올바른 방법으로 Reverse WHOIS!

Source: Dev.to

🕵️‍♂️ 내 직불카드로 구매된 도메인을 추적한 방법

실제 OSINT 조사

최근 나는 기이한 상황에 처했다. 내가 아는 사람이 내 직불카드 정보를 사용해 도메인을 구매했다. 그때는 더 이상 금전 문제가 아니라 평판 문제가 되었다. 나는 그 도메인을 찾아내기로 결심했다.

🧾 내가 알았던 것

나는 눈이 멀고 시작한 것이 아니었다. 나는 다음을 가지고 있었다:

• 정확한 거래 시간
• 레지스트라: Namecheap
• 구매자를 강하게 의심 (개인 도메인일 가능성이 높음)

이것은 곧 미니 사이버 조사로 변했다.

🔍 시도 1: Reverse WHOIS API

접근 방식

• .edu 이메일로 로그인함 (Gmail 계정은 허용되지 않음)
• 다음으로 조회함:
  • 레지스트라 → Namecheap
  • 날짜 범위 → 구매일
  • 키워드 → 의심되는 이메일

문제
Reverse WHOIS는 데이터를 날짜 단위로 저장하며, 분 단위 정밀도는 없습니다. 나는 그 날 Namecheap을 통해 등록된 모든 도메인을 가져왔습니다 → 약 23,000개 도메인. 너무 많음.

🔎 검색 범위 좁히기

내가 알고 있던 것을 기반으로 패턴을 찾음:

• 가장 가능성이 높은 용도 → 개인 웹사이트
• 프리미엄 가격은 진지한 의도를 시사
• 인도 개인 도메인은 .xyz, .ai 등을 거의 사용하지 않음 → .com이 가장 가능성이 높아 보임

축소된 목록: ~5,200개 도메인 – 여전히 수동 확인하기엔 너무 많음.

🤖 AI 필터링 실험

AI에게 다음을 수행하는 스크립트를 생성하도록 요청함:

• 1,000개 도메인씩 배치
• Gemini API에 보내고, 인도 남성용 개인 웹사이트처럼 보이는 도메인을 식별하도록 프롬프트 제공

스크립트가 필터링된 결과를 반환했지만, 내가 원하는 도메인은 포함되지 않았음. Reverse WHOIS는 다음을 놓칠 수 있음:

• 프라이버시 보호된 등록
• 캐시되지 않은 항목

결과: 시도 1 실패

🏦 Attempt 2: Contacting the Registrar

I contacted Namecheap support about the fraudulent transaction. They:

• Blocked the account
• Refunded my money

But they refused to reveal the domain.

Result: Attempt 2 Failed

🗂 Attempt 3: ICANN CZDS Zone Files

I requested zone files via ICANN CZDS.

Problems:

• Approvals take time; .com requests are slower
• Back‑dated downloads aren’t available; the domain had already been taken down

Result: Inconclusive

🔐 Attempt 4: Certificate Transparency Logs (crt.sh)

I learned that if the domain hosted HTTPS, its SSL certificate must exist in CT logs.

Steps:

1. Queried crt.sh
2. Connected via Postgres and ran batch queries in 5‑minute windows

Issues

• Connection breakages
• SSL errors
• Slow processing

Progress was made, but no success yet.

🚀 시도 5: Google BigQuery + crt.sh 데이터셋

Steps

1. 데이터셋에 연결했습니다.
2. 구매 시간에 발급된 인증서를 조회했습니다.
3. .com 도메인만 필터링했습니다.

시간 창을 700 → 200 도메인으로 줄였습니다. 남은 항목을 수동으로 스캔한 결과, 목표 도메인을 찾아 해당 인물과 매칭했습니다.

결과: 성공

🤯 플롯 트위스트

Later I discovered that the domain 존재함 in my original Reverse WHOIS results. I ignored it because I doubted dataset completeness and trusted the AI filtering too much. Had I manually verified the 5,200 domains, I would have found it earlier.

🧠 교훈

• 항상 데이터를 검증하세요 – AI가 도움이 되지만 완전성을 가정하지 마세요.
• 인터넷 데이터셋은 완벽하지 않다 – 각각은 현실의 일부분만 포착합니다.
• OSINT는 인내가 필요하다 – 인내 부족은 복잡성보다 조사 속도를 늦춥니다.
• 자동화는 도움이 되지만, 수동 검증이 승리합니다.
• Certificate Transparency 로그는 금과 같습니다.

🏁 최종 생각

이 글에서 한 가지라도 배운다면:

• 데이터를 두 번 확인하세요.
• 믿되, 검증하세요.
• 인내심을 기르세요.

인터넷은 언제나 흔적을 남깁니다—그 흔적을 어디서 찾아야 할지 알면 됩니다.

안녕.