OSINT 如何破坏匿名性

匿名性被破坏时，并不一定是因为发生了技术入侵。

只要收集公开信息，匿名账号就可能和本人连接起来。

这就是 OSINT 导致的匿名性破坏。

本人即使认为“这次发帖没有写本名”，只要过去的社交平台、图片、搜索结果、存档、个人资料仍然存在，就可能从那里缩小候选范围。

匿名账号会与过去信息连接起来

只看匿名账号时，也许看不到本名。

但是，如果发帖内容、头像、用户名、文体、话题与过去的实名信息重合，它们就会连接起来。

例如，可能出现下面这样的流程。

1. 匿名账号发布有关专业领域的内容
2. 找到文体相同的过去博客
3. 过去博客里有相同的亲身经历
4. 那个博客里还留着旧个人资料
5. 从个人资料中看出本名或地区

即使单独一条信息看不出来，连接起来后就会变得可见。

OSINT 不是特殊入侵

OSINT 是收集并分析公开信息的思路。

它不是破解密码，也不是入侵设备。 它把搜索引擎、社交平台、图片搜索、存档、公开个人资料、招聘信息、活动页面、过去博客等从外部可见的信息连接起来。

OSINT 中重要的是信息已经公开。 即使是本人已经忘记的旧信息，只要从外部可见，就会成为关联材料。

常见关联模式

在 OSINT 中，一个线索未必足够。 它会把多个弱线索组合起来。

搜索一方的流程

通过 OSINT 破坏匿名性时，调查一方会按顺序缩小候选范围。

先搜索用户名。 接着查看头像图片。 从发帖内容中拾取地区和专业领域。 把文体和亲身经历与过去博客比较。 查看已删除页面和存档。

这样，就会从一个线索前进到下一个线索。

防御一方要反过来使用这个流程。 自己搜索，确认会在哪里连接起来。

已删除的信息也可能留下

即使删除过去的发帖，它们也可能留在搜索结果、截图、转载、存档中。

旧个人资料。 关闭的博客。 删除的社交平台发帖。 旧图片。 过去的招聘或活动页面。

如果这些仍然存在，就可能与现在的匿名活动连接起来。

“现在已经删掉了，所以没问题”并不一定成立。

改变现在的发帖也很重要

要删除全部过去信息很困难。

因此，防御不只是“删除过去”，同样重要的是“不要在现在的匿名活动中放出与过去信息重合的线索”。

不要使用旧网名。 不要使用过去的图片。 不要重复相同的亲身经历。 不要以相同粒度写地区或工作地点。 避免使用与实名侧相同的文体。

即使过去信息仍然存在，只要不与现在的匿名活动连接，风险就会降低。

不要忘记图片搜索和存档

在 OSINT 中，除了普通文字搜索，图片搜索和存档也很重要。

相同头像、过去使用过的照片、博客的个人资料图片、活动照片，可能会通过图片搜索找到。 已删除页面也可能留在存档中。

不要因为文字搜索没有出现结果就判断为安全。 也要确认图片和过去页面。

OSINT 对策不只是删除

说到 OSINT 对策，人们往往只想到删除过去信息。

但是，有些信息无法删除。 例如他人的发帖、引用、截图、存档、搜索结果缓存、活动页面等。

在这种情况下，重要的是不要在现在的匿名活动中放出相同线索。

OSINT 对策既是删除过去的工作，也是减少现在关联的工作。

对自己做 OSINT

开始匿名活动前，在安全范围内确认自己的公开信息。

以本名、旧网名、已公开的社交平台 ID、过去博客、公开个人资料等已经从外部可见的文字信息为中心进行搜索。搜索词本身也可能成为服务侧记录，因此不要用实名账号或日常浏览器反复进行高风险确认。避免把电子邮件地址、电话号码、脸部照片、未公开图片、举报前资料等直接输入或上传到外部搜索服务或人脸搜索服务。

如果无论如何都要使用图片搜索，只以已经公开的图片为对象，并以搜索服务侧可能保留图片或搜索历史为前提。如果用实名账号搜索，搜索历史可能会留下，因此也要注意调查环境。

自己能找到的信息，第三方也可能找到。

防御一方应该查看的内容

要防止 OSINT 导致匿名性破坏，需要从外部确认自己的信息。

• 搜索本名
• 搜索旧网名
• 确认已公开的联系方式是否与过去信息连接
• 搜索常用用户名
• 确认已公开的头像和照片是否与过去信息连接
• 确认过去的博客和社交平台
• 确认是否留在存档中

这种确认最好在匿名活动前进行。 即使活动后慌忙删除，也可能已经被看见。

也要注意把确认结果留在实名云端或日常笔记中。 调查笔记本身也可能成为连接匿名活动与实名环境的记录。

总结

OSINT 会破坏匿名性，是因为公开信息会连接起来。

即使匿名账号没有本名，只要用户名、头像、文体、亲身经历、地区信息、过去发帖重合，候选范围就会被缩小。

已删除信息也可能留在搜索结果和存档中。

要保护匿名性，不仅需要确认现在的发帖，也需要确认过去公开信息看起来是什么样。

相关工具

相关文章