Share this page!

Enter URL or ID to Unroll

You can paste full URL like: https://x.com/threadreaderapp/status/1644127596119195649
or just the ID like: 1644127596119195649

How to get URL link on X (Twitter) App

  1. On the Twitter thread, click on or icon on the bottom
  2. Click again on or Share Via icon
  3. Click on Copy Link to Tweet
  4. Paste it above and click "Unroll Thread"!
  5. More info at Twitter Help
View Regular
Gael Profile picture
Gael
@GGtld
⚖️ IT/IP Eat, sleep, dream #Domainname / #Nomdedomaine #OSINT #syreli #udrp @germainmaureau

Mar 19, 2020, 12 tweets

1/12
Bonne illustration d'un travail d' #OSINT sur le #nomdedomaine pour identifier un réseau.

L'investigation provient de @fs0c131y suite à un tweet du député E.Bothorel.

Des arnaques en ligne surfent sur le #coronavirus

Qui gère ces sites ?

2/12
On constate depuis le début de la crise des vagues de dépôts de #nomdedomaine en lien avec le coronavirus (la plupart en vente). La nouveauté, c'est la combinaison d'une forte de demande sur certains produits (masque/gel) et du #dropshipping

3/12
Partant des premiers sites signalés (dont ma-petite-pharmacie.fr), @fs0c131y a enquêté autour des #NDD


L'objectif est de :
1-récupérer un max d'infos et #footprint
2-identifier les #patterns
3-faire du reverse sur tout ça
4-Recommencer

4/12
#Whois : première surprise, les infos whois sont dispo.
Bidons mais dispo. L'email est la seule valeur sûre car elle permet de garder la main sur le NDD.
#Reversewhois : ça passe ! d'autres sites, et donc d'autres empreintes remontent

5/12
#DNS : les sites se basent sur #cloudfare, impossible de sortir une info pertinente au regard du volume (faux positifs)
#SSL : Idem, le champs #SAN est rattaché à cloudfare, rien de pertinent

6/12
✅Footprint web : les sites sont référencés et ont une structure similaire. Avec la requête qui va bien, il est possible de remonter d'autre sites et noms de domaine

7/12
Après une rapide reconnaissance, une douzaine de domaines sont identifiés, et autant d'information whois.
Différents patterns (date d'enregistrement, registrar, MX) permettent de confirmer la consolidation

8/12
Autant d'information whois, avec des #registrars différent .... et le risque arrive! Un des #whois est plus bavard que les autres.

9/12
Une société apparait finalement avec une identité à la clé. Ce qui permet de remonter d'autres structures (qui pourraient également être utilisées par la suite pour d'autres reverse whois)

10/12
L'hypothèse du dropshipping semble confirmée :

11/12
Quelques recherches sur Google permettent d'obtenir d'autres info. Le nom du dirigeant apparait un peu partout sur internet pour des affaires diverses et variées...


12/12
Rester sous les radars restera toujours limité par l'automatisation (pattern) et le besoin d'être référencé (footprint) !
#Osint #domains #corona #scam

Share this Scrolly Tale with your friends.

A Scrolly Tale is a new way to read Twitter threads with a more visually immersive experience.
Discover more beautiful Scrolly Tales like this.

Keep scrolling