nutze für die Registrierung möglichst keine E-Mail-Adressen, die auf Dich oder Deinen Arbeitgeber schließen lassen

Es gibt auch einige Github Projekte wie Ghunt oder holehe die solche Prüfungen in der Bash ermöglichen. Zu beiden Tools habe ich Videos in meiner Youtube Playlist zu OSINT in der BASH. Ghunt nutzt Du um zu Google-Accounts zu recherchieren (jeder Android Benutzer hat ein Google Konto) und holehe scannt über 120 Dienste. Einen Artikel zum Umgang mit solchen Githubprojekten habe ich bereits geschrieben.

Wie gesagt, meist erfährst Du nur dass es einen Account gibt, aber nicht wie dieser Account nun heißt. Falls das Soziale Netzwerk aber die Suche mit Mailadressen zulässt, kannst Du natürlich auch in der Suchmaschine des Sozialen Netzwerks nach dem Kontakt suchen.

Weitere Möglichkeiten

Auch das OSINT-Tool von Vortimo bietet einem sehr viele Ideen, wo genau nach einer E-Mail-Adresse gesucht werden kann. Das Tool gibt es als Webseite und als Chrome Extension. Für manche Prüfungen benötigst Du einen API-Key, diesen erhälst Du beim jeweiligen Zieldienst, nachdem Du sich dort (ggf. kostenpflichtig) registriert hast. Ein API-Key ist einfach ein Wert, den der Zieldienst mit Deinem Account verknüpft und der berechtigt Anfragen an dessen Datenbank zu stellen. (Die Abfrage kannst Du in der Regel auch in diesem Dienst direkt durchführen.)

Diesen API-Key trägst di in diese Einstellungen, die sich hinter dem Zahnradsymbol verbergen, ein. Der jeweilige Wert muss dann anstelle des Wortes „changeit“ zwischen die Hochkommata geschrieben werden. Oben Rechts in dem Textfeld findest Du das Wort Edit, klickst Du darauf verändert es sich zu Save – also speichern.

Denke immer daran, dass wir in der EU Datenschutzgesetze haben, die das Sammeln von Informationen über Personen regeln! Diese Regeln gelten für Privatpersonen genauso wie für Firmen oder Behörden.