商业安全

佩戴“袜子木偶”如何帮助收集开源情报，同时使“木偶操纵者”免受风险

11 Jan 2024  •  , 4分钟读

在浩如烟海的在线信息和通信中，在噪音中找到信号并辨别数据及其来源的真实性的能力变得越来越重要。

我们之前已经看过 开源情报机制 (OSINT)，出于调查目的收集和分析公开信息的做法，特别是网络防御者如何利用这些信息领先攻击者一步。

在本文中，我们将重点介绍开源情报中常用的一种工具：所谓的傀儡账户，它们是如何创建和使用的，以及它们的使用可能带来的风险。

什么是袜子木偶？

简而言之，傀儡账户是虚构的身份，在使用社交媒体平台、讨论区、电子邮件和其他在线服务时为其主人提供匿名性。它们可用于开源情报调查，以评估新出现的网络威胁，收集有关在线欺诈、滥用和其他非法活动的信息，并收集此类不当行为的证据，跟踪极端主义意识形态或获得对特定趋势或问题的其他见解。

这些研究帐户收集的信息通常比容易披露的信息更深入，并且可能需要与其他人建立关系。利用这些账户的实体涉及各个领域，从执法机构、私家侦探和记者到情报分析师、网络防御者和其他安全从业人员，包括旨在检测和减轻潜在威胁的努力。

另一方面，这些虚假角色也可以被部署来执行恶意行为者的命令，他们可能使用傀儡来帮助传播垃圾邮件或从目标中提取信息或以其他方式操纵他们的目标。这些账户还经常被用于虚假信息活动，以帮助引导讨论朝着特定方向发展，放大虚假叙述，塑造公共话语，并最终影响对更广泛的社会问题或组织的看法。

OSINT 中的袜子木偶

傀儡账户使开源情报从业者能够融入在线社区并收集信息，而无需透露自己的真实身份，也不必担心遭到报复，尤其是在个人安全可能受到威胁的情况下。他们可以为“操纵者”提供接触封闭或私人团体的机会，否则外部观察者将无法接触到这些团体。

创建袜子木偶需要大量的战略规划，其中考虑变量，例如选择拥有最多目标信息的平台，一直到思考并实施适当的操作安全措施。

为了避免泄露其所有者的真实 IP 地址以及其他操作安全原因，这些帐户通常与诸如 虚拟专用网络 （VPN）， 门 （特别是当访问 暗网）和代理服务，或者在不允许使用的情况下，公共 Wi-Fi 连接。

在设置和管理袜子傀儡帐户时，一次性手机可能也是必要的。专用的也是同样的情况 密码管理工具 例如 KeePass 和方便的工具（例如 Firefox 多帐户容器），可以分隔每个调查员的数字生活。

显然，并非所有的袜子木偶都是一样的。撇开临时的临时帐户不谈，这些帐户一旦完成工作（例如在网站上注册或发送电子邮件）就会被丢弃，也许最常见和最有趣的用例是社交媒体帐户，而这些需要付出更多的努力。

首先创建一个无法追溯到其所有者的电子邮件帐户，然后创建一个包含详细（当然是虚构的）个人信息的真实身份。同样重要的是，制作一个可信的背景故事，并使用一致的声音和语气，并通过评论、帖子和照片等形式的持续活动来进一步支持。列出帐户活动的计划（例如识别和访问其他帐户、发表评论以及保持现实的整体角色）有助于避免敲响警钟。

识别潜在的袜子木偶

袜子傀儡帐户可以通过以下方式发现：

• 行为模式分析：袜子木偶可能遵循类似的行为模式，例如重新发布相同的消息或使用重复的语言，或者表现出缺乏与真实用户的互动或很少甚至没有参与。
• 检查个人资料详细信息：例如，缺乏详细的个人信息和使用库存图片都是明显的赠品。
• 交叉检查和验证：将袜子木偶提供的信息与其他来源进行比较，这有助于验证收集到的数据。

袜子木偶在行动

袜子木偶在 OSINT 中发挥着关键作用，为其从业者提供了一个强大的工具来收集信息，同时保持匿名。然而，了解相关的威胁和潜在的陷阱对于进行有效且符合道德的调查也至关重要。首先，调查人员需要避免被发现的风险，并精通识别可能用于反情报目的的傀儡帐户。

重要的是，傀儡账户的使用还涉及道德考虑和可能的法律风险或限制，需要与预期目标保持一致，避免造成意外伤害。 “操纵者”还应该仔细权衡这些角色的优点和缺点，并确保其使用符合道德标准、法律要求以及负责任的信息收集的总体目标。