ESENRODEFRIT
Contact

2026-07-13 · Ibida Black Level S.L.

OSINT 101: 7 lucruri pe care un atacator le află despre firma dumneavoastră în 30 de minute

Ce află un observator extern despre firma dumneavoastră folosind doar date publice, în mai puțin de 30 de minute. Raport de teren onest, fără alarmism.

OSINT 101: 7 lucruri pe care un atacator le află despre firma dumneavoastră în 30 de minute

Există un motiv pentru care OSINT este cea mai ieftină unealtă din trusa ofensivă. Nu este nouă, nu este subtilă și nu necesită niciun acces. Cere doar ca observatorul să știe unde să caute. Același fapt face ca munca OSINT defensivă să fie ieftină și pe partea noastră. Scopul acestui articol este să vă dăm, fără ornamente, cele șapte lucruri pe care le aducem la lumină în mod rutinier despre o firmă mijlocie europeană în primele treizeci de minute de triaj OSINT. Niciuna nu cere o unealtă plătită. Toate pot deveni o mutare de deschidere într-un atac real.

Le-am ordonat după frecvență. Primul apare aproape întotdeauna. Ultimul apare în aproximativ o treime din cazuri și, când apare, schimbă de obicei conversația cu clientul.

1 · O hartă rezonabil de completă a personalului (10 minute)

Începem cu LinkedIn. Nu avem nevoie de conexiune cu nimeni. Căutarea gratuită filtrată după companie, locație și angajare curentă ne oferă, în firma mijlocie europeană tipică de 80-400 angajați, între 50% și 80% din personal. Citim titluri, angajatori anteriori, limbi vorbite și, foarte des, stack-ul tehnologic listat în secțiunea de competențe.

Ce face atacatorul cu asta: o listă-țintă pentru spear phishing, cu pretexte adaptate rolului. Am văzut mesaje redactate cu titlul intern exact și proiectul pe care ținta îl anunțase pe LinkedIn cu două săptămâni înainte. Rata de deschidere a acelor mesaje nu joacă în aceeași ligă cu cea a phishing-ului generic.

Ce puteți face: cereți echipei să mențină angajatorul actual, dar să fie mai deliberată în anunțarea proiectelor și uneltelor interne. O sesiune scurtă de igienă LinkedIn pentru personalul senior este una dintre cele mai ieftine victorii în conștientizare.

2 · Stack-ul tehnologic din anunțurile de angajare (3 minute)

Posturile deschise sunt o mină OSINT. Un post backend care cere "PostgreSQL 14, Kafka, Vault și Terraform pe AWS eu-west-1" îi spune atacatorului motorul de baze de date, magistrala de mesaje, gestionarul de secrete, regiunea de implementare și unealta de orchestrare. Un post în operațiuni de securitate care cere "Splunk Cloud, CrowdStrike Falcon și Tines pentru SOAR" îi spune SIEM-ul, EDR-ul și platforma de orchestrare.

Ce face atacatorul cu asta: sare faza de descoperire. Recunoașterea intră direct la căutarea de CVE cunoscute pentru versiunile numite.

Ce puteți face: nu opriți publicarea de oferte. Eliminați numerele de versiune. Vorbiți în capacități ("SIEM modern", "EDR administrat") în loc de nume de furnizor ori de câte ori postul permite. Folosiți un intermediar recrutor pentru roluri foarte specifice.

3 · Infrastructura de email și postura DMARC (2 minute)

Trei interogări DNS ne dau înregistrările MX, SPF și DMARC ale oricărui domeniu corporativ. În firma mijlocie europeană tipică continuăm să găsim peste jumătate cu DMARC absent, în `p=none`, sau în `p=quarantine` fără `pct=100`. Aceleași firme au adesea SPF cu `~all` în loc de `-all` și trei-cinci intervale IP vechi autorizate, pe care nicio persoană din echipa actuală nu le poate explica.

Ce face atacatorul cu asta: înregistrează un domeniu asemănător sau, pur și simplu, falsifică direct domeniul legitim, în funcție de postura DMARC. Falsificarea expeditorilor legitimi a fost vectorul de intrare al mai multor cazuri BEC cu impact puternic observate în 2025.

Ce puteți face: mutați DMARC la `p=reject` și SPF la `-all` cu un calendar documentat. Avem un articol separat despre versiunea de 24 de ore a acestei lucrări.

4 · Perimetrul public așa cum îl văd Shodan și Censys (5 minute)

Căutăm numele firmei și ASN-ul. Într-o firmă tipică găsim între trei și douăsprezece servicii expuse pe internet pe care nimeni din firmă nu le aștepta expuse. Cele mai comune: concentratoare VPN vechi păstrate "pentru urgențe", interfețe de gestionare la distanță a echipamentelor de rețea (Mikrotik, Cisco SMB, Ubiquiti), bucket-uri S3 uitate marcate publice pentru un test rapid, portaluri interne pe `:8443` crezute ascunse pentru că nu erau legate nicăieri și interfața IPMI a unui server care ar fi trebuit retras în 2022.

Ce face atacatorul cu asta: începe sondajele pentru vulnerabilități cunoscute împotriva serviciilor descoperite. Pentru o firmă mijlocie am măsurat timpul de la apariția publică în Shodan la prima sondă țintită în mai puțin de 24 de ore.

Ce puteți face: o rutină de gestionare a suprafeței de atac externe, chiar și trimestrială, executată manual, elimină 80% din această categorie. Investiția este de două zile de analist pe trimestru pentru o firmă mijlocie tipică.

5 · Depozitele de cod și secretele pe care oamenii le scurg în ele (4 minute)

Căutările pe GitHub de tip `org:<firma>` și `"@firma.com" path:.env` dezvăluie mai mult decât ar trebui. Cele mai comune: un depozit de teste uitat cu un string de conexiune la o bază de date reală, GitHub-ul personal al unui fost angajat cu un fișier de configurare conținând o cheie API pe care firma nu a rotit-o niciodată, un gist public cu un URL de webhook care încă funcționează.

Ce face atacatorul cu asta: încearcă credențialele. Aproximativ una din trei credențiale pe care le aducem la lumină în această categorie sunt încă valide prima dată când le testăm cu clientul în timpul unui diagnostic.

Ce puteți face: activați GitHub secret scanning pe organizație, faceți o trecere a commit-urilor istorice în depozitele private și operaționalizați rotirea cheilor când un angajat pleacă. Nimic dintre acestea nu necesită un produs nou pentru majoritatea firmelor mijlocii.

6 · Lanțul de aprovizionare pe care nu l-ați desenat în nicio diagramă (4 minute)

Ne uităm la JavaScript-ul încărcat pe site-ul public, la subdomeniile SaaS care rezolvă sub domeniul dumneavoastră (`status.`, `support.`, `helpdesk.`, `learn.`, `tracking.`), la jurnalele de transparență a certificatelor și la hash-urile favicon ale portalurilor interne. Într-o firmă mijlocie europeană tipică identificăm între 15 și 40 de terți care vă ating datele, clienții sau suprafața de brand, dintre care 5-10 nu apar de obicei pe lista de achiziții.

Ce face atacatorul cu asta: alege terțul cel mai slab ca pivot. Tiparul breșelor prin terți din 2023-2025 nu a fost o coincidență; era calea cea mai ușoară împotriva firmelor care își întăriseră propriul perimetru.

Ce puteți face: un inventar al terților condus de OSINT, reîmprospătat trimestrial, comparat cu lista oficială de achiziții. Deltele sunt munca.

7 · Fragilitatea despre care nimeni n-a discutat: dependența de o singură persoană (2 minute)

Acesta este descoperirea OSINT la care clienții reacționează cel mai puternic. Combinând LinkedIn, prezentări publice, contribuții GitHub, postări tehnice și istoricul WHOIS, identificăm frecvent că o singură persoană este singura față publică a unei întregi zone tehnice. Dacă acea persoană este indisponibilă 72 de ore, mai multe sisteme pe care le deține nu au succesor documentat.

Ce face atacatorul cu asta: transformă acea persoană într-o țintă de spear phishing de mare valoare. Într-un caz public bine documentat (nu client al nostru), phishing-ul reușit al unui singur SRE a doborât o platformă SaaS timp de 48 de ore pentru că niciun alt membru al echipei nu avea credențialele de recuperare.

Ce puteți face: o revizuire internă a factorului-autobuz. Nu este un exercițiu de securitate cibernetică în sens strict; este un exercițiu de continuitate cu consecințe cibernetice.

Cum să folosiți această listă în firmă

Nu recomandăm să rulați acești șapte pași împotriva propriei firme fără a implica echipa de securitate și, în funcție de jurisdicție, echipa juridică. Chiar dacă datele sunt publice, actul de a le compila într-un context corporativ poate avea implicații. Calea cea mai simplă este să cereți unui terț să o facă cu un domeniu clar și să livreze descoperirile unui responsabil intern numit.

Scopul unui exercițiu OSINT defensiv nu este să fiți impresionat de ceea ce poate vedea un observator extern. Scopul este să transformați descoperirile într-o listă de remedieri cu responsabili și termene. Descoperirile fără responsabil sunt zgomot.

> "Niciodată nu am livrat un raport OSINT defensiv unei firme mijlocii care să nu fi găsit expunere relevantă. Am livrat mai multe în care cea mai costisitoare descoperire era internă: o zonă critică susținută de o singură persoană căreia nimeni nu îi ceruse rezervă." — Revizuire internă IBL a auditurilor OSINT 2025-2026

Ce facem la IBL

Misiunea noastră OSINT defensivă este un exercițiu cu durată fixă de cinci zile. Livrabilul este un raport scris, semnat și datat, cu descoperirile ordonate după dificultatea remedierii și severitatea expunerii. Nu includem niciun dat pe care nu l-am obținut din surse publice. Includem URL-ul și data fiecărei descoperiri pentru ca echipa dumneavoastră să o poată reproduce.

Dacă doriți o conversație despre amprenta dumneavoastră specifică, scrieți la [email protected]. Răspundem într-o zi lucrătoare.

---

Ibida Black Level S.L. este o firmă boutique de consultanță în securitate cibernetică cu sediul în Málaga, Spania, și echipă operațională în România. Lucrăm cu firme mijlocii europene care preferă onestitatea tehnică în locul ambalajului comercial. Am fost înființați în 2026; nu inventăm o istorie mai lungă.

Lecturi conexe

Etichete: osint, expunere, perimetru, lant-aprovizionare, securitate-email, companii-mijlocii, raport-teren