Co możesz wyczytać z samego adresu e-mail?
Adres e-mail to punkt wejścia do całego łańcucha informacji. Z samego adresu możesz wyciągnąć login, domenę, dostawcę poczty. Z tych danych – konta w innych serwisach, zdjęcia profilowe, ślad w wyciekach danych. Czasami jedna z tych technik daje odpowiedź od razu. Częściej musisz połączyć kilka tropów, żeby ułożyć pełny obraz.
Zanim sięgniesz po jakiekolwiek narzędzie, przeanalizuj sam adres. Składa się z dwóch części: loginu (przed małpą) i domeny (po małpie). Obie mówią Ci coś innego.
Login – potencjalny pseudonim lub tożsamość
Login mówi wprost: masz prawdopodobne imię i nazwisko. Taki format jest typowy dla firm i działalności gospodarczych.
Login mówi mniej, ale nadal masz pseudonim, którego ta osoba prawdopodobnie używa też gdzie indziej. Ludzie są przewidywalni – ten sam nick często pojawia się na kilku platformach. Narzędzia takie jak Sherlock czy Maigret mogą automatycznie sprawdzić setki serwisów pod kątem tego samego pseudonimu.
Domena – kto obsługuje pocztę?
Jeśli domena to gmail.com, outlook.com czy wp.pl – wiesz, że to publiczny dostawca poczty i domena sama w sobie nie daje dodatkowych informacji.
Ale jeśli domena to np. itdevelop.pl – masz nazwę firmy lub projektu. Możesz ją sprawdzić w przeglądarce, w KRS, w CEIDG. To może od razu doprowadzić Cię do właściciela.
Dodatkowy krok: sprawdź rekordy MX domeny w DNS. Komenda dig MX domena.pl w terminalu pokaże Ci, kto obsługuje pocztę dla tej domeny. Jeśli zobaczysz google.com w wynikach – wiesz, że właściciel korzysta z Google Workspace, co oznacza konto Google z dodatkowymi danymi do zbadania.
CYBERGURU NA ŻYWO
Kalendarz darmowych szkoleń
Zapomnij o domysłach z forów internetowych czy niesprawdzonych tutorialach.
Wejdź do świata OSINT-u, poznaj mechanizmy Darknetu i zobacz, jak zniknąć z radarów i chronić swoją tożsamość.
Spotykamy się na żywo, rozwiązujemy realne case’y i rozkładamy zagrożenia na czynniki pierwsze.
Sprawdź nasz harmonogram i dołącz do sesji, która Cię interesuje – czas na Twój ruch w cieniu.
Narzędzia do śledztwa na bazie e-maila
|
Narzędzie |
Co robi |
Koszt |
|
OSINT Industries |
Skanuje 1500+ źródeł, zwraca powiązane konta, zdjęcia, timeline aktywności, wycieki |
Płatne |
|
Epieos |
Sprawdza email na 140+ platformach, zwraca powiązane konta (Google, Skype, Gravatar itp.) |
Freemium |
|
Hunter.io |
Wyszukiwanie emaili po domenie, weryfikacja istnienia skrzynki, odwrotne wyszukiwanie |
Freemium (25 zapytań/mies.) |
|
Have I Been Pwned |
Sprawdza, czy email pojawił się w znanych wyciekach danych |
Darmowe |
|
Gravatar |
Sprawdza, czy do emaila jest przypisane zdjęcie profilowe (awatar) |
Darmowe |
|
emailrep.io |
Reputacja adresu email – czy to spam, jak stary jest adres, czy był widziany w wyciekach |
Darmowe (ograniczone) |
|
Google / Bing / Yandex |
Wpisanie adresu email w wyszukiwarkę – najprostsza i często najskuteczniejsza metoda |
Darmowe |
Proces śledztwa – od adresu e-mail do tożsamości
Krok 1: Wpisz adres w wyszukiwarkę
Zacznij od najprostszego: wpisz cały adres email w Google w cudzysłowie („”). Sprawdź też Bing i Yandex – każda wyszukiwarka indeksuje inne strony. Szukasz komentarzy na forach, profili na stronach firmowych, wpisów na blogach, dokumentów PDF – czegokolwiek, gdzie ten adres się pojawił.
To jest pierwszy krok, który wiele osób pomija, a który potrafi dać odpowiedź w 30 sekund.
Krok 2: Sprawdź domenę
Jeśli domena nie jest publicznym dostawcą (Gmail, Outlook, WP) – wejdź na nią w przeglądarce. Sprawdź, kto jest właścicielem domeny (WHOIS). Sprawdź rekordy MX komendą dig MX domena.pl, żeby ustalić dostawcę poczty.
Krok 3: OSINT Industries lub Epieos
Wprowadź adres email w OSINT Industries (płatne) lub Epieos (darmowa alternatywa). Te narzędzia przeszukują setki źródeł i zwracają powiązane konta, zdjęcia profilowe, timeline aktywności, informacje o urządzeniach, z których korzystano.
Szczególnie dużo danych dostaniesz, jeśli email jest powiązany z kontem Google – wtedy OSINT Industries wyciąga informacje o recenzjach Google Maps, zdjęciach w Google Photos, aktywności na YouTube i innych usługach Google.
Krok 4: Hunter.io – weryfikacja i odwrotne wyszukiwanie
Hunter.io ma trzy przydatne funkcje:
- Domain Search– wpisujesz domenę firmy, dostajesz listę publicznie dostępnych adresów email pracowników.
- Email Verifier– sprawdza, czy dany adres email istnieje i jest aktywny. Przydatne, żeby potwierdzić, że nie gonisz za martwym adresem.
- Email Finder– podajesz imię, nazwisko i domenę, a Hunter odgaduje prawidłowy adres email. Działa też w drugą stronę – masz email, dostajesz potwierdzenie tożsamości.
Krok 5: Gravatar i zdjęcia profilowe
Gravatar to usługa, która przypisuje zdjęcie profilowe do adresu email. Wiele platform (WordPress, GitHub, Slack) korzysta z Gravatara automatycznie. Sprawdzenie jest proste – wystarczy odpowiedni URL z hashem MD5 adresu email.
Jeśli znajdziesz zdjęcie, możesz je wrzucić do wyszukiwarki obrazów (TinEye, Google Images) i sprawdzić, gdzie jeszcze się pojawia. To może doprowadzić Cię do profilu LinkedIn, artykułu prasowego albo innego konta z pełnymi danymi.
Krok 6: Wycieki danych
To najtrudniejszy etycznie, ale często najskuteczniejszy krok. Jeśli adres email pojawił się w wycieku danych (np. z serwisu Morele, Canva, LinkedIn), w bazie mogą być: imię, nazwisko, numer telefonu, hasło, a czasem nawet adres zamieszkania.
Zacznij od Have I Been Pwned (haveibeenpwned.com) – darmowy serwis, który powie Ci, w których wyciekach pojawił się dany adres. To jest legalne i bezpieczne – HIBP nie udostępnia samych danych z wycieku, tylko informację o tym, że wyciek miał miejsce.
Jeśli HIBP potwierdzi udział w wyciekach, możesz sprawdzić szczegóły w serwisach takich jak LeakPeak czy TheChanced – ale tu wchodzisz na teren płatny i etycznie wrażliwy. Dane z wycieków to informacje, które nie powinny być publiczne. Korzystaj z nich tylko w uzasadnionych celach śledczych i pamiętaj o aspektach prawnych.
POZNAJ CYBERAKADEMIĘ
Skoro już tu jesteś - rozwiń swoje cyberumiejętności!
Podstawy cyberbezpieczeństwa w przystępnej formie. Dowiedz się, jak chronić siebie i swoich bliskich w internecie – od bezpiecznych haseł, przez rozpoznawanie phishingu, po ochronę prywatności online. Idealny start dla początkujących.
DarkINT to praktyczny kurs wejścia na Darknet od zera. Krok po kroku budujesz bezpieczne środowisko, tworzysz tożsamość operacyjną, konfigurujesz komunikację i uczysz się poruszać po ukrytych społecznościach – bez teorii na sucho, z pełną symulacją na koniec.
Realne scenariusze – kiedy to się przydaje?
- Weryfikacja kontrahenta – Dostajesz ofertę biznesową z adresu email na nieznanej domenie. Sprawdzasz domenę, rekordy MX, KRS, Hunter.io – w 5 minut wiesz, czy firma istnieje i kto za nią stoi.
- Podejrzany email – Ktoś wysyła Ci wiadomość z ofertą, która brzmi zbyt dobrze. Wrzucasz adres w Google, sprawdzasz na spamlistach (emailrep.io), weryfikujesz w HIBP. Okazuje się, że adres jest na liście spamerów – oszczędzasz sobie problemów.
- Śledzenie powiązań – Masz pseudonim (login z emaila), szukasz go Sherlockiem na 600+ platformach, znajdujesz profil z tym samym nickiem na forum, tam jest zdjęcie, zdjęcie wrzucasz do TinEye, TinEye prowadzi do artykułu z imieniem i nazwiskiem. Łańcuch zamyka się.
- Dane z wycieku łączą dwie tożsamości – Osoba ma firmowy email () i anonimowy email (). Oba pojawiają się w różnych wyciekach, ale z tym samym hasłem. To powiązanie – jedno hasło, dwa konta, jedna osoba. To realne i częste.
Na co uważać – aspekty prawne i etyczne
Wszystkie techniki opisane w tym artykule opierają się na publicznie dostępnych źródłach. Ale sama legalność dostępu do informacji nie oznacza, że możesz z nią zrobić wszystko.
Zbieranie informacji z publicznych źródeł jest legalne – to fundament OSINT.
Wykorzystanie tych informacji do nękania, szantażu czy naruszania dóbr osobistych jest nielegalne – niezależnie od tego, jak je zdobyłeś.
Dane z wycieków to szara strefa. Sprawdzenie w HIBP, czy email był w wycieku – legalne. Pobieranie i przeglądanie pełnych baz wycieków – prawnie ryzykowne, nawet jeśli dane są „publicznie” dostępne na forach.
Cierpliwość i konsekwencja to podstawowe cechy, które będą Ci potrzebne w OSINT. Czasem jedna technika daje odpowiedź natychmiast. Częściej musisz połączyć kilka tropów, a każdy z nich daje tylko okruszek informacji. Umiejętność układania tych okruszków w całość – to właśnie jest biały wywiad.
FAQ – najczęstsze pytania
1. Czy mogę namierzyć kogokolwiek po adresie e-mail?
Nie zawsze. Jeśli ktoś świadomie dba o swoją prywatność – założył email przez VPN, używa go tylko do jednego celu, nie powiązał z żadnym kontem – możesz nie znaleźć nic. OSINT działa najlepiej na osobach, które zostawiają ślad cyfrowy, nie dbając o OPSEC.
2. Czy sprawdzenie czyjegoś emaila w OSINT Industries jest legalne?
Tak. OSINT Industries korzysta z publicznie dostępnych źródeł. Nie włamuje się na konta, nie przechwytuje komunikacji. Wyniki opierają się na danych, które ktoś sam udostępnił (profile, komentarze, recenzje) lub które wyciekły do publicznej domeny.
3. Co zrobić, jeśli nie mam budżetu na płatne narzędzia?
Google z operatorami wyszukiwania (darmowe), Epieos (darmowe z limitem), Have I Been Pwned (darmowe), Gravatar lookup (darmowe) i Sherlock do sprawdzania pseudonimów (darmowy, open-source). To wystarczy do większości prostych śledztw.
4. Jak sprawdzić, czy mój własny email jest bezpieczny?
Wpisz go w haveibeenpwned.com – zobaczysz, w których wyciekach się pojawił. Jeśli tak – zmień hasła we wszystkich serwisach, w których używasz tego emaila. Używaj unikalnych haseł do każdego serwisu i włącz dwuskładnikowe uwierzytelnianie (2FA) wszędzie, gdzie to możliwe.
5. Czy wyciek danych zawsze oznacza, że ktoś może mnie namierzyć?
Zależy od tego, co wyciekło. Jeśli w wycieku jest tylko email i zahashowane hasło – ryzyko jest umiarkowane. Jeśli wyciekły imię, nazwisko, numer telefonu i adres zamieszkania – Twoja tożsamość jest w zasadzie odkryta dla każdego, kto wie, gdzie szukać. Dlatego warto regularnie sprawdzać swoje emaile w HIBP i reagować na wycieki.
O autorze
Od ponad 15 lat pracuję w branży IT, a od 2018 roku zawodowo zajmuję się cyberbezpieczeństwem, analizą incydentów i testami penetracyjnymi.
Na co dzień mam do czynienia z prawdziwymi danymi, realnymi zagrożeniami i sytuacjami, w których błędne założenie kosztuje czas, pieniądze albo bezpieczeństwo. To doświadczenie bardzo mocno ukształtowało mój sposób myślenia – i dokładnie ten sposób myślenia chcę Ci przekazać w Cyberdetektywie.
Ten kurs powstał dlatego, że przez lata widziałem, jak wiele problemów bierze się z braku umiejętności weryfikowania informacji, łączenia faktów i odróżniania danych od domysłów. W pracy z incydentami i bezpieczeństwem bardzo szybko wychodzi na jaw, kto potrafi analizować sytuację, a kto tylko zgaduje – i ta różnica jest kluczowa również poza światem IT w zupełnie prywatnych warunkach.
Cyberdetektyw nie jest kursem teoretycznym ani zbiorem efektownych trików. To próba przeniesienia podejścia znanego z cyberbezpieczeństwa i pentestów do świata OSINT-u. Pokażę Ci nie tylko narzędzia i techniki, ale przede wszystkim tok myślenia, który wykorzystuję w swojej pracy.
