Всем привет! Меня зовут Максим, я специалист по информационной безопасности РТК-ЦОД. Хочу рассказать вам об Open Source Intelligence (далее везде буду сокращать до аббревиатуры OSINT) и его применении в повседневной жизни с разными целями. Перефразируя известную поговорку, предупрежден — значит, защищен.
Что это такое и немного истории
С английского термин переводится как «разведка на основе открытых источников». Это систематизированный процесс поиска в интернете — не взлом и не покупка слитых баз — общедоступной информации и ее дальнейшая аналитика, что позволяет подготовить отчет о человеке, компании или онлайн-ресурсе.
К методам OSINT прибегают для того, чтобы проверить:
потенциального бизнес-партнера
будущего сотрудника
подлинность сайта
реальность существования компании
время и геолокацию съемки по фото
В отличие от простого поиска информации в Сети, OSINT подразумевает ее накапливание для решения проблемы или задачи с заранее сформированным видением результата. В качестве примера — обычная жизненная ситуация. Логистическая компания везла ценный груз из Москвы в Новосибирск, и водитель-дальнобойщик пропал со связи. Сотрудники проанализировали его примерное местоположение по недавним фото в соцсетях, изображениям с доступных публичных камер на маршруте и прочли переписку в открытом чате дальнобойщиков. Сведение воедино данных из открытых источников помогло установить, что водитель не пропал, а столкнулся с техническими неисправностями и временно был не на связи. Вот так применение OSINT позволило не трепать нервы сотрудников и заказчика и сэкономить деньги: груз был доставлен вовремя, и компания избежала штрафа.
Разведка такого рода появилась еще в период ВОВ, когда для ознакомления с планами противника анализировали материалы в газетах, публичные заявления и другие открытые источники. С появлением интернета и с его проникновением во все сферы жизнедеятельности люди начали оставлять в Сети цифровой след. И чем больше времени мы проводим в Сети, тем больше следов оставляем.
Как это работает
OSINT от постановки цели и задачи до готового отчета с визуализацией — в большей степени детективная история. Каждый случай индивидуален, но их объединяет подход к поэтапному решению вопроса:
Этап 1. Четко формулируем задачу и цель. Чтобы не утонуть в море информации, нужно уже на старте иметь под рукой подборку надежных источников.
Этап 2. Выбираем подходящее техническое решени�� в зависимости от того, что предстоит анализировать — фото или текст. Специалисты чаще всего применяют приложения из списка ниже:
Поисковые операторы Google Dorks способствуют ощутимому ускорению процесса поиска и сбора информации в повседневной жизни;
Приложение по визуализации Maltego. Поскольку удерживать в голове огромный объем информации довольно трудно, лучше всего в удобном формате визуализировать данные и их взаимосвязь. Однако такая визуализация рискует обернуться фиксацией артефактов между собой на доске, рисованием тяжеловесных схем и графиков. Maltego — идеальная замена стародавних детективных приемов;
SpiderFoot агрегирует данные из множества разнородных источников — телефонный номер, домен, IP-адрес сайта — и структурирует их в Excel. Недостаток в том, что данные, которые собраны с его применением, нуждаются в проверке на достоверность;
Shodan — cвоего рода внутрисетевой Google для подключенных устройств. Он может проанализировать инфраструктуру на основе данных IP-адреса: какие порты открыты, кто владелец. Или — например, по ключевым словам — проверить, какие камеры видеонаблюдения находятся в наружном доступе, и подключиться к ним.
Этап 3. Отвечаем на вопрос, где среди собранных данных фейк, а где — правда. Здесь стоит присмотреться к источникам информации. Если, к примеру, в восьми из десяти независимых источников написано одно и то же, а в двух — диаметрально противоположное, можно легко сделать вывод, где фейк. Удостовериться в правдивости информации экспертам помогут либо другие открытые источники, либо базы данных.
В случае с объемным текстом его суть выделит искусственный интеллект, однако полностью полагаться на него не стоит: первичную фильтрацию он выполнит, но аналитика не заменит.
Этап 4. На основе правдивых фактов и оптимальной визуализации готовим отчет, который ответит на вопросы или решит проблему заказчика.
OSINT помогает
OSINT используется в журналистике, в маркетинге, в конкурентной разведке и т.д. Однажды маркетологи «Бургер Кинг» применили OSINT для эффектной конкуренции с «МакДональдс». Они проанализировали геолокацию и поведенческие паттерны тех, кто чаще всего посещает заведение-конкурента, отзывы о блюдах или приложении, промокоды, баннеры, рекламу и т.д. Так они установили, в какой момент времени клиент максимально восприимчив к альтернативным предложениям. Затем запустили акцию: когда человек находился рядом с ближайшим «МакДональдс», ему приходило сообщение с промокодом и предложением приобрести воппер в «Бургер Кинг» за 1 цент. В итоге человек менял свои планы. Благодаря OSINT и этой промоакции всего за девять дней приложение «Бургер Кинг» скачали 1.5 млн раз.
OSINT также помогает бороться с мошенничеством. Использование его методов позволяет выявлять несоответствия в документах, в т.ч. признаки возможной подделки дипломов о высшем образовании. Кроме того, данные из открытых источников — например, с сайта «Госзакупки» — широко используются журналистами и аналитиками для выявления аффилированности подрядчиков, повторяющихся паттернов победителей тендеров и других признаков потенциальных коррупционных схем.
Известны случаи, когда такая «разведка» спасала жизни. В 2022 году под Екатеринбургом пропала пожилая женщина: ушла по грибы и перестала выходить на связь. В «ЛизаАлерт» приступили к изучению материалов в ее соцсетях: пенсионерка выложила фото с грибами и упоминанием локаций, где она их собрала. Локации оказались в одном и том же радиусе. Волонтеры просмотрели записи с камер на пути к лесу, расспросили ее знакомых о популярных грибных местах. Через два часа пропавшую пенсионерку разыскали. К счастью, она была жива.
В период пандемии у одного заведения общепита и продуктового ритейла в Санкт-Петербурге получилось повысить выручку на 30%: благодаря OSINT его менеджеры переняли у конкурентов акцию «кофе в подарок к доставке».
Или вот еще один реальный случай. Когда некий автосалон решил провести выставку машин, руководство задалось вопросом, как максимально заинтересовать потенциальных клиентов. Они проанализировали общение на интернет-форумах и привезли на выставку наиболее популярные марки. Число посетителей выросло в разы.
OSINT и злой умысел
Люди часто публикуют на общедоступных онлайн-ресурсах слишком много информации о себе: домашний адрес, места учебы и работы, хобби. Существует риск облегчить злоумышленникам задачу сбора ключевых данных в Сети, если в профиле пользователя Telegram человек указал дату р��ждения, фото и фамилию. Злоумышленники сохранят в контактах и номер телефона, и сведения, которые к нему привязаны.
Особенно рискованно распространяться об увлечениях: мошенники с легкостью составят персональное фишинговое письмо. Если человек любит, например, рыбалку, он получит сообщение или письмо с предложением пройти по ссылке, чтобы заказать удочку на выгодных условиях. После того, как он пройдет по ссылке, его персональные данные утекут к злоумышленникам.
Существует еще такая штука, как доксинг — сбор личной информации о человеке без его согласия, когда злоумышленники выходят на кого-либо с целью шантажа или угроз. В соцсетях многие указывают и увлечения, и место работы, что дает возможность сформировать адрес электронной почты из имени или первой его буквы, фамилии и домена компании. Затем злоумышленники сочиняют текст письма и вступают в контакт с сотрудником, после чего возможны разные сценарии развития событий.
Следующий пункт — это социальная инженерия с телефонными разговорами. После взлома баз данных в свободном доступе оказываются и контакты, и ФИО, и должности. К примеру, если речь об атаке на ИТ-ресурсы медцентра, в руки мошенников попадает масса информации: должность специалиста, необходимость оперировать его пациента. Мошенники обзванивают пациентов от имени сотрудников медцентра, предлагают липовые услуги, манипулируют эмоциями и опасениями жертвы и входят в доверие.
Как защититься:
Не лишним будет задуматься, какая информацию о вас уже есть в интернете, что можно быстро узнать. Если в качестве аватара вы используете свое фото, воспользуйтесь сервисом обратного поиска. Сервис выдаст ссылки на ресурсы, где это изображение либо упоминалось, либо использовалось.
Лучше не размещать в открытом доступе фото билетов, изображения с геопозицией, даты поездок. Обнародование любой персональной информации запросто обернется против вас.
Не советую вводить данные почтового ящика, которым постоянно пользуетесь, на случайных онлайн-ресурсах. Любой сайт может подвергнуться кибератаке, после чего ваши данные окажутся в свободном доступе. Для того, чтобы разово посетить какую-либо страницу с аутентификацией, надежнее прибегнуть к сервису генерации адреса электронной почты и ввести код для входа, который он выдаст.
Рекомендую всегда проверять достоверность предложений на «Авито». Если тот или иной снимок уже несколько лет гуляет по просторам интернета, то в реальности сам товар либо отсутствует, либо же речь идет о мошенничестве. Надежнее всего позвонить автору объявления по телефону в профиле и задать вопросы.
Сдаете или арендуете квартиру? Заранее запросите договор в электронном виде, проверьте наличие в нем паспортных данных, поищите информацию о человеке. Если арендодатель недобросовестный, вам на глаза попадутся липовые объявления. Поиск на основе доступных данных выявит, что автор объявлений в реальности не собственник жилплощади.
Кстати: одним из направлений OSINT является GEOINT — геопространственная разведка, целями которой являются сбор, анализ, описание и использование изображения для получения информации о деятельности в планетарном масштабе. Специалисты в этой области способны по одной фотографии определить совпадение параметров квартиры из объявления с реальными данными.
Советую избегать онлайн-акций с предложениями товаров по ультранизким ценам: после импульсивной оплаты такой покупки высока вероятность за свои кровные получить посылку с какой-нибудь ерундой вместо заказа. Надежнее сначала надежнее проверить через WHOIS сайт магазина: дату создания, домен и страну регистрации. Если нашелся только номер мобильного телефона, от покупок стоит воздержаться.
Лучше не спешить с приглашением на свидание человека из приложения знакомств без подробной и проверенной информации. Особенно актуально на случай, если девушка, с которой вы познакомились онлайн, настаивает на каком-то конкретном заведении в качестве локации для первой встречи. На самом деле она может представлять интересы злоумышленников, которые выведали массу фактов о вас и вашей платежеспособности. За небольшой и банальный заказ в таком подставном кафе придется выложить неправдоподобно крупную сумму, причем это еще не самый опасный сценарий.
Не теряем данные в Сети
Итак, OSINT — не волшебная кнопка, которая позволит получить всю информацию в пару кликов. Это самостоятельная разведывательно-аналитическая дисциплина. Она требует наличия критического мышления, соблюдения этики и ответственности за свои действия. Один из главных посылов: аналитика ради подтверждения или опровержения какого-либо факта или обстоятельства ни в коем случае не должна навредить. Если кто-то ищет доступную информацию об одном человеке, это допустимо. Но если кто-либо примется «пробивать» по 100 человек ежедневно, подбирать и сортировать данные по определенным критериям, это потянет на нарушение законодательства.
Кроме того, обнародование тех или иных личных данных всегда остается на усмотрение лица, которое их публикует в общем доступе. Если чей-либо бизнес фигурирует на «Яндекс.Картах» с каким-либо номером телефона, эта контактная информация становится открытыми данными для всех пользователей сервисов «Яндекса».
Специалисты в сфере информационной безопасности, которые для решения профессиональных задач прибегают к методам OSINT, тоже рискуют: ведь где-то существуют другие специалисты, которые совсем не хотят, чтобы о них или их компании что-либо «откопали», и распространяют о себе в сети фейковые данные или фишинг-ссылки.
Методы OSINT предоставляют мощные инструменты как для ведения бизнеса, так и для частных лиц, но нельзя забывать, что любая публичная информация может быть использована против вас. Вот почему со своими персональными данными необходимо обращаться особенно осторожно.
