email2phonenumber — это инструмент , разработанный исследователем безопасности Мартином Виго для OSINT (Open Source Intelligence), который позволяет потенциально получить номер телефона цели, зная ее адрес электронной почты. Основанная на анализе уязвимостей процессов восстановления пароля и данных, доступных в открытых источниках, эта программа демонстрирует, как такие уязвимости могут быть использованы в целях разведки. Инструмент представляет собой концепт, показывающий проблемы безопасности, присущие многим онлайн-сервисам, и подчеркивает, насколько важно защищать персональные данные пользователей.
Основные возможности email2phonenumber
email2phonenumber поддерживает три главных функции:
-
Scrape — сбор частично замаскированных данных телефона с сайтов, инициируя процесс восстановления пароля, где требуется указать адрес электронной почты. Инструмент проверяет, выводятся ли фрагменты номера телефона во время этого процесса.
-
Generate — создание списка возможных телефонных номеров на основе маски, специфичной для страны. Это позволяет формировать базу номеров, которая может использоваться в последующих этапах проверки.
-
Bruteforce — последовательная проверка сгенерированных номеров путем отправки запросов на восстановление пароля для выявления совпадений по замаскированному адресу электронной почты. Используя прокси, эта функция помогает обойти капчи и другие защитные механизмы, что делает инструмент полезным для исследовательских задач в OSINT.
Применение и настройка
Для работы инструмента требуется Python 3.x и сторонние библиотеки, такие как BeautifulSoup и Requests, которые легко установить с помощью pip3 install beautifulsoup4 requests. После установки доступны следующие команды:
-
Сбор данных с сайтов:
python3 email2phonenumber.py scrape -e target@email.com
Эта команда проверяет, возможно ли получить части телефонного номера, зная только email, через формы восстановления пароля.
-
Генерация списка номеров по маске:
python3 email2phonenumber.py generate -m 555XXX1234 -o /tmp/dic.txt
На основе информации о номерах для конкретной страны создается база, пригодная для дальнейшего анализа.
-
Перебор номеров:
python3 email2phonenumber.py bruteforce -m 555XXX1234 -e target@email.com -p /tmp/proxies.txt -q
С этой командой инструмент пытается сопоставить email с телефонными номерами, используя различные сервисы и прокси для защиты от блокировок.
Недостатки и ограничения инструмента
Хотя email2phonenumber может быть полезен для исследователей безопасности, его практическая ценность в OSINT ограничена:
-
Ограничения сервисов: Многие сервисы (например, Ebay, LastPass, Amazon, Twitter) уже усилили свои меры защиты, добавив капчи и требование подтверждения через электронную почту. Это существенно снижает эффективность инструмента.
-
Требования к прокси: Для обхода капч требуется постоянное обновление списка прокси, что может быть как дорогостоящим, так и трудоемким процессом.
-
Этичность и законность использования: Хотя email2phonenumber создан для исследовательских целей, его использование может нарушать политику конфиденциальности некоторых сервисов, а также законы о персональных данных в различных странах.
Альтернатива и дальнейшее развитие:
После разработки email2phonenumber, Виго создал другой инструмент под названием Phonerator, который фокусируется на генерации валидных телефонных номеров. Это позволяет исследователям получать номера с большей точностью и меньшим количеством вызовов, снижая нагрузку на систему. Phonerator также сопровождается небольшим OSINT-челленджем, который помогает пользователям лучше понять принципы OSINT.
