Кибербезопасность. OSINT против вашей компании — что злоумышленник узнает за 2 часа до атаки

Представьте: хакер ещё не написал ни одной строки вредоносного кода. Он ещё не отправил ни одного фишингового письма. Он просто сидит за ноутбуком, пьёт кофе и читает то, что ваша компания сама выложила в открытый доступ.

Через два часа он будет знать имена ваших ключевых сотрудников, структуру вашей сети, какое ПО вы используете, кто из сотрудников недавно уволился и чем недоволен, а также — с вероятностью 60% — иметь действующий пароль от корпоративного аккаунта.

Это не фантастика. Это OSINT — и это первый шаг любой серьёзной атаки.

Что такое OSINT и почему это законно

OSINT расшифровывается как Open Source Intelligence — разведка по открытым источникам. Никакого взлома, никаких zero-day эксплойтов. Только публично доступная информация: сайты, социальные сети, регистры компаний, DNS-записи, репозитории кода, утечки баз данных, форумы, вакансии.

Сам по себе OSINT — нейтральный инструмент. Журналисты используют его для расследований. Спецслужбы — для анализа угроз. HR-специалисты — для проверки кандидатов. Пентестеры — для оценки цифрового следа клиента.

Проблема в том, что злоумышленники используют его ровно так же — только с другой целью. И барьер входа здесь нулевой: большинство инструментов бесплатны, а руководств в интернете — тысячи.

Минута 0–30: разведка домена и инфраструктуры

Первое, что делает атакующий — изучает цифровую инфраструктуру компании. И она говорит гораздо больше, чем вы думаете.

WHOIS и DNS. Регистрационные данные домена, дата создания, регистратор, иногда — реальный адрес и имя владельца. DNS-записи раскрывают все поддомены: mail.company.com, vpn.company.com, dev.company.com, staging.company.com. Каждый поддомен — потенциальная точка входа, часто менее защищённая, чем основной сайт.

Shodan. Называют "поисковиком для хакеров" — и не без оснований. Shodan индексирует все устройства, подключённые к интернету: серверы, камеры, роутеры, промышленные контроллеры. Запрос по IP-диапазону компании покажет открытые порты, версии сервисов и иногда — устройства с дефолтными паролями.

Пример: запрос в Shodan по домену среднего банка обнаруживает RDP-порт (3389) открытым на одном из серверов. Версия Windows — 2012, обновления не устанавливались 8 месяцев. Это не взлом — это просто поиск. Но это уже готовый вектор атаки.

Certificate Transparency. Все SSL-сертификаты публично логируются. Через сервисы crt.sh или Censys можно найти все поддомены компании — включая те, которые не индексируются поисковиками и считаются "скрытыми".

Минута 30–60: сотрудники, социальные сети, LinkedIn

Технические системы взламывают через уязвимости. Компании взламывают через людей. И LinkedIn — это золотая жила для атакующего.

Что читает хакер на странице компании в LinkedIn: организационная структура и иерархия; имена и должности ключевых сотрудников — особенно IT, финансов, HR; кто недавно принят на работу (новые сотрудники — лёгкая цель для социальной инженерии, они ещё не знают всех процедур); кто уволился (обиженный бывший сотрудник — отдельный вектор атаки).

Что читает хакер в вакансиях: это самый недооценённый источник разведки. Вакансия "Senior DevOps Engineer" с требованиями "опыт работы с AWS, Kubernetes, Terraform, Vault" говорит атакующему ровно то, какой стек технологий использует компания. Вакансия "специалист по информационной безопасности" с требованием "опыт работы с Splunk и CrowdStrike" сообщает, какие средства защиты стоят в компании — и следовательно, что нужно обойти.

Личные профили сотрудников: корпоративная почта часто указана напрямую. Формат легко угадать: имя.фамилия@company.com. Зная формат — атакующий может сгенерировать список адресов для фишинга. Личные интересы, упомянутые в профиле, — готовый материал для целевой социальной инженерии (spear phishing).

Минута 60–90: утечки, пароли, тёмная сторона

Ни одна компания не хочет думать об этом. Но статистика безжалостна: в базах утечек — более 12 миллиардов скомпрометированных учётных записей. И с вероятностью выше 50% — часть ваших сотрудников там есть.

Have I Been Pwned, DeHashed, LeakCheck. Атакующий вводит корпоративный домен и получает список всех email-адресов сотрудников, засветившихся в утечках, вместе с хешами или открытыми паролями. Если сотрудник использует один и тот же пароль на рабочем аккаунте и на форуме, который взломали три года назад — это прямой вход в корпоративную систему.

GitHub и другие репозитории. Разработчики случайно коммитят секреты — API-ключи, токены, пароли к базам данных, SSH-ключи. Инструмент GitDorking позволяет искать по GitHub с использованием специальных запросов: "company.com password", "company.com API_KEY", "company.com secret". Результаты находятся в реальных репозиториях реальных компаний — ежедневно.

Google Dorks. Специальные поисковые запросы, раскрывающие то, что не должно быть публичным. Примеры: site:company.com filetype:pdf confidential, site:company.com inurl:admin, site:company.com "index of". Эти запросы находят незащищённые директории, внутренние документы, конфигурационные файлы — всё это в обычной выдаче Google.

Минута 90–120: сборка картины и планирование атаки

К этому моменту у атакующего есть:

список имён и должностей ключевых сотрудников с контактами; корпоративные email-адреса в формате, готовом для фишинга; список используемых технологий и средств защиты; открытые порты и уязвимые сервисы на периметре; возможно — действующие пароли из утечек; поддомены и внутренние ресурсы, случайно попавшие в публичный доступ.

Этого достаточно для нескольких сценариев атаки. Фишинг на конкретного сотрудника финансового отдела — с обращением по имени, правдоподобным контекстом, ссылкой на реальный внутренний проект, упомянутый на LinkedIn. Атака на уязвимый поддомен с устаревшим ПО. Credential stuffing — автоматический перебор паролей из утечки по корпоративному VPN. Социальная инженерия через нового сотрудника, который ещё не знает процедур верификации.

Что ваша компания оставляет в открытом доступе прямо сейчас

Большинство компаний не осознают масштаб своего цифрового следа. Вот типичные источники утечки разведывательных данных:

Корпоративный сайт: имена руководителей и контакты в разделе "О нас"; пресс-релизы, раскрывающие партнёров и поставщиков; технологический стек (Meta-теги, JS-библиотеки, подпись сервера).

Социальные сети: структура компании через LinkedIn; фотографии офиса, на которых видны экраны, схемы, бейджи; геолокация публикаций.

Вакансии: используемые технологии и инструменты; структура команд; иногда — названия внутренних систем.

Технические ресурсы: публичные репозитории на GitHub; незащищённые поддомены; открытые S3-бакеты (да, это до сих пор происходит); конфигурационные файлы в публичном доступе.

Как защититься: OSINT-аудит своими руками

Лучшая защита — провести OSINT-разведку против себя раньше, чем это сделает атакующий.

Шаг 1: Инвентаризация цифрового следа. Соберите все поддомены через crt.sh и Shodan. Проверьте, что видно снаружи на каждом из них. Убедитесь, что dev-, staging- и test-окружения не доступны из интернета без аутентификации.

Шаг 2: Проверка утечек. Введите корпоративный домен в Have I Been Pwned (haveibeenpwned.com/DomainSearch). Посмотрите, какие аккаунты скомпрометированы. Инициируйте смену паролей для затронутых сотрудников. Внедрите политику уникальных паролей и обязательный MFA.

Шаг 3: Аудит репозиториев. Проверьте все публичные репозитории компании на GitHub. Используйте инструменты типа truffleHog или GitLeaks для поиска случайно закоммиченных секретов. Если секрет был выложен — смените его немедленно, даже если репозиторий уже приватный: история коммитов могла быть скачана.

Шаг 4: Ревизия вакансий. Пересмотрите текущие вакансии с точки зрения атакующего. Убирайте избыточную техническую детализацию: вместо "опыт работы с Splunk и CrowdStrike" пишите "опыт работы с SIEM и EDR-системами".

Шаг 5: Обучение сотрудников. Проведите тренинг по цифровой гигиене — что можно публиковать в LinkedIn, что нельзя. Отдельное внимание — новым сотрудникам и тем, кто работает с финансами и IT-доступами.

Key Takeaways

OSINT — это не взлом, это разведка. Злоумышленник собирает данные о вас законными методами, используя то, что вы сами выложили в открытый доступ. Защититься от этого — ваша ответственность, а не провайдера.

Вакансии — неочевидный, но критичный источник утечки. Каждое требование к кандидату — это подсказка атакующему о вашем стеке и инструментах защиты.

Утечки паролей — реальная и недооценённая угроза. Проверьте свой домен на haveibeenpwned.com прямо сейчас. Скорее всего, вы удивитесь результату.

GitHub — минное поле. Один случайно закоммиченный API-ключ может стоить компании больше, чем годовой бюджет на безопасность.

Проведите OSINT против себя. Если вы не знаете, что видит атакующий — вы не знаете, где ваши слабые места. Это первый и самый дешёвый шаг к реальной безопасности.

Заключение: ваш цифровой след — это не абстракция

Каждая вакансия, каждый LinkedIn-профиль сотрудника, каждый забытый поддомен, каждая строчка кода в публичном репозитории — это кирпичик в фундаменте атаки, которую злоумышленник строит ещё до первого контакта с вашей инфраструктурой.

OSINT не требует ни взлома, ни специальных знаний, ни дорогих инструментов. Он требует только времени и методичности — двух вещей, которых у мотивированного атакующего всегда достаточно.

Хорошая новость: всё, что можно разведать — можно и защитить. Знание о том, что именно видит атакующий, — это уже половина победы. Вторая половина — систематически убирать то, чего там быть не должно.

Если и вы хотите глубоко изучить сферу кибербезопасности, присоединяйтесь к курсу по Кибербезопасности в JET School!