在2021年对YouTube频道Russian OSINT的采访中,勒索软件组织LockBit 2.0的一名成员暗示在整个攻击过程中使用了OSINT工具和技术。还有,现已停止运营的Conti团队在收集情报方面也使用了大量OSINT技术。虽然OSINT只是网络攻击中的一个基本工具,但它在社会工程攻击活动中尤为重要。TrendMicro的威胁情报副总裁Jon Clay称,“威胁行为者利用开源情报调查他们的受害者,以获得有关受害者的大量信息并制作非常逼真的钓鱼邮件,让受害者点击一个URL或打开一个附件,甚至像商业电子邮件攻击(BEC)里直接告诉受害者怎么做”。许多安全团队已经使用OSINT工具对他们自己的系统进行渗透测试,以确定现实世界中可能遭黑客利用的潜在风险和漏洞,这有助于减少攻击面。然而,很少有网络安全专业人员为衡量或减轻社会工程风险去审计开放网络上的员工个人数据。根据Verizon的2022年数据泄露调查报告,2021年记录的82%的泄露事件涉及社会工程,其中通过电子邮件的网络钓鱼占泄露事件的60%以上。网络上有许多关于如何使用OSINT工具来收集情报和创建令人信服的社会工程活动的指南,常见的包括免费的数据中介网站和人员搜索网站。通过减少员工在人员搜索网站上的公开信息量,安全团队可以切断重要的OSINT途径,并减少组织自身对网络犯罪分子的可见度。
什么是OSINT?
开源情报,或简称OSINT,是指从公开可用的来源和工具中被动地收集情报的行为。包括:社交媒体LinkedIn、Facebook、Instagram等报纸、杂志文章和媒体报道会议、网络研讨会和公开演说公共交易数据数据中介机构,如Spokeo和PeekYou网络搜索引擎,如谷歌、必应等可查询配置错误或未受保护的互联网连接设备的搜索引擎,如Shodan数据挖掘工具,如Maltego寻找免费的OSINT技术(公共记录、数据经纪人、搜索引擎、论坛、博客、社交网络、WHOIS、暗网等)和OSINT数据常用方法是使用OSINT框架。
图:OSINT框架
试错
正如KnowBe4在网络研讨会“坏人使用的开源情报(OSINT)黑客数据源”中所指出的,通过OSINT寻找可利用的敏感信息是一个试错的过程。公开来源的数据中一些提供了最新的情报,但也有一些数据可能已经陈旧过时,或者根本就是错误的。因此,攻击者会尝试将数据点连接起来,看看哪些是疑似的,哪些是错误的。例如,如果想验证人员搜索网站上的信息,需要通过比较同一人在人员搜索网站列出的地址与出现在财产记录数据库中的地址,来分析地址是否正确。
数据中介使OSINT更容易
任何社会工程攻击,无论是网络钓鱼还是假冒攻击,都是从攻击者发现目标组织的信息开始的。攻击者需要了解诸如以下问题:组织结构图是什么样的?在那里工作的人是谁?他们的工作角色是什么?该组织与哪些实体合作?公司的文化是什么样的?知道了这些问题的答案,网络犯罪分子就知道了谁可以访问什么系统,什么背景对目标来说是有意义的,以及仿冒的电子邮件/短信应该来自谁。例如,根据“OSINT Curious Project”,那些更保守、等级制度更强的企业可能更易遭到“假冒权威”的网络钓鱼攻击,因为这些企业往往具有“只做不问”(do and don’t ask)的文化。攻击者经常使用LinkedIn和一个组织的网站来发现这类信息。其他有用的资源包括《公司治理报告》(用于了解公司结构)、Glassdoor和Indeed等员工评论网站(了解公司文化)、合作伙伴公司/服务提供商的案例研究(确定冒充对象)以及人员搜索网站(用于了解目标的兴趣和其他相关数据,使社会工程活动看起来更可信)。一旦攻击者知道他们想找谁下手,他们就会试图弄清目标的详细联系方式,即他们的电子邮件地址和电话号码。网络犯罪分子有许多方法可以找出某人的联系方式,包括使用人员搜索网站或数据中介网站是方法之一。像Conti这样的勒索软件组织已经被证明使用ZoomInfo和SignalHire这样的数据中介网站来收集目标信息,包括联系信息和联系人,以便在网络钓鱼活动中“提及准确人名”,使其看起来更加可信。
数据中介网站是特别有价值的OSINT工具
随着人们在互联网上花费更多的时间,数据中介网站所掌握的个人信息不断丰富。在过去,人员搜索网站主要以目录形式列出数据点,包括电话号码、地址等。现在,此类信息已经包括个人细节,如员工的关系、兴趣,甚至IP地址等数据。最近的研究表明,40%的数据中介网站拥有企业高管的家庭网络IP地址。许多人员搜索网站允许任何人免费查看关于个人的部分信息。此外,只有少量数据中介网站进行背景调查,所以恶意行为者很倾向使用他们的服务。即使人们要求这些数据库删除自己的信息,人员搜索网站通常在几个月后会重新上传他们的资料。因此,需要持续关注数据中介网站的个人数据并要求其删除。但因为删除过程耗时很少有人定期这么做。对于如何找到已删除的人员信息,有OSINT指南介绍一种方法:在人员搜索网站中找到一段独特的文字描述,在谷歌搜索引擎中进行“精确搜索”,在结果中查看其所属企业的所有域名。有可能目标人员从A网站删除的信息出现在B网站上。