文章脉络图 图源:福韵原创图片
网站内容
我们在调查一个网站的时候,首先要先大致了解这个网站所呈现的内容,比如关于他们的简介、在页脚或其他地方的描述性内容,具体可以挖掘的内容如下:
-
网站页面是否标识所有者或企业实体名称;
-
是否在主页或其他页面的最底部的版权声明中列出了公司或个人;
-
是否在隐私政策或条款和条件中列出任何姓名、地址或公司实体?
-
这些名字或公司是否与页脚、关于页面或网站其他地方列出的不同?
-
如果该网站发表文章,注意署名以及它们是否是可点击的链接。如果是的话,看看它们是否指向有更多信息的作者页面,如个人简历或作者的社交媒体账户链接;
-
该网站是否有相关的社交媒体账户?
-
该网站是否列出了任何产品、客户、推荐或其他可能有联系并值得研究的人或公司?
-
一定记得在主页之外挖掘:点击所有的主菜单,向下滚动到页脚,找到值得访问的其他页面。
检查网站内容的一个重要目的是看它是否是原创。该网站的 “关于” 页面或其他一般文本是否是从其他地方复制的?该网站是否传播虚假信息或误导性信息,或帮助推动特定的议程?
2018年有一个大型的数字广告欺诈项目,该项目涉及移动应用程序和内容网站,以及空壳公司、假雇员和假公司。调查人员最终发现有超过35个网站与该计划有关。
识别许多网站的最简单方法之一是复制一个网站的关于页面上的文字,并将其粘贴到谷歌搜索框中,就会立即发现大约有20个网站的文字完全相同,由此可知,它们是一个宣传网络。
欺诈者还为他们的幌子公司创建了网站,以帮助他们在广告网络的潜在合作伙伴来访进行尽职调查时显得合法。一个例子是一家名为 Atoses 的公司。它的主页上列出了几个员工的头像。使用 Yandex 的反向图像搜索(好用的人脸图像搜索)很快就能发现,其中有几个是盗取的图像:
Atoses 在其网站的页脚也有这样的文字:“我们精心打造精美实用、相互联系的生态系统,使企业成长,并在网络媒体和用户之间建立持久的关系”。
这段文字也出现在至少两家营销机构的网站上。
如果一家公司在其网站上使用的员工照片是来自互联网图片库,并且公司介绍是抄袭的文字,那么这个网站和公司很有可能就是虚假的。
除了从网站上的文章中复制和粘贴文字,并将其输入谷歌或其他搜索引擎。我们还有以下几个方法:
-
取一个网站的URL并在谷歌中搜索。
例如,“forbesbusinessinsider.com” 。这样我们就可以知道该网站有多少页面被索引,也可能会出现其他人报道或谈论该网站的例子。我们也可以通过加载谷歌新闻的主页并在搜索框中输入 “forbesbusinessinsider.com” 来检查该网站是否被列入了谷歌新闻中。
-
将网站的URL粘贴到 Twitter.com 或 Facebook.com 的搜索栏中。我们就可以知道在 Facebook 上是否有人会链接到该网站。
在我们对网站的内容进行深度挖掘之后,我们就可以大致了解到该网站的传播方式和传播渠道。这方面的调查有两个工具可用:BuzzSumo 和 CrowdTangle。
注册信息
网络上的每个域名都是一个中央数据库的一部分,该数据库存储了有关其创建和历史的基本信息。幸运的话,我们可以找到有关支付注册域名的个人或实体的信息。
我们也可以通过 whois 搜索来调出这些信息,许多免费的工具都提供这种搜索。还有一些很好用的免费和低价的工具,可以带来额外的信息,如谁在一段时间内拥有一个域名、它被托管的服务器、以及其他有用的细节。
有一点需要注意的是,当你注册一个域名时,为保护你的个人信息而付费是相对便宜的。如果你对一个域名进行 whois 搜索,结果列出了诸如 “注册隐私”“WhoisGuard保护” 或 “Perfect Privacy LLC ” 的注册人,这意味着它受到了隐私保护。即使在这些情况下,Whois 搜索仍然会告诉你该域名最近的注册日期、何时到期以及该网站所在的互联网IP地址。
DomainBigData 是调查域名及其历史的最佳免费工具之一。我们还可以输入电子邮件或个人或公司的名称,通过这些数据而不是URL进行搜索。此外,还有 DNSlytics、Security Trails 和 Whoisology。一个很好的但更贵的选择是 DomainTools 的 Iris 调查产品。
在 DomainBigData 搜索 newsweek.com。立即看到所有者并没有为隐私保护付费。这里有一个公司的名字,一个电子邮件地址,电话和传真号码。
还可以看到,这个实体自1994年 5 月以来一直拥有这个域名,而且该网站目前的主机是52.201.10.13 这个IP地址。
接下来要注意的是,该公司的名称、电子邮件和IP地址都是链接,这意味着它们可以将我们引向属于 Newsweek LLC 的其他域名。
例如 [email protected],以及托管在同一IP地址的其他网站。这些联系在调查中是非常重要的,所以查看同一人或实体拥有的其他域名是很重要的。
至于IP地址,要注意完全没有联系的网站可能被托管在同一台服务器上。这通常是因为人们使用同一家托管公司来托管他们的网站。一般的规则是,在同一服务器上托管的网站越少,它们就越有可能相关,但这并不确定。
如果你看到一个服务器上有数百个网站托管,它们之间可能没有所有权连接。但是,如果你看到只有九个,例如,你感兴趣的那个网站有私人注册信息,就值得对其他八个域名进行whois搜索,看看它们是否可能有一个共同的所有者,以及这个人是否可能也拥有您正在调查的网站。人们可能为一些网络域名支付隐私保护费,但却忽略了对其他域名的保护。
使用IP、内容和注册信息是识别网络和其背后行为者的最基本方法。
下面来看看另一种利用网页代码调查网站的方法。
源代码分析
首先是查看网页的源代码,然后在其中搜索,看是否能找到谷歌 Analytics 和谷歌AdSense 代码。这些都是来自谷歌的大受欢迎的产品,使网站所有者能够跟踪网站的统计数据或通过广告赚钱。
一旦集成到一个网站,每个网页都会有一个独特的ID,与网站所有者的 Analytics 或 AdSense 账户相连。如果有人经营多个网站,他们往往使用同一个 Analytics 或 AdSense 账户来管理这些网站。这就为调查人员提供了机会,通过在源代码中找到相同的ID,就可以将看似独立的网站连接起来。
首先,进入目标网站,使用 dentondaily.com。在Mac版Chrome浏览器中,选择 “查看” 菜单,然后选择 “开发人员” 和 “查看源代码”。这将打开一个包含网页源代码的新标签。在PC版的Chrome浏览器中,按ctrl-U键。
所有谷歌Analytics的ID都以 “ua-” 开头,然后有一串数字。AdSense ID 有 “pub-” 和一串数字。我们可以通过在页面上进行 “查找” 在源代码中找到它。在Mac上是 command-F;在PC上是 ctrl-F。这就会出现一个小的搜索框。输入 “ua-” 或 “pub-”,然后就会看到页面中的任何ID。
如果你找到一个ID,复制它并将其粘贴到 SpyOnWeb、DNSlytics、NerdyData 或 AnalyzeID 等服务的搜索框中。我们可能从每个服务中会收到不同的结果,所以测试一个ID并比较结果很重要。在下面的图片中可以看到 SpyOnWeb 发现了三个具有相同 AdSense ID 的域名,但 DNSlytics 和 AnalyzeID 又发现了其他几个域名。
有时一个网站在过去有一个ID,但现在已经不存在了。这就是为什么必须在任何其他据称有这些ID的网站上使用同样的查看源代码方法,以确认它们的存在。
但是,AdSense 和 Analytics 的ID仍然存在于 Wayback Machine 中一个网站的存档版本中。因此,如果你在一个现存的网站上没有找到ID,一定要检查 Wayback Machine。
所有这些服务都可以免费提供一些结果,但通常需要付费才能得到完整的结果,特别是如果你要追踪的ID在很多其他网站上都存在的话。
关于检查源代码的最后说明。即使看不懂HTML、JavaScript、PHP或其他常见的网络编程语言,也需要扫描整个页面。例如,如果人们重复使用相同的设计模板,有时会忘记改变页面或网站的标题。这个简单的错误可以提供一个连接点。
比如调查 Atoses这样的幌子公司的广告欺诈计划,其中牵涉到一家名为 FLY Apps 的公司。查看该公司网站单页的源代码,其中包含了纯文本的 “Loocrum” 一词(如下):
在谷歌上搜索这个词,发现一家名为 Loocrum 的公司,其网站设计与 FLY Apps 完全相同,并且有一些相同的内容。通过whois搜索发现,用于注册 loocrum.com 的电子邮件地址也被用来注册相关调查中发现的其他空壳公司。
FLY Apps 和 Loocrum 之间的这种联系提供了重要的补充证据,证明经营 FLY Apps 的四个人与整个欺诈计划有关。而且,只需简单地滚动一下源代码,寻找看起来不合适的纯文本单词,就可以发现这一点。
结论
即使有了上述所有的方法和工具,我们仍然有可能陷入死胡同。但是,分析师还是不能放过任何一个细节,需要点击每一个链接,仔细研究内容,阅读源代码,并努力调查我们能想到的其他任何东西,以揭示网站背后的神秘面纱。
本篇文章为福韵原创内容,未经授权禁止转载
福韵原创IP形象设计,原创勿盗,侵权必究
封面来源:摄图网可商用图片
原文始发于微信公众号(福韵 开源情报研究):【情报百科】深度挖掘可疑网站,揭示网站背后真相
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论