Przejdź do treści
Breachroad
Wróć do bloga
Pentest

OSINT: co atakujący wie o Twojej firmie, zanim uderzy

Zanim padnie pierwszy atak, przestępca robi rozpoznanie. Pokazujemy, co OSINT ujawnia o Twojej firmie z publicznych źródeł i jak zmniejszyć swój cyfrowy ślad.

KR
Karol Rapacz
3 lipca 2026 · 12 min czytania
OSINT: co atakujący wie o Twojej firmie, zanim uderzy

Każdy poważny atak zaczyna się nie od exploita, lecz od rozpoznania. Zanim napastnik wyśle phishing, spróbuje haseł albo zadzwoni „z działu IT”, spędza godziny na zbieraniu informacji o celu — i robi to niemal wyłącznie z publicznie dostępnych źródeł, nie łamiąc żadnego zabezpieczenia. Ta faza nazywa się OSINT (Open Source Intelligence), a jej skuteczność bywa zaskakująca: z ogólnodostępnych danych da się odtworzyć infrastrukturę firmy, listę pracowników z rolami i mailami, a nawet ich hasła z dawnych wycieków. Ten tekst pokazuje, co atakujący realnie o Tobie wie — i jak zmniejszyć swój cyfrowy ślad, zanim ktoś go wykorzysta.

Czym jest OSINT

OSINT to zbieranie i analiza informacji z otwartych, legalnie dostępnych źródeł: stron internetowych, rejestrów DNS, logów certyfikatów, mediów społecznościowych, wyszukiwarek, wycieków danych i dokumentów. Nikt nie „włamuje się” na tym etapie — napastnik jedynie układa w całość to, co i tak jest publiczne. To dokładnie ta sama praca, którą wykonujemy jako pentesterzy na początku każdego testu penetracyjnego, tyle że w dobrych intencjach. Różnica między obrońcą a atakującym nie leży w narzędziach, lecz w celu.

Co atakujący znajduje o Twojej firmie

1. Powierzchnię ataku i infrastrukturę

To pierwszy cel rozpoznania: jakie systemy firma wystawia do internetu. Z publicznych źródeł napastnik odtwarza:

  • domeny i subdomeny — logi Certificate Transparency (crt.sh) ujawniają nawet te „zapomniane”: stare-vpn.twojafirma.pl, test.twojafirma.pl, panel.twojafirma.pl,
  • wystawione usługi — panele logowania, VPN-y, serwery pocztowe, API,
  • stos technologiczny — jaki serwer, CMS, biblioteki (a stąd blisko do znanych podatności),
  • konfigurację poczty — czy domenę da się podrobić (SPF/DMARC).

Sporą część tego obrazu zobaczysz sam, uruchamiając na swojej domenie nasz skaner bezpieczeństwa — pokazuje m.in. subdomeny z logów CT, ekspozycję usług i technologie. To Twój darmowy „widok atakującego”.

2. Ludzi

Firmy to ludzie, a ludzie zostawiają ślady. Z LinkedIna, stron „o nas” i mediów społecznościowych napastnik buduje mapę organizacji: kto jest prezesem, kto w księgowości, kto w IT, jakie są wzorce adresów e-mail ([email protected]). To paliwo do ukierunkowanego phishingu, oszustw na prezesa (BEC) i vishingu — im więcej wie o strukturze i relacjach, tym wiarygodniej się podszyje.

3. Wykradzione poświadczenia

To często najgroźniejsza kategoria. Napastnik sprawdza, czy firmowe adresy e-mail pojawiły się w wyciekach danych i logach infostealerów. Jeśli pracownik używał służbowego maila na prywatnym, zhakowanym serwisie i powtarzał hasło — atakujący ma gotowe wejście, bez łamania czegokolwiek. Dlatego warto samemu sprawdzać, czy dane firmy nie wyciekły.

4. Dokumenty i metadane

Publicznie dostępne pliki (PDF-y, prezentacje, arkusze) bywają kopalnią wiedzy: nazwiska autorów, wersje oprogramowania, ścieżki sieciowe i nazwy użytkowników zaszyte w metadanych, a czasem wrażliwe treści, które nie powinny trafić do sieci. Do tego dochodzą przypadkowo wystawione pliki (.env, kopie zapasowe, katalogi .git) — skaner oznacza je jako ekspozycję, a atakujący traktuje jak prezent.

5. Kontekst fizyczny i społeczny

Zdjęcia z biura (identyfikatory, ekrany, plan pomieszczeń), wydarzenia branżowe, oferty pracy zdradzające używane technologie, a nawet nawyki pracowników z mediów społecznościowych — wszystko to zasila scenariusze socjotechniczne, od podszycia się pod dostawcę po wejście „za kimś” do budynku.

Dlaczego to ma znaczenie

OSINT sam w sobie nie jest atakiem — jest fundamentem, na którym budowane są skuteczne ataki. Ukierunkowany phishing działa, bo napastnik zna Twoje imię, rolę i kontekst. Password spraying działa, bo zna wzorzec maili i hasła z wycieków. BEC działa, bo wie, kto komu podlega i jak wyglądają Wasze faktury. Im bogatszy obraz zbierze na etapie rozpoznania, tym mniej „hałaśliwy” i skuteczniejszy będzie właściwy atak. Zmniejszając swój cyfrowy ślad, odbierasz napastnikowi amunicję.

Jak zmniejszyć swój cyfrowy ślad

Zmapuj własną powierzchnię ataku. Nie da się chronić czegoś, o czym się nie wie. Zinwentaryzuj domeny i subdomeny (logi CT), wystawione usługi i konta — zacznij od skanu swojej domeny. Zamknij lub schowaj za VPN-em to, co nie musi być publiczne (stare panele, środowiska testowe).

Ukryj to, co zbędne. Wyłącz ujawnianie wersji w nagłówkach serwera, usuń zapomniane subdomeny, zablokuj publiczny dostęp do wrażliwych plików (.git, .env, kopie).

Monitoruj wycieki firmowych adresów. Włącz monitoring domeny w serwisach typu Have I Been Pwned i reaguj na pojawienie się firmowych maili w wyciekach — wymuś reset i odporne na phishing MFA.

Zadbaj o higienę metadanych. Czyść metadane z publikowanych dokumentów (autorzy, ścieżki, wersje). To prosty krok, który zamyka cichy wyciek informacji.

Szkol ludzi i ograniczaj nadmiar. Uświadom zespołowi, że publiczne informacje (role, projekty, zdjęcia z biura) bywają wykorzystywane w atakach. Nie chodzi o paranoję, lecz o świadome dzielenie się.

Ustaw security.txt. Publiczny kanał zgłaszania podatności (/.well-known/security.txt) sprawia, że badacz działający w dobrej wierze zgłosi problem Tobie, zanim wykorzysta go ktoś inny.

Jak OSINT wygląda w teście penetracyjnym

Gdy prowadzimy test penetracyjny, zawsze zaczynamy od rozpoznania — dokładnie tak, jak zrobiłby to napastnik. Odtwarzamy powierzchnię ataku, mapujemy subdomeny, sprawdzamy wycieki poświadczeń i budujemy obraz organizacji. Efektem jest nie tylko lista luk technicznych, ale też odpowiedź na pytanie „jak dużo o nas widać z zewnątrz i co z tego wynika”. Dla wielu klientów ta część bywa najbardziej otwierająca oczy — bo pokazuje firmę taką, jaką widzi ją przeciwnik.

Najczęstsze pytania (FAQ)

Czy OSINT jest legalny? Samo zbieranie informacji z publicznie dostępnych, legalnych źródeł jest zgodne z prawem — na tym opiera się analiza konkurencji, dziennikarstwo śledcze i praca pentesterów. Nielegalne staje się dopiero wykorzystanie tych informacji do przestępstwa (włamanie, oszustwo). Napastnicy nadużywają narzędzia, które samo w sobie jest neutralne.

Skąd atakujący ma hasła moich pracowników, skoro nas nie zhakował? Najczęściej z wycieków innych serwisów. Jeśli pracownik użył służbowego adresu na prywatnym, później zhakowanym portalu i powtarzał hasło, para „e-mail + hasło” krąży w publicznych zbiorach. Atakujący ją znajduje i próbuje w Waszych systemach — bez łamania czegokolwiek. Dlatego sprawdzanie wycieków i unikalne hasła są tak ważne.

Czy da się całkowicie zniknąć z OSINT? Nie — firma musi być widoczna, by działać (strona, oferty, ludzie na LinkedIn). Celem nie jest zniknięcie, lecz kontrola śladu: usunięcie zbędnej ekspozycji, ukrycie wersji, zamknięcie zapomnianych systemów i świadomość, co jest publiczne. Chodzi o minimalizację amunicji, nie o niewidzialność.

Jak sam sprawdzę, co widać o mojej firmie? Zacznij od skanu domeny — zobaczysz subdomeny, wystawione technologie i konfigurację poczty. Dalej: monitoring wycieków firmowych adresów, przegląd LinkedIna pod kątem nadmiaru informacji i sprawdzenie, czy nie masz publicznie dostępnych wrażliwych plików. Pełny obraz da profesjonalne rozpoznanie w ramach testu.

Prowadzimy firmę — czy warto zlecić rozpoznanie OSINT? Tak, zwłaszcza przed ważnym wdrożeniem albo jako element audytu. Rozpoznanie pokazuje Twoją firmę oczami atakującego: co jest wystawione, kto jest widoczny, jakie dane wyciekły. To tania i bardzo praktyczna wiedza — pozwala domknąć luki, zanim znajdzie je ktoś niepowołany. Porozmawiajmy.

Podsumowanie

OSINT to niewidoczny pierwszy krok niemal każdego ataku: napastnik z publicznych źródeł odtwarza Twoją infrastrukturę, ludzi, wyciekłe hasła i dokumenty — nie łamiąc żadnego zabezpieczenia. Dobra wiadomość jest taka, że tę samą perspektywę możesz przyjąć jako obrońca: zmapuj własną powierzchnię ataku, ukryj to, co zbędne, monitoruj wycieki i zadbaj o higienę danych. Zacznij od skanu swojej domeny, a jeśli chcesz zobaczyć pełny obraz tego, co o Tobie widać — zlećmy profesjonalne rozpoznanie. W bezpieczeństwie wygrywa ten, kto zna siebie tak dobrze, jak zna go przeciwnik.


Źródła i dalsza lektura: OSINT Framework, Sekurak, Niebezpiecznik.

Udostępnij artykuł

Usługi Umów konsultację