用实名账号搜索匿名活动的风险
调查匿名活动时,你是否在平时的实名账号或实名浏览器里搜索?
这是容易被忽视的风险。
匿名用的发帖内容。 准备用于匿名的用户名。 相关组织或事件。 自己的匿名账号。
如果在实名环境中搜索这些内容,就会与实名侧的历史记录和日志连接起来。
搜索也会成为行为记录
搜索不只是查资料的行为。
搜索词、搜索时间、登录状态、IP 地址、浏览器信息都可能留下。
在登录实名账号的状态下搜索与匿名活动有关的内容,会被记录为实名侧的行为。
| 搜索的内容 | 风险 |
|---|---|
| 匿名账号名 | 成为实名侧调查该账号的记录 |
| 准备发布的文字 | 实名侧与匿名发帖连接起来 |
| 内部信息或事件名 | 被推测为相关人员 |
| 匿名用邮箱或 ID | 实名环境和识别符靠近 |
搜索也要作为匿名运营的一部分来考虑。
实名浏览器会留下历史记录
平时使用的浏览器中,会留下历史记录、、登录状态、搜索历史、浏览器同步。
如果在那里搜索与匿名活动有关的信息,实名环境中就会留下痕迹。
如果启用了浏览器同步,历史记录也可能同步到其他设备。 在家人或职场设备上,风险会进一步增加。
去看自己的匿名账号的风险
在实名环境中去看自己的匿名账号也很危险。
它可能影响访问日志、浏览历史、搜索历史、推荐算法、广告和相关显示。
即使想确认自己的匿名账号,也最好不要从实名环境访问。
搜索词本身会成为线索
搜索时,被搜索的内容本身会成为记录。
原样搜索准备匿名发布的文章。 在实名浏览器里搜索匿名用候选用户名。 查询内部信息或相关人员姓名。 多次搜索自己的匿名账号名。
这些都会成为连接实名环境和匿名活动的线索。
| 搜索词 | 关联到什么 |
|---|---|
| 准备发布的文字 | 之后的匿名发帖 |
| 匿名用户名 | 准备创建的账号 |
| 内部信息 | 所属或相关人员身份 |
| 事件名和地区 | 现场性或关注点 |
| 匿名账号名 | 实名侧正在查看或监视的记录 |
搜索词接近发帖前的草稿信息。 不要在实名环境中处理。
点击搜索结果也会留下
搜索不会只停在搜索词。
打开搜索结果后,也会影响浏览历史、Cookie、连接目标日志、浏览器信息、广告和推荐显示。 如果用实名账号打开与匿名活动有关的页面,这种兴趣会留在实名侧的行为历史中。
| 行为 | 可能留下的信息 |
|---|---|
| 搜索 | 搜索词、时间、登录状态 |
| 点击结果 | 浏览历史、连接目标日志 |
| 反复看同一页面 | 兴趣或监看对象可见 |
| 保存搜索结果 | 留在实名云端或书签中 |
| 分享 | 与实名侧联系人连接起来 |
调查匿名活动时,要把搜索、浏览、保存、分享作为一连串行为来看。
已经在实名环境中搜索过时
如果已经在实名环境中搜索过,首先整理自己搜索了什么。
是匿名账号名。 是准备发布的文字。 是内部信息。 是相关人物名。
风险会因内容而改变。 仅仅删除历史记录,并不会连服务侧或网络侧的记录也一起删除。
| 搜索过的内容 | 要确认什么 |
|---|---|
| 匿名账号名 | 与实名侧的关联是否很强 |
| 准备发布的文字 | 不要原样使用原文 |
| 内部信息 | 是否会被看作相关人员 |
| 图片或头像 | 是否会与过去信息连接起来 |
| 搜索结果页面 | 是否留在书签或历史记录中 |
高风险时,也需要判断不使用那个匿名账号名或发帖内容。
准备匿名用的调查环境
与匿名活动有关的调查,是发帖的前一阶段。
因此,调查环境也要像发帖账号一样分开。 重要的是不要带入平时的浏览器、实名登录、云同步、保存的密码、搜索历史。
| 分开的内容 | 理由 |
|---|---|
| 浏览器 | 分开 Cookie、历史记录、登录状态 |
| 搜索账号 | 不留在实名搜索历史中 |
| 保存位置 | 不把调查笔记发送到实名云端 |
| 通信路径 | 与家庭 IP 或职场网络分开 |
| 书签 | 不与实名侧兴趣混在一起 |
如果调查环境混在一起,发帖前就已经产生关联。
不要原样发布搜索内容
把在实名环境中搜索过的文章或关键词原样用于匿名发帖,也很危险。
搜索词和发帖内容一致时,搜索历史和发帖会连接起来。 特别是少见的专有名词、内部用语、长短语、事件名和地区的组合,会成为强线索。
| 在实名环境中搜索过的内容 | 匿名发帖中的风险 |
|---|---|
| 长文本 | 与发帖正文一致 |
| 少见的内部用语 | 所属或相关人员被缩小 |
| 匿名用 ID 候选 | 与准备创建的账号连接起来 |
| 图片说明 | 与之后的图片发帖连接起来 |
| 相关人员姓名 | 人际关系或信息来源可见 |
过去在实名环境中搜索过的内容,最好不要原样用于匿名发帖。
分开调查环境
与匿名活动有关的调查,要在匿名用环境中进行。
- 退出实名账号
- 使用匿名用浏览器
- 关闭浏览器同步
- 谨慎选择搜索词
- 必要时使用 Browser 或
- 不把调查内容保存到实名云端
运营从搜索前就已经开始。 即使使用 Tor Browser 或 VPN,搜索词、登录状态、搜索服务侧记录也可能另外留下。改变路径和把搜索内容从实名环境切开,是需要分开思考的事情。
在调查用环境中,也很重要的是不要把搜索词原样带回实名侧。 如果把调查笔记保存到个人云端,或发送到实名邮箱,分开环境的意义就会变弱。
调查后的确认
调查结束后也需要确认。
搜索历史、下载文件、截图、笔记、书签、剪贴板中可能留下信息。 如果把匿名用环境中调查的信息带回实名环境,分离就会崩坏。
| 确认项目 | 理由 |
|---|---|
| 搜索历史 | 留下与匿名活动有关的词 |
| 下载 | 留下文件名和保存位置 |
| 截图 | URL 或账号名出现在画面中 |
| 笔记 | 可能同步到实名云端 |
| 书签 | 兴趣或调查对象可见 |
搜索不是匿名活动的准备,而要作为匿名活动本身来处理。
总结
用实名账号搜索匿名活动时,实名侧的历史记录和日志会与匿名活动连接起来。
搜索词、搜索时间、登录状态、IP 地址、浏览器信息都会成为线索。
与匿名活动有关的调查,重要的是在匿名用环境中进行,而不是在实名环境中进行。 搜索也要和发帖一样,作为匿名运营的一部分处理。
相关工具
OSINT Framework
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。