Cómo detectar servicios que parecen legítimos pero son un fraude

El proceso OSINT, que os he detallado bien en mi libro sobre investigación en redes sociales, es un método cada vez más usado por empresas, investigadores, usuarios finales y cualquiera que tenga un interés (incluso ilegítimo en el caso de los criminales) en buscar información sobre una persona. A través de un nombre, una cuenta de email, un pseudónimo, etc. se puede llegar a personas claves dentro de una organización y a obtener datos personales de interés.

http://searchsherlock.com/ apareció hace más de 12 años, en los comienzos de Facebook e indexaba aquella información que encontraba de una red social o app social procedente de un proceso de registro como un correo electrónico, un alias, etc. Si alguien quería hacer “contrainteligencia” y buscar información sobre nosotros, searchsherlock era una aplicación bastante útil.

El ser humano es un animal de costumbres

No solo podemos ser localizados a través de las redes sociales, servicios o apps usados con más frecuencia sino que, a veces, nos inscribimos en servicios que no utilizamos habitualmente para poder acceder a un determinado contenido de forma concreta como por ejemplo, Scribd, Vimeo, Github, con el único fin de obtener la información o el servicio que necesitamos en ese momento.

Lo habitual es que un usuario no utilice Internet para cometer delitos ni tenga necesidad de esconder su huella digital, por lo que suele aportar el mismo email o alias para otros servicios. Esto hace que el proceso de asociación entre sus distintos perfiles sea más fácil.

Searchsherlock es totalmente gratuito… XO

Hubo un tiempo, y no es una leyenda, que searchsherlock era un servicio útil para encontrar información personal. Pero en los tiempos que corren (más como está la cosa), los servicios web implementan medidas de seguridad, depuran código y corrigen fallos y vulnerabilidades que ponían al descubierto información que no debería aparecer, entre ella la que recoge o recogía searchsherlock.

En los buenos tiempos de este servicio, si realizábamos una simple búsqueda por email o usuario en alguna de sus webs de inicio por people sherlock, user sherlock, email sherlock o serach sherlock, obteníamos ciertos resultados:

Pero no son buenos tiempos para la lírica ni para estos servicios, que incorporan en los resultados de sus búsquedas información de tipo personal. El objeto de estas webs sigue siendo un buen anzuelo para acabar pagando dinero por un fraude. Las webs corrigen agujeros, fallos o, simplemente, las aplicaciones y redes sociales, no te permiten el acceso a su información… y ¡Hay que comer! Como dicen algunos, aunque sea engañando al usuario de turno.

No sé si recordáis el funcionamiento de los servicios “I have been pawned” o “He sido hackeado” de los que ya hemos hablado y que se hacen eco de las fugas de información que sufren las empresas y cualquier servicio web si tu email aparece publicado en la Deep Web, los foros underground, pastes y demás listas negras.

El funcionamiento de este megacrawler es el mismo pero busca emails e información hackeada expuesta en los mercados negros o difundida por webs públicas.

Cuidado con searchsherlock.

Lo que fue un útil servicio OSINT para investigadores y cualquiera que tuviera un interés legítimo, o no, en obtener información personal a través de diferentes perfiles en este servicio, se ha convertido en un burdo fraude. Repetí el proceso con un email verificado.

Busca que te busca en el rincón de los recuerdos… Entre medias, algún banner provocador que le da más emoción a la espera y si pulsas sobre él, te lleva directamente al pago del reporte ¿Para qué van a esperar?

Hasta que te ofrece unos resultados. Todo negativo excepto algún dato y unos “antecedentes” criminales encontrados à “Click here” o “Pulsa aquí, querid@”. Y pulso. (Estas comprobaciones no las hagáis sin saber antes donde te lleva el enlace que pulsas)

En los resultados también te ofrecen tres enlaces para que accedas a “imágenes y otros archivos ocultos” que esconde la web:

¡Anda! Mi búsqueda es satisfactoria, 1 resultado encontrado. Pulsa para ver los detalles:

Y todos te llevan al mismo sitio: PAGA.

Te ofrecen el supuesto “reporte” por una cantidad mínima para que no te lo pienses mucho pero si lees sus términos y condiciones, estás firmando un contrato que va hacer que tu curiosidad investigativa te salga más caro de lo que pensabas.

Repetí el proceso con mi nombre y con dos cuentas de correo electrónico verificadas más. Siempre acabas en el mismo sitio:

Así que me cree una nueva cuenta de correo y probé mi última búsqueda:

Si nos ponemos a hacer algunas averiguaciones, todos los dominios guardan relación con los datos del registrante de estas páginas, a parte de tener unos datos de contacto relacionados con teléfonos de dudosa procedencia y reputación relacionados con números reportados como una estafa. Podríamos seguir aportando datos sospechosos.

Espero que estas simples comprobaciones te hayan servido para no confiar a la primera de cambio en cualquier servicio, aunque tenga fama o apariencia de legitimidad. Quizá tenga algo que ver que entre el 2008 y 2010 el dominio inicial legítimo desapareciera y pasara a manos de otros que supieron ver una “línea de negocio” con el supuesto mismo fin, pero criminal. Si Sherlock Holmes levantara la cabeza y viera en qué ha quedado su reputación online… Una pena.