OSINT: Come analizzare gli account ProtonMAIL e gli indirizzi IP di ProtonVPN usando ProtOSINT

Introduzione

N.B Questo articolo è stato scritto per soli scopi educativi e dedicato ai professionisti ed agli appassionati di OSINT. Non mi assumo la responsabilità per qualsiasi uso improprio delle informazioni da quì in poi presenti.

ProtOSINT è un tool ideato da pixelbubble e pubblicato su Github che ci da un’enorme aiuto quando indaghiamo sui servizi Proton. E’ suddiviso in 3 moduli che ci permetteranno di:

• [1] Testare l’esistenza di un account ProtonMAIL.
• [2] Scoprire se il nostro target è in possesso di un account ProtonMAIL generando molteplici indirizzi ottenuti collegando le informazioni inserite negli appostiti campi.
• [3] Scoprire se un indirizzo IP è collegato a ProtonVPN.

Requisiti tecnici

Python 3 (su Ubuntu Linux: sudo apt install python3-pip)

Installazione in Ubuntu Linux 20.04

1. Apri il terminale
2. Accertati di aver installato il comando GIT: sudo apt install -y git

3. clona il tool da Github: git clone https://github.com/pixelbubble/ProtOSINT

Come usare ProtOSINT

Una volta che è stato correttamente installato, per usare ProtOSINT dobbiamo prima indirizzarci versi il tool dal terminale.
Nel mio caso lo ha scaricato nella cartella Downloads ed inserito a sua volta nella cartella ProtOSINT, quindi: (occhio che è estremamente case-sensitive)

1. cd Downloads
2. cd ProtOSINT
3. python3 protosint.py (questo comando avvierà il tool)

Se tutto è andato a buon fine, il tool si presenterà così:

Caso reale di analisi di un account ProtonMAIL

A questo punto potete scegliere fra i 3 moduli che vi presenta (1,2 e 3) spiegati in Italiano nell’introduzione di questo articolo.
Per spiegarvi come funziona vediamo nel dettaglio un caso reale che ho affrontato qualche giorno fa:

• Volevo cercare alcune informazioni su un uomo di nome (nome di fantasia per proteggere la privacy) Edouard Charles, nato il 23/07/1989 (anche la data di nascita è di fantasia). Sapevo che usava ProtonMAIL grazie ad un post su facebook in cui indicava ai suoi amici di comunicare tramite appunto ProtonMAIL.
• Ho scelto di iniziare con il secondo modulo, così da poter provare a far indovinare a ProtOSINT il suo indirizzo protonmail:
  - Digitate il numero 2 e premete il tasto invio.
  - Vi chiederà di inserire i dati del target. Nel mio caso ho inserito First name: edouard, Last name: Charles, Year of birth: 7/23/1989 (modello anno di nascita USA). Per lo zip code lasciate pure in bianco.
• A questo punto il tool proverà diverse combinazioni in base ai criteri che gli abbiamo dato. Nel mio caso ne ha provati 48:

• Sapendo che l’account non era stato creato da molto, ho prediletto il primo risultato valido (edouardcharles@protonmail.com) creato nel 2018.
• ho quindi deciso di fare la controprova e testare l’effettiva validità dell’account utilizzando anche il primo modulo:
  - Riavviate il tool (python3 protosint.py).
  - Scegliete il modulo numero 1.
  - inserite l’email da validare.

Fatto. L’email è valida ed ora ho un ottimo punto di partenza per indagare sull’account del target.

Verificare se un indirizzo IP è associato a ProtonVPN

Verificare se un indirizzo IP è associato a ProtonVPN è davvero molto semplice. Infatti basterà riavviare ProtOSINT e scegliere il modulo numero 3 e digitare l’idirizzo IP da verificare. Il tool vi restituirà la risposta ed in caso di risposta affermativa avrete un ottimo spunto per indagare su un indirizzo IP.

Conclusione

Grazie a pixelbubble per questo fantastico tool!
Cliccate sul tasto per ricevere aggiornamenti su quando pubblico un nuovo articolo ed aggiungetemi pure su Linkedin per tenerci in contatto e per chiedermi quello che volete!