Cómo crear cuentas Sock Puppet para OSINT en 2021

Cada día parece ser más y más difícil hacer cuentas de marionetas (es decir, 'falsas') para la investigación OSINT. Los servicios quieren más información. Requieren números de teléfono reales (no VOIP). Suponen usar una VPN = incompleto.

Personalmente, culpo a las granjas de trolls rusos.

Independientemente de las razones y restricciones, hay buenas noticias para nosotros, los investigadores de OSINT. Siempre que quieran permanecer en el negocio y crecer, los servicios deben permitir que se registren nuevos usuarios. Así que todo lo que tenemos que hacer es convencerlos de que eso es lo que somos: nuevos usuarios legítimos.

A partir de marzo de 2021, estos son los pasos exactos que he encontrado más exitosos al intentar crear una nueva cuenta de títere de calcetín desde cero. Tenga en cuenta que las cosas cambian rápidamente. Los sitios web se caen. Cambio de aplicaciones. Los servicios se adaptan. Al igual que durante una investigación, también debemos poder pivotar.

Siga esta guía de creación de marionetas con calcetines paso a paso, en orden cronológico, y no solo creará sus cuentas hoy, sino que aprenderá el proceso para el futuro. Intentaré mantener esto actualizado, pero si encuentra algún error o instrucciones desactualizadas, no dude en enviarme un correo electrónico a [email protected] .

Planifica la Persona

No caiga en la tentación de inventar cosas sobre la marcha. Al menos tenga estos conceptos básicos resueltos de antemano:

• Nombre/Edad/Género
  - FakeNameGenerator puede ayudar con esto
  
• Foto
  - Esta persona no existe puede ayudar con esto
  - Zoom de cerca en la foto para buscar fallas
  - Si necesita editar, pero no tiene Photoshop, use Photopea directamente en el navegador
  
• Bandera
  - Búsqueda de imágenes para un banner genérico que su persona probablemente usaría
  - por ejemplo, si 'usted' es un reclutador de 25 años en los EE. UU., busque la imagen 'banner de cita motivacional' y descargue uno

Utilice un administrador de contraseñas

A medida que cree nuevas cuentas, tendrá que ingresar muchos detalles sobre 'usted'. Su nombre, contraseñas, números de teléfono, fecha de nacimiento, preguntas de seguridad, etc. Los administradores de contraseñas gratuitos y de código abierto como Bitwarden (alojado en la nube) o KeePassXC (alojado localmente) pueden ser una excelente manera de realizar un seguimiento de todo.

Consigue un teléfono 'Burner'

Sí, en realidad necesitas un teléfono físico.
No, los teléfonos 'quemadores' no son ilegales.
De hecho, cualquiera que no tenga un teléfono fijo debería tener un teléfono adicional disponible en todo momento de todos modos. ¿Qué pasa si hay una emergencia y su teléfono principal se cae al agua, se congela sin motivo o simplemente no puede encontrarlo?

estoy divagando

Hoy en día, es casi imposible configurar cuentas (y mantenerlas vivas) sin tener un número de teléfono que no sea VOIP. Compra un Android barato y usado de la forma más anónima posible. Sé que es vago, pero una explicación detallada está más allá del alcance de este artículo. Investigue un poco, sea creativo y descubra cómo comprar uno con efectivo. Luego límpielo varias veces.

Obtener una tarjeta SIM

Una nueva tarjeta SIM te da un nuevo número de teléfono. No te hace anónimo. El dispositivo físico tiene una identificación de hardware que no se puede cambiar, por lo que no es difícil rastrear diferentes SIM hasta un solo dispositivo. Por lo tanto, la razón por la que pagó en efectivo por un nuevo dispositivo en el último paso.

Actualmente, si vive en los EE. UU., la mejor oferta en tarjetas SIM es la prueba de 7 días de Mint Mobile por $0.99 en Amazon . También puede comprarlo de forma anónima, si crea una nueva cuenta, paga con una tarjeta de crédito enmascarada de privacy.com y lo envía a un casillero de Amazon. Pero de nuevo, más allá del alcance aquí.

Apague su dispositivo, cambie a la nueva tarjeta SIM y vuelva a iniciarlo. Solo por diversión, continúe y borre ese dispositivo usado una vez más. No se puede ser demasiado cauteloso.

Ir a Wi-Fi público

No querrás hacer nada de esto en casa o en el trabajo donde compartes tu dirección IP real. Tampoco puede usar una VPN, ya que casi siempre le impedirá crear cuentas. Use una biblioteca local, un centro comercial o una cafetería. Trate de elegir un lugar que no esté justo al lado de su casa, pero que esté lo suficientemente cerca para viajar. Volverás aquí en el futuro.

Descargar aplicaciones

Descargue e instale las siguientes aplicaciones en este orden:

• F-Droid : Piense en esto como la App Store de Apple o Google Play, pero para aplicaciones gratuitas y de código abierto.
  
• Aurora Store : Descarga esto desde dentro de F-Droid. Este es tu reemplazo para Google Play. Desde dentro de Aurora Store, puede descargar todas las aplicaciones a continuación (y cualquier otra que normalmente encontraría en Google Play) sin que Google la rastree.
  
• Mint Mobile : use esto para activar su nuevo número de teléfono real.
  
• Authy (por Twilio): usará esto para configurar la autenticación de dos factores (2FA) para todas sus próximas cuentas. De esa manera, no necesitará el número de teléfono de Mint Mobile después de que expire la prueba. Siéntase libre de sustituir Authy por la aplicación 2FA de generación de tokens de software de su elección.

Configurar 2FA

Idealmente, usará un token de hardware como YubiKey cuando sea posible. No solo es el método más seguro de usar 2FA, es el más conveniente en mi opinión. Desafortunadamente, no todos los servicios lo usan, así que configura Authy (o la alternativa que elijas) también.

Haga su cuenta de correo electrónico de Pilar

Esta es su cuenta de correo electrónico central . Puede configurar servicios de reenvío u otras cuentas de correo electrónico más adelante, pero querrá tener una cuenta de correo electrónico principal y centralizada a la que reenvíe todo lo demás.

¿Qué servicio de correo electrónico debe utilizar? Bueno, eso es discutible. Desea una cuenta que se vea normal (lo que facilita la creación de cuentas). Los proveedores de correo electrónico centrados en la privacidad, como ProtonMail o Tutanota, a menudo son señalados. Los servicios de correo electrónico temporales también están fuera de discusión, ya que es probable que los necesite en el futuro. Odio decirlo, pero mi recomendación es:

Gmail

Sí, lo sé, es Google. Sí, te está espiando. Sí, ProtonMail y Tutanota son mejores. Sí, personalmente me duele recomendarlo, de ahí la falta de negrita .

Pero si siguió los pasos anteriores, no está conectado a usted de todos modos. Y dado que solo lo está usando para cuentas de marionetas, no debería importarle qué información tiene sobre 'usted'. Además, probablemente terminará usando un número de Google Voice aquí pronto, así que muerda la bala y configure una cuenta de Gmail.

Crear un número de VOIP

Mira, te dije que estarías configurando Google Voice. Sí, hay mejores opciones como MySudo. Incluso podría pasar por la molestia de comprar números manualmente directamente desde Twilio. Si tienes el tiempo y la paciencia para hacerlo, siéntete libre. Pero Google Voice es rápido, fácil, gratuito y, de todos modos, no le importa si se realiza un seguimiento de la información de sus personas. Simplemente elija su veneno y cree un número de VOIP para que no dependa de Mint Mobile.

Configure sus cuentas de marionetas de calcetines

Debe tener todo lo que necesita para crear sus cuentas, ya sea en Facebook, Twitter, LinkedIn, Instagram, etc. Tómese su tiempo, cree cada cuenta de principio a fin y almacene toda la información en su administrador de contraseñas durante la creación, en este ordenar:

• Crear la cuenta
  - Quiere verse lo más "normal" posible para el servicio
  - usar wifi público
  - no use una VPN
  - use su número verdadero (Mint Mobile) para la verificación
  
• Una vez que se crea la cuenta, navegue inmediatamente a la configuración de privacidad y seguridad
  
• Cambie el número de teléfono de su Mint a su número de VOIP
  
• Configurar 2FA usando Authy
  
• Salir completamente de la cuenta
  
• Vuelva a iniciar sesión con su nombre de usuario/contraseña de su administrador de contraseñas y el código Authy 2FA

Solo una vez que haya creado su cuenta y haya confirmado que puede iniciar sesión con Authy para 2FA, debe continuar con la creación del perfil.

Cree su perfil de cuenta

Dedica algo de tiempo a crear tu perfil. Imagina que en realidad eres esa persona que pretendes ser... ¿qué harían? Haz esas cosas. Como mínimo, asegúrese de:

• Agregar información personal aplicable
  - por ejemplo, nombre, trabajo, intereses, etc.
  
• Añadir la foto de perfil creada anteriormente
  
• Agregue el banner genérico que descargó anteriormente
  
• Me gusta o sigue algunos temas relevantes para tu personaje
  
• Encuentre algunos otros usuarios interesados en temas similares, como algunas de sus publicaciones, y sígalos (entre 5 y 10 personas es suficiente)

Ahora parar. No te excedas.

Cierre la sesión de esta cuenta y pase a la siguiente cuenta que desee crear. Lave, enjuague, repita.

Envejezca sus cuentas

¡Felicidades, lo hiciste! ¡Tienes cuentas de títeres de calcetines en funcionamiento! Ahora, ¿quieres tener que pasar por todo eso nuevamente en un día o dos?

No lo creo.

Nada evitará por completo que sus cuentas se cierren, pero puede hacer que sea menos probable al envejecerlas. Trate de no usarlos durante unos días, idealmente una semana. Deja que hiervan a fuego lento.

Luego, regresa al mismo lugar donde los creaste. Conéctese a ese mismo Wi-Fi público. Uno por uno, inicie sesión en cada cuenta e involucre a otros usuarios como lo haría su persona.
Sigue más temas.
Me gusta y compartir publicaciones.
Haz algunos comentarios.
Sigue a personas y solicita conexiones.
Enséñele al proveedor de servicios que 'usted' es una persona normal, que hace cosas normales, y que será menos probable que lo bloquee en el futuro. Una vez que haya hecho todo eso, desconéctese de todo y déjelo envejecer durante otra semana.

Ahora deberías estar listo para irte. Sus cuentas se crean y dependen únicamente de su número de VOIP y token de software 2FA. Sus perfiles parecen reales para los humanos y también bastante legítimos para los algoritmos. Siéntase libre de seguir adelante y OSINT.