開源情報實戰指南:從零開始掌握 OSINT 核心技能
> **免責聲明與法律規範**
> 本指南所介紹之開源情報(OSINT)工具與技術,僅供資訊安全研究、漏洞通報、數位鑑識、合規調查及個人隱私防護等合法目的使用。讀者在進行任何情報收集或主動探測時,應嚴格遵守當地法律法規,切勿將此技術用於騷擾、恐嚇、未經授權的滲透測試或任何形式的惡意侵害行為。
前言:什麼是 OSINT?
OSINT(Open Source Intelligence,開源情報) 是指從「公開管道」收集、分析並產出具備決策價值之情報的學科。這裡的「開源」並非指開源軟體(Open Source Software),而是指任何社會大眾可以合法、公開取得的資訊來源,包括搜尋引擎、社群媒體、政府登記資料、新聞媒體及公共論壇等。
在現代資訊安全中,OSINT 扮演著舉足輕重的角色:
– 紅隊演練/滲透測試:在不觸發警報的情況下,被動偵察目標企業的資產漏洞與人員足跡。
– 藍隊防守/威脅情資:評估自身組織在網路空間中的暴露面,並預防潛在的社交工程攻擊。
– 操作安全(OPSEC, Operations Security):調查員在執行調查時,必須保護好自己的虛擬身份,避免在偵察過程中打草驚蛇或被目標反向追蹤(例如:使用專用的調查環境、乾淨的瀏覽器、VPN 或 Tor,以及不以個人真實帳號造訪目標檔案)。
1. 搜尋引擎駭客技巧 (Search Engine Dorking)
Search Engine Dorking(通常稱為 Google Dorking 或 Google Hacking)是一切 OSINT 的基本功。這門技術的本質在於「精準且結構化地對搜尋引擎提問」,排除不相關的干擾資訊,直接撈取可能被忽略的敏感檔案與暴露路徑。
1.1 Google Dorks 進階搜尋運算子
搜尋引擎預設會提供對使用者最友好的結果,但對調查員而言,我們需要更底層的搜尋控制。以下是核心的進階運算子:
邏輯運算子的組合應用
- 雙引號
"":強制進行「精確匹配」(Exact Match),不進行同義字拆分。 - 減號
-:排除包含特定關鍵字或網站的結果。例如:site:example.com -site:www.example.com可用來尋找除主網域以外的所有子網域。 OR/|:符合多個條件之一。注意OR必須為大寫。
> **實戰組合公式**
> 1. **尋找企業洩漏的機密或財務文件**:
> `site:example.com filetype:xlsx OR filetype:pdf “內部傳閱” OR “薪資” OR “confidential”`
> 2. **尋找暴露在網路上的備份檔與資料庫轉儲檔**:
> `site:example.com ext:sql OR ext:bak OR ext:old OR ext:zip`
> 3. **尋找未設防護的 Apache/Nginx 目錄列表(Directory Listing)**:
> `intitle:”index of” “parent directory” “passwords.txt” OR “config”`
1.2 跨引擎搜索策略
不同的搜尋引擎背後擁有不同的爬蟲策略、國家合規限制以及技術專長。只依賴 Google 會產生嚴重的盲區。
1. Yandex (俄羅斯/東歐)
Yandex 是俄羅斯最受歡迎的搜尋引擎,對於 OSINT 調查員來說,它在以下兩個領域被公認為世界最強:
– 以圖搜圖 (Reverse Image Search):Yandex 的面部識別與特徵比對演算法遠比 Google 敏銳,非常適合追查某張頭像是否為網路盜圖、或者找出該人像在其他東歐社群(如 VKontakte)的足跡。
– 東歐/俄語區資訊:若調查目標與東歐、中亞有涉,Yandex 爬梳的在地論壇與洩漏名冊完整度極高。
2. Baidu (百度 – 中國大陸)
中國大陸的網路生態與西方有著嚴重的「圍牆花園」效應(如微信、微博不允許外部爬蟲完整索引)。百度雖然受限於嚴格的內容審查,但在搜尋以下內容時為必備工具:
– 簡體中文社群論壇(如貼吧、貼吧歷史檔案、知乎、豆瓣)。
– 中國大陸境內的中小企業工商資訊、招投標文件。
3. DuckDuckGo (避開泡泡與指令豐富)
- 逃離過濾泡泡(Filter Bubble):Google 會根據你的搜尋歷史、地理位置與個人偏好實施「個性化排序」,這會導致不同調查員看到不同的結果。DuckDuckGo 提供無偏見的乾淨搜尋結果。
- !bangs 功能:在 DuckDuckGo 輸入
!g site:example.com會直接跳轉到 Google 搜尋,或!w搜尋維基百科,極大地提升了調查效率。
2. 人物與社交足跡追查 (People & SOCMINT)
人物調查是開源情報中需求最龐大的領域。SOCMINT(Social Media Intelligence,社群媒體情報) 的核心概念是:每個人在網路上留下的數位麵包屑(Breadcrumbs),終將拼湊出其真實的實體身份。
👤 人物/社群情報關聯追蹤流程
2.1 帳號/使用者名稱 (ID) 追查
許多人在不同平台註冊時,為了方便記憶,會習慣使用同一個使用者名稱(Username,如 alpha_hunter99)。這就給了調查員一條橫向追蹤的線索。
工具推薦與原理
- WhatsMyName.app:一個基於 Web 的工具,能快速比對數百個網站(包含電商、論壇、技術社群、交友軟體),偵測特定 Username 是否已被註冊。它透過發送 HTTP 請求並分析回應代碼(例如 200 OK 與 404 Not Found 的差異)來進行判斷。
- Sherlock (CLI 工具):若需要在本機進行大規模自動化查詢,可使用 Python 編寫的 Sherlock。
bash
# 安裝與執行範例
git clone https://github.com/sherlock-project/sherlock.git
cd sherlock
python3 -m pip install -r requirements.txt
python3 sherlock alpha_hunter99
執行後,Sherlock 會輸出該 ID 在 GitHub、Reddit、Steam、Pornhub、Medium 等平台的帳號連結。
2.2 信箱與電話反查
電子信箱和電話號碼是將虛擬帳號對應到真實世界身份的強關聯節點。
1. HaveIBeenPwned (HIBP)
- 概念:當網站發生大規模資料外洩時,駭客常將名冊公開。HIBP 收集了數十億筆外洩帳號。
- 調查技巧:輸入目標 Email,若顯示曾出現在某次外洩(例如 2019 年 Canva 外洩),代表該信箱在 2019 年前就已啟用。如果能拿到原始的外洩資料庫(Breach Compilations),調查員甚至能查到目標當時使用的舊密碼。許多人習慣在多個網站重複使用相同密碼或密碼前綴,這可作為追查其關聯帳號的重要依據。
2. 電話號碼反查工具
- Truecaller & Sync.me:這類 App 的運作原理是「通訊錄互助(Crowdsourcing)」。當成千上萬的用戶安裝這些 App 並上傳自己手機的通訊錄後,資料庫就建立起了電話與姓名的對應關係。即使目標自己沒有安裝,他的朋友也可能早就出賣了他的電話。
- 平台加好友繞道法:
- LINE / WeChat / Telegram:將目標電話存入乾淨的調查用手機通訊錄中,打開通訊軟體的「自動新增好友」功能,觀察軟體是否推薦了該用戶,進而獲得對方的真實暱稱、大頭照與個人簽名。
2.3 社交網路關聯分析
一旦鎖定了目標的社群帳號,下一步是深入分析其內容與關係鏈。
LinkedIn:繪製組織與專業網絡
LinkedIn 是防護最薄弱的商業 OSINT 來源,人們為了求職往往會寫上最真實的資訊。
– 公司架構:搜尋特定公司,可以看到其所有員工名單。若要對該公司進行社交工程,可從中挑選 IT 部門、財務部門的新進員工。
– 技術細節:開發人員常在 LinkedIn 的職責描述中寫出「負責維護公司 AWS 雲端架構、使用 Kubernetes 與 Jenkins」,這無意間洩漏了該公司的技術棧(Technology Stack)。
Facebook & Instagram:生活作息與關係網絡分析
- 地標與打卡(GEOINT 交叉):收集目標過去幾年的所有打卡記錄,將其繪製在 Google Maps 上,可以輕易推導出目標的住家區域、常去的健身房、工作地點以及度假習慣。
- 留言與按讚分析:利用特定帳號在目標貼文下的互動頻率,分析出其最親密的伴侶、家人或朋友。即使目標將自己帳號的隱私權限設為最高,其家人的帳號往往是公開的,調查員可以透過「圍魏救趙」的方式從家人的相簿中找到目標的照片與足跡。
3. 圖像與地理情報 (IMINT / GEOINT)
IMINT(Imagery Intelligence,影像情報) 與 GEOINT(Geospatial Intelligence,地理空間情報) 是 OSINT 中最考驗調查員邏輯推理與觀察力的地方。我們的目標是:「給定一張照片,找出它是在哪裡、在什麼時候、被誰拍下來的。」
3.1 進階以圖搜圖 (Reverse Image Search)
當拿到一張照片時,首先要確認它是否為網路舊圖或盜圖:
– Google Lens:擅長識別照片中的實體物品(例如目標穿的衣服品牌、手錶型號、眼前的特色地標)。
– Yandex Images:在比對「相似的人臉」與「自然風景微小特徵」上表現最好。
– TinEye:其強大之處在於可以依據 “Oldest” (最舊) 進行排序,這能協助調查員找出這張圖片在網際網路上第一次被發佈的日期與源頭網頁。
3.2 EXIF 資訊提取
原始照片檔案(由相機或智慧型手機拍下並直接導出的檔案)中包含名為 EXIF (Exchangeable Image File Format) 的元數據。
EXIF 中藏有的秘密
- 相機/手機的型號、鏡頭參數、焦距。
- 精確的拍攝時間(包含毫秒與時區設定)。
- GPS 經緯度座標(若用戶開啟了相機定位功能)。
> **隱私防護須知**
> 主流社群平台(如 Facebook, Instagram, Twitter, LINE)在用戶上傳照片時,為了保護隱私與節省頻寬,都會自動抹除 EXIF 資訊。但在個人部落格、電子郵件附件、PDF 報告書、GitHub 儲存庫或雲端硬碟共享連結中,往往能找到保留完整 EXIF 的原始照片。
使用 exiftool 進行命令行提取
在 Linux/macOS/Windows 中,exiftool 是最權威的元數據檢視工具。
# 檢視照片的所有元數據
exiftool target_photo.jpg
# 僅篩選與 GPS 座標相關的資訊
exiftool -gps:all target_photo.jpg
如果照片含有 GPS 資訊,輸出會顯示如 GPS Latitude : 25 deg 2' 3.11" N, GPS Longitude : 121 deg 33' 52.42" E。調查員只需將其轉換為十進位(25.034197, 121.564561)並輸入 Google Maps,即可精確定位到拍攝者的站立點。
3.3 地理定位 (Geolocation) 推理步驟
如果照片被社群平台抹除了 EXIF,調查員就必須使用「視覺鑑識」進行推理。這是一個結構化的解謎過程:
第一步:環境與文化線索分析
- 路牌與交通:路牌的語言、字體、顏色、限速標誌的形狀。注意車輛是左駕還是右駕、車牌的底色與長寬比。
- 基礎設施:電線桿的形狀(日本的電線桿有其獨特構造,台灣的電線桿常有彩色漆與編號牌)、垃圾桶外觀、路燈的樣式。
- 植物相 (Flora):照片中生長的植物類型。椰子樹限制了地理位置在熱帶/亞熱帶;若有大片白樺林,則極可能位於高緯度寒溫帶地區。
第二步:天文與陰影分析(利用 SunCalc)
陰影是照片中不可磨滅的時間印記。
– SunCalc (suncalc.org):這是一個免費的網頁工具,允許調查員選擇地球上任何一個地點與日期,它會計算出該天太陽在不同時間點的角度與陰影長度。
– 推理公式:
1. 在照片中尋找一個垂直於地面的物體(如電線桿或路燈)及其投影。
2. 估算物體高度與投影長度的比例,這可以推算出太陽的仰角(Elevation)。
3. 分析陰影投射的方向(需要先在照片中辨識出南北向,可透過衛星天線的朝向、或特定地標的位置來判斷)。
4. 將數據輸入 SunCalc,在已知的地理範圍內,即可精確推算出拍攝的月份,甚至具體到幾點幾分。
太陽 ☀️
/
/ 仰角 (θ)
/ \
/ \ [物體] (高度 H)
/ \
/_______\_______ 陰影 (長度 L)
* 仰角 θ = arctan(H / L)
* 將 θ 與陰影方位角 (Azimuth) 輸入 SunCalc,可反推拍攝時間。
4. 網際網路與基礎設施 (Network OSINT)
Network OSINT 主要關注組織或個人在網際網路上的數位資產,包括域名、IP 位址、伺服器配置與對外開放的服務。這對於評估企業的安全邊界至關重要。
4.1 網域與 IP 調查
調查一個網站時,首先要釐清「這是誰的資產」以及「它背後連接到哪裡」。
1. Whois 歷史紀錄
- 現狀:因為 GDPR 等隱私法規,現在直接查詢 Whois 通常只會看到
Redacted for Privacy。 - 應對策略:使用 Whois 歷史資料庫(如 Whoxy、DomainTools)。許多域名在數年前註冊時,隱私保護政策尚未普及,或者註冊人不小心填寫了真實的姓名與 Gmail。這些歷史紀錄會永遠留在備份資料庫中。
2. DNS 記錄的深度解析
DNS 記錄中藏有許多非公開的關聯資訊:
– MX 記錄:郵件交換記錄。如果目標網域的 MX 指向 mail.protection.outlook.com,代表他們使用 Microsoft 365;如果是 mx.mail.goip.de,則可能是自建的私人郵件伺服器。
– TXT 記錄:常用於宣告驗證。例如 SPF 記錄(如 v=spf1 include:_spf.google.com include:mailgun.org ~all),這揭示了該網站信任哪些第三方發信服務,也可能暴露了其他未公開的子網域。
– 子網域發現 (Subdomain Discovery):
– 子網域通常代表著未公開的測試環境(如 dev.example.com、staging.example.com),防護通常較弱。
– crt.sh:憑證透明度(Certificate Transparency, CT)日誌查詢。每當一個網站向 Let’s Encrypt 等機構申請 SSL 憑證時,該申請都會被記錄在公開的 CT 日誌中。調查員可在 crt.sh 輸入網域,取得所有歷史申請過憑證的子網域列表。
4.2 被動式探測 (Passive Reconnaissance)
主動掃描(如使用 Nmap 直接掃描目標 IP)會留下大量日誌,甚至觸發防火牆防禦。被動式偵察則是透過第三方已經收集好的資料庫來查詢目標,完全不與目標伺服器產生直接接觸。
Shodan 的核心概念
Shodan 是專門針對「物聯網與聯網設備」的搜尋引擎。它不停地向全球 IP 位址發送請求,並記錄各個連接埠回傳的「Banner」(橫幅資訊)。
> **Shodan 實用查詢語法**
> – `net:210.61.0.0/16`:搜尋特定網段內的聯網設備。
> – `port:27017`:尋找所有開放 MongoDB 預設埠的伺服器。
> – `org:”Target Corporation”`:搜尋屬於該組織擁有的 IP 資產。
> – `product:”Apache httpd”`:搜尋特定軟體產品。
> – **尋找暴露的監視器**:`webcam xp` 或 `server: webcamXP`。
> – **尋找未授權的資料庫(MongoDB)**:`port:27017 “MongoDB” -“authentication”` (加上減號排除需要驗證的設備,直接找出未設密碼的資料庫)。
4.3 網站時光機 (Wayback Machine)
Wayback Machine (archive.org) 定期備份全球網頁。在 OSINT 調查中,它有以下關鍵用途:
– 撈取已刪除的資訊:目標人物在發現被調查後,可能會刪除官網上的「團隊介紹」或「聯絡我們」頁面。利用時光機,可以退回到數月前,取得當時公佈的員工 Email、私人電話或合作夥伴名單。
– 尋找技術漏洞:檢視舊版網頁的原始碼,可能會發現當時寫死在 JavaScript 中的測試環境 URL,或是未移除的舊版 API 端點。
5. 商業與組織情報 (Business OSINT)
Business OSINT 用於對企業進行背景調查、股權架構剖析、防範洗錢空殼公司,或分析組織之間的隱性關聯。
[政府工商登記] ──> 負責人與董監事名單 ──> 股權交叉比對 ──> 找出實質控制人
[政府採購標案] ──> 得標紀錄與預算規模 ──> 分析資金來源與業務重心
[司法裁判書] ──> 歷史訴訟與違約紀錄 ──> 評估信用與法律風險
5.1 政府工商公開數據 (以台灣為例)
各國政府均有法定的公司登記公示系統。
1. 經濟部商業發展署商工登記查詢
- 查詢目標:公司統一編號、公司名稱、代表人、資本額、設立日期、董監事名單與所代表的股權。
- 調查技巧:
- 負責人/董監事名單交叉反查:若發現某空殼公司 A 的董事長為「張三」,監察人為「李四」;再查另一家公司 B,發現董事長是「李四」,董事是「張三」。這極可能代表兩家公司為同一個利益集團控制,常用於關係人交易或圍標。
- 地址關聯:如果兩家表面上毫無關係的科技公司,登記地址卻在同一個辦公室,甚至共用同一支電話(透過 Open Data 比對),這也是高度關聯的警訊。
5.2 專利與商標追查
專利與商標是企業未來的商業藍圖。
– Google Patents:搜尋目標企業所擁有的專利。專利申請書中必須詳細揭露技術原理、電路圖或演算法細節。此外,專利書上寫的「發明人姓名」通常是該公司的核心研發科學家,這些科學家在學術平台(如 ResearchGate)或 GitHub 上的個人帳號,往往是技術細節洩漏的溫床。
– 商標檢索(如中華民國智慧財產局商標檢索):企業在推出新產品或新專案前,通常會提前半年註冊商標。透過監控其新申請的商標名稱,可以提早得知其未來的品牌佈局。
5.3 政府採購與法院判決書
1. 政府電子採購網 (web.pcc.gov.tw)
- 招標與決標資訊:搜尋特定公司的名稱,找出他們得標過哪些政府專案。
- 情報價值:決標公告中會寫明招標單位、決標金額、評選委員名單以及共同投標廠商。這能讓調查員了解該公司主要的資金來源是否高度依賴政府補助,以及他們在政府內部的關係網絡。
2. 司法院公報與判決書查詢系統 (judgment.judicial.gov.tw)
法院判決書是極佳的信用與背景調查工具。
– 訴訟檢索:輸入公司名稱或主要負責人姓名。
– 實戰收穫:
– 勞資糾紛:是否有大量違反勞基法的訴訟,評估其企業文化。
– 民事履約:是否有拖欠貨款、工程違約等紀錄,判斷其財務健康度。
– 刑事案件:負責人是否曾涉入詐欺、背信、洗錢或違反證券交易法等案件,避免商業合作踩雷。
6. 洩漏資料與暗網 (Breach Data)
駭客攻擊事件頻傳,外洩的資料常在地下論壇、Pastebin 甚至暗網(Dark Web)流通。對於 OSINT 調查員而言,如何在安全且合法的邊界內利用這些外洩資料,是一門進階技術。
6.1 Pastebin 與開源程式碼託管平台搜尋
Pastebin 類網站是臨時文字分享平台,由於其匿名性,常被工程師拿來貼程式碼,也常被駭客用來存放外洩的憑證。
敏感資訊的暴露
- 寫死的 API 金鑰與金鑰對:如 AWS Access Key、GitHub Token、Slack Webhook URL、Google Map API 金鑰。
- 配置檔洩漏:包含資料庫 IP、帳號、密碼。
- 實戰搜尋 Dorking:
site:pastebin.com OR site:controlc.com "API_KEY" OR "password" "example.com"
6.2 外洩資料庫 (Breach Compilations) 在紅隊演練中的應用
當紅隊(Red Team)對企業進行授權的模擬攻擊時,OSINT 是最初的「偵察階段」。
外洩資料庫 ──> 提取目標企業員工的 Email ──> 分析其歷史洩漏密碼
│
▼
判斷密碼設定邏輯
(例如:CompanyName2026!)
│
▼
進行密碼噴灑攻擊
(Credential Spraying)
- 密碼習慣分析:駭客團體會將多次外洩的資料整合,去重整合成超大型資料庫(例如 COMB, Compilation of Many Breaches,內含數十億條憑證)。如果紅隊人員查到目標企業某位高階主管,其私人的 Gmail 曾出現在外洩資料庫中,且當時洩漏的密碼是
Peter1985!。 - 推導密碼邏輯:由此可推測該主管的密碼設定邏輯為
[英文名][西元生日][符號]。紅隊即可嘗試以Peter2026!或Company2026!,對該企業的企業 VPN、Outlook Web App (OWA) 進行嘗試。這種針對性的密碼噴灑,成功率極高。
6.3 視覺化關聯工具:Maltego
當調查進行到中後期,收集到的資料往往極為龐大且雜亂(包含幾十個 IP、Email、社群帳號、電話、域名)。僅用 Excel 表格很難看出隱藏的關聯,這時就需要 Maltego 這類的情報視覺化工具。
Maltego 的核心機制
- 實體 (Entities):在 Maltego 的畫布上,每一個節點都是一個實體。實體有不同的類型,例如:
Person(人)、Email Address(信箱)、Domain(域名)、IPv4 Address(IP)。 - 轉換器 (Transforms):這是 Maltego 的靈魂。轉換器是封裝好的 API 腳本,能將一個實體作為輸入,查詢外部資料庫,並將結果輸出為新的實體。
- 例如:選擇一個
Domain實體,點擊執行To IP Address [DNS]轉換器,Maltego 會自動解析 DNS 並在畫布上畫出其關聯的IPv4 Address實體。 - 情報地圖 (Intelligence Map):透過不斷執行 Transforms,畫布上會形成複雜的蜘蛛網圖。調查員常會驚奇地發現:兩個看似無關的詐騙網站,背後竟然指向同一個個人的
Email Address,或是使用同一個AdSense廣告帳號 ID,這就是視覺化情報的力量。
結語:OSINT 調查員的黃金法則
- 不要只依賴單一工具:工具會失效、網站會關閉,但調查的推理邏輯與思維框架是永恆的。
- 永遠交叉驗證:開源情報中充滿了偽造的資訊(例如刻意假造的 EXIF、冒名登記的 Whois)。至少要從兩個以上獨立的來源證實同一條線索,才能將其視為可信情報。
- 注意調查安全 (OPSEC):在調查高風險目標時,絕對不要用個人的真實 IP 直接訪問目標網站。每一次點擊,都可能在對方的伺服器日誌中留下你的痕跡。保護好自己,才能走得更遠。