email2phonenumber — это инструмент, разработанный исследователем безопасности Мартином Виго для OSINT (Open Source Intelligence), который позволяет потенциально получить номер телефона цели, зная ее адрес электронной почты. Основанная на анализе уязвимостей процессов восстановления пароля и данных, доступных в открытых источниках, эта программа демонстрирует, как такие уязвимости могут быть использованы в целях разведки. Инструмент представляет собой концепт, показывающий проблемы безопасности, присущие многим онлайн-сервисам, и подчеркивает, насколько важно защищать персональные данные пользователей.
Оглавление
Основные возможности email2phonenumber
email2phonenumber поддерживает три главных функции:
Scrape — сбор частично замаскированных данных телефона с сайтов, инициируя процесс восстановления пароля, где требуется указать адрес электронной почты. Инструмент проверяет, выводятся ли фрагменты номера телефона во время этого процесса.
Generate — создание списка возможных телефонных номеров на основе маски, специфичной для страны. Это позволяет формировать базу номеров, которая может использоваться в последующих этапах проверки.
Bruteforce — последовательная проверка сгенерированных номеров путем отправки запросов на восстановление пароля для выявления совпадений по замаскированному адресу электронной почты. Используя прокси, эта функция помогает обойти капчи и другие защитные механизмы, что делает инструмент полезным для исследовательских задач в OSINT.
Применение и настройка
Для работы инструмента требуется Python 3.x и сторонние библиотеки, такие как BeautifulSoup и Requests, которые легко установить с помощью pip3 install beautifulsoup4 requests. После установки доступны следующие команды:
Сбор данных с сайтов:
python3 email2phonenumber.py scrape -e target@email.com
Эта команда проверяет, возможно ли получить части телефонного номера, зная только email, через формы восстановления пароля.
Генерация списка номеров по маске:
python3 email2phonenumber.py generate -m 555XXX1234 -o /tmp/dic.txt
На основе информации о номерах для конкретной страны создается база, пригодная для дальнейшего анализа.
Перебор номеров:
python3 email2phonenumber.py bruteforce -m 555XXX1234 -e target@email.com -p /tmp/proxies.txt -q
С этой командой инструмент пытается сопоставить email с телефонными номерами, используя различные сервисы и прокси для защиты от блокировок.
Недостатки и ограничения инструмента
Хотя email2phonenumber может быть полезен для исследователей безопасности, его практическая ценность в OSINT ограничена:
Ограничения сервисов: Многие сервисы (например, Ebay, LastPass, Amazon, Twitter) уже усилили свои меры защиты, добавив капчи и требование подтверждения через электронную почту. Это существенно снижает эффективность инструмента.
Требования к прокси: Для обхода капч требуется постоянное обновление списка прокси, что может быть как дорогостоящим, так и трудоемким процессом.
Этичность и законность использования: Хотя email2phonenumber создан для исследовательских целей, его использование может нарушать политику конфиденциальности некоторых сервисов, а также законы о персональных данных в различных странах.
Альтернатива и дальнейшее развитие:
После разработки email2phonenumber, Виго создал другой инструмент под названием Phonerator, который фокусируется на генерации валидных телефонных номеров. Это позволяет исследователям получать номера с большей точностью и меньшим количеством вызовов, снижая нагрузку на систему. Phonerator также сопровождается небольшим OSINT-челленджем, который помогает пользователям лучше понять принципы OSINT.
Сообщения блогов группы «Личные блоги» (www.securitylab.ru)