Киберугрозы

Что такое OSINT и как это помогает защитить бизнес

24
Последнее обновление: 17 июля 2025

Файрволлы, антивирусы, надёжные пароли — эти инструменты хорошо защищают от известных угроз: вирусов, хакерских атак.

Но представьте другую картину. Прямо сейчас кто-то, возможно, создал точную копию вашего сайта, чтобы обманывать ваших клиентов и забирать их деньги. А может, конфиденциальный файл с данными партнёров случайно лежит в открытом доступе на облаке, и его уже скачали десятки посторонних.

Всё это можно обнаружить в интернете – на публичных форумах, в соцсетях, на сайтах-однодневках, в даркнете. Вот типичные сценарии:

— Фейковый сайт-двойник. Мошенники копируют дизайн и логотип реального интернет-магазина, регистрируют похожий домен (например, вместо example-store.ru — examplestore-sale.ru). Запускают рекламу, ловят клиентов настоящего магазина, принимают оплату, но товары не отправляют. Владелец оригинального магазина узнает о проблеме слишком поздно — от разгнёванных клиентов или службы поддержки платежной системы.

— Слив данных в открытый доступ. Уволившийся сотрудник выкладывает фрагмент базы клиентов или внутренний документ на публичный форум или в телеграм-канал, чтобы насолить бывшему работодателю. Эти данные могут найти конкуренты или злоумышленники.

— Подготовка атаки в даркнете или на закрытых форумах. Хакеры могут заранее обсуждать план атаки на конкретную компанию, искать слабые места, покупать краденые учётные данные сотрудников.

— Утечка конфиденциальной информации. Сотрудник по ошибке сохраняет файл с паролями, внутренними отчётами или данными клиентов в публичном облачном хранилище (например, на Яндекс.Диске с открытой ссылкой).

Последствия — финансовые потери, удар по репутации, уход клиентов, судебные иски. Проблема в том, что фаервол или антивирус не поймают обсуждение атаки на форуме или факт существования фейкового сайта. Они не сканируют весь открытый интернет в поисках упоминаний вашей компании или слитых данных.

OSINT — разведданные из открытых источников

OSINT (Open Source Intelligence) — это систематический поиск и анализ информации, которая доступна в интернете: на сайтах, в соцсетях, форумах, новостных лентах, государственных реестрах, базах данных утечек и так далее. Любой человек может найти эту информацию, если знает, где и как искать. Никакого взлома, подкупа или нарушения законов.

Смысл OSINT в прост — если злоумышленники могут использовать открытые данные для подготовки атаки, то почему бы и вам не найти их, чтобы заранее узнать об угрозе и предотвратить её?

Что относится к открытым источникам:

Информация с публичных сайтов и соцсетей

Новости о вашей компании на СМИ, отзывы клиентов на маркетплейсах и отзовиках, посты и комментарии в ВК, телеграм-каналах, профили сотрудников в LinkedIn или hh.ru.

Технические данные

Кто владеет доменным именем вашего сайта (проверяется через Whois на Reg.ru или Nic.ru), какие IP-адреса использует компания, открытые порты на серверах.

Данные из государственных реестров

Информация о регистрации юридического лица на ФНС, данные о товарных знаках в Роспатенте.

Форумы и специализированные площадки

Обсуждения на профессиональных форумах (например, Хабр), хакерских ресурсах (если доступны публично), отзовиках.

Утечки данных

Информация о том, попали ли корпоративные email-адреса или пароли сотрудников в публичные сливы баз.

Публичные репозитории кода

Файлы, случайно выложенные сотрудниками в открытый доступ на GitHub, GitLab или Bitbucket.

При этом метод работает только с информацией, которая доступна легально, без обхода паролей или взлома систем. Если для доступа к данным нужно нарушить закон или правила сервиса (например, взломать аккаунт) – это уже не OSINT.

Легальный OSINT строго соблюдает:

— Законы о персональных данных, коммерческой тайне, авторском праве. Нельзя систематически собирать и обрабатывать персональные данные без согласия субъекта и законных оснований. Работать можно только с обезличенными данными или теми, которые человек сам сделал общедоступными.

— Условия использования сервисов. Автоматический сбор данных (парсинг) соцсетей или сайтов часто нарушает правила. OSINT-специалист должен работать в рамках разрешенного функционала или использовать легальные инструменты с доступом к API.

Зачем бизнесу OSINT — главные сферы применения

OSINT — практический инструмент для решения проблем безопасности. Вот ключевые задачи, где он приносит пользу.

Защита репутации

Репутация — один из самых ценных активов. OSINT помогает отслеживать, что говорят о вашей компании в открытых источниках. Это позволяет быстро находить и реагировать на негативные отзывы (обоснованные и нет), выявлять фейковые аккаунты или мошеннические сайты, которые используют ваше имя и логотип.

Например, интернет-магазин заметил резкий рост жалоб на неполученные заказы. С помощью поиска по ключевым словам («название магазина» + «обман») в соцсетях и на форумах выяснилось, что кто-то создал сайт-двойник с похожим адресом, перехватывающий клиентов и платежи. Владелец смог подать жалобу хостинг-провайдеру и в Роскомнадзор, чтобы закрыть мошеннический ресурс.

Обнаружение утечек данных

Сливы корпоративной информации — паролей, клиентских баз, внутренних документов — происходят постоянно. Иногда это результат атаки, иногда — ошибка сотрудника.

OSINT позволяет прочёсывать открытые площадки в поисках таких утечек. Можно регулярно проверять сервисы вроде Avleak.ru на наличие корпоративных email сотрудников в слитых базах. Или использовать запросы типа site:github.com «названиекомпании» password для поиска случайно выложенных в публичный доступ конфиденциальных файлов.

Предупреждение кибератак

Злоумышленники часто обсуждают планы атак, ищут уязвимости конкретных компаний или продают украденные данные (логины, доступы) на специализированных форумах или в даркнете. Мониторинг таких площадок поможет защититься от взлома.

Оценка цифровых рисков

Какую информацию о вашей компании, ее инфраструктуре и сотрудниках может собрать злоумышленник из открытых источников? OSINT даёт возможность посмотреть на себя глазами хакера — какие домены зарегистрированы на компанию, какие IP-адреса используются, какие данные сотрудники неосторожно публикуют в соцсетях.

Также OSINT применяется для базовой проверки партнеров или контрагентов — информации из открытых госреестров, судебных баз, новостей.

Расследование инцидентов

Если атака все же произошла, OSINT становится важным инструментом для сбора улик и понимания, кто стоит за инцидентом. Это может быть поиск информации об IP-адресах или доменах, использованных атакующими, анализ их почерка по описаниям в открытых источниках, поиск упоминаний о вашей компании или конкретной атаке на хакерских форумах.

Общая выгода для бизнеса

Использование OSINT переводит безопасность из режима реагирования в режим проактивной защиты. Вы получаете возможность обнаруживать угрозы на ранних стадиях, когда их проще и дешевле нейтрализовать.

Инструменты OSINT — от базового мониторинга до углублённого анализа

Есть несколько решений, от простых до продвинутых.

— Базовый мониторинг репутации и угроз

Регулярно узнавайте, где и как упоминают вашу компанию, продукты или ключевых лиц:

  • Сервис Google Alerts — пришлёт вам на почту уведомления, если в новостях или блогах появится запрошенное ключевое слово (например, название вашей компании). Требует настройки через VPN.
  • Яндекс.Вордстат — покажет, как часто ищут вашу компанию или продукты в Яндексе.
  • Brand Analytics — агрегирует упоминания из соцсетей (ВК, Telegram, Одноклассники), СМИ, отзовиков и форумов в единую ленту. Удобен для быстрого выявления негатива, фейков или неожиданных трендов.

Проверяйте подозрительные сайты. Например, если клиент прислал ссылку на якобы новый акционный сайт или вы нашли похожий домен:

  • URLScan.io — введите подозрительный адрес сайта. Сервис сделает его скриншот, покажет техническую информацию (IP-адрес, сервер, используемые технологии), историю изменений. Помогает быстро отличить фейк или фишинговую страницу.
  • Whois-сервисы (Reg.ru, Nic.ru) — покажут, кто на самом деле владеет интересующим вас доменным именем, когда он зарегистрирован и как с ним связаться. Незаменим для проверки подозрительных доменов-клонов.

Узнайте, не попали ли корпоративные почтовые адреса или телефоны сотрудников в публичные сливы баз:

  • Have I Been Pwned? — введите почту или телефон, сервис проверит их по известным базам утечек и покажет, в каких инцидентах он фигурировал. Требует доступа через VPN.
  • Avleak — российский аналог сервиса HIBP. Проверяет адреса и телефоны, работает без VPN.

— Обнаружение уязвимостей и открытых данных

Сотрудники иногда по ошибке выкладывают конфиденциальные файлы в публичный доступ, это нужно проверять:

  • Google Dorks — специальные поисковые операторы Google. Например, запрос site:github.com «названиевашейкомпании» password найдет файлы на GitHub, где внутри текста есть и ваше название, и слово password. Другой пример: filetype:xls «конфиденциально» для поиска Excel-файлов с пометкой.
  • Поиск на GitHub/GitLab — зайдите на github.com или gitlab.com и в строке поиска введите название вашей компании, бренда, ключевые проекты. Иногда файлы с данными лежат прямо в публичных репозиториях.
  • Shodan.io — поисковая система для интернета вещей и серверов. Введите IP-адрес вашей компании или название. Shodan покажет, какие устройства (роутеры, камеры, серверы) видны из интернета и какие уязвимости могут быть. Требует VPN.

Отслеживайте разговоры и упоминания в соцсетях, чтобы находить сливы или обсуждения угроз:

  • TGStat — позволяет искать по ключевым словам в тысячах телеграм-каналов и чатов. Покажет, где и что именно говорят. Бесплатный функционал ограничен, есть платные тарифы.
  • Ручной мониторинг поисковиков и соцсетей по ключевым словам. Можно найти упоминания в постах, на форумах, в блогах.

— Продвинутые решения для всестороннего анализа

Визуализируйте связи и анализируйте данные:

  • Maltego — мощный инструмент для сбора данных из разных открытых источников (Whois, соцсети, поисковики) и визуализации связей между объектами (домены, IP-адреса, email, люди, компании). Помогает увидеть всю картину цифрового следа.
  • Social Links — платформа для профессионального сбора и анализа данных из соцсетей, мессенджеров, даркнет-площадок.

Мониторьте даркнет на предмет слитых данных, обсуждений атак, продажи доступов:

  • SOC Prime Threat Detection Marketplace — предоставляет доступ к агрегированным данным об угрозах, включая информацию из даркнета. Интегрируется с системами безопасности.
  • Российские ИБ-сообщества и форумы — профессиональные сообщества могут дать доступ к актуальной информации об угрозах.

Коротко о главном

Все перечисленные инструменты работают только с публично доступной информацией. Запомните границы:

— Не нарушайте правила платформ. Парсинг соцсетей или сайтов часто запрещен их правилами. Используйте только разрешенные методы или инструменты с легальным доступом к API.

— Работайте с обезличенными данными или с информацией, которую люди сами сделали общедоступной (публичные профили, посты).

— Уважайте коммерческую тайну и авторские права. Сбор данных не должен приводить к незаконному получению охраняемой информации.

А также не забывайте, что OSINT дополняет, а не заменяет базовую защиту — файрволы, антивирусы, SIEM-системы.

 


Попробуете систему в деле? (это бесплатно)

👉 Щелкните здесь, чтобы создать аккаунт 👈

Пробная версия доступна сразу же после создания аккаунта + мы пришлем письмо с подробными инструкциями.

СпрутМонитор главный экран

Похожие записи:

Что такое матрица RACI и как она упростит управление проектами Как устроены DDoS-атаки и что поможет защитить бизнес KPIКак внедрить KPI в отдел продаж: инструкция для руководителей Обзор на KickIdler: как работает, преимущества, недостатки и альтернативы Шифрование данных для бизнеса: виды, средства и как выбрать ПрофайлингПрофайлинг для бизнеса: как читать поведение сотрудников и беречь компанию от рисков

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *