Onderzoeksvraag
Welke tools en methodieken zijn het meest geschikt om betrouwbare OSINT-profielen van medewerkers op te stellen?
1. Methode en werkwijze
Er werd een systematische OSINT-aanpak gevolgd die zich richtte op de combinatie van handmatig zoeken, geautomatiseerde tooling en het structureren van gevonden informatie per persoon. De profielen zijn gebaseerd op publieke data (openbare profielen, websites, fora, etc.).
- Er werd gebruikgemaakt van het OSINT-framework (osintframework.com) voor toolselectie.
- Profielen werden opgebouwd via herleidbare digitale sporen (namen, aliassen, afbeeldingen).
- Alle informatie werd handmatig gevalideerd en logisch gecategoriseerd (functie, gedrag, platform, risico).
2. Gebruikte tools
| Tool / Methode | Beschrijving |
|---|---|
| Google Dorking | Zoekopdrachten om specifieke informatie op domeinen van Bodegro te vinden. |
| LinkedIn (handmatig) | Voor functie, netwerk en opleidingsinformatie. |
| Instagram & Facebook | Voor interesses, sociale context en locatieherkenning. |
| theHarvester | E-mailadressen en subdomeinen verzamelen via publieke bronnen. |
| Sherlock | Opsporen van aliassen op tientallen platforms. |
| HaveIBeenPwned | Controleren op eerdere datalekken van e-mailadressen. |
| Exiftool (handmatig) | Uitlezen van metadata uit foto’s, zoals GPS-data. |
3. Structuur van de medewerkersprofielen
Iedere medewerker werd beschreven in een tabel met vaste velden, zoals:
- Volledige naam en functie binnen Bodegro
- Gevonden aliassen en gebruikersnamen
- Platforms waarop hij/zij actief is
- Hobby’s en interesses (vooral relevant voor phishingaanpakken)
- Signalen van verhoogd risico (bijv. datalekken, veelgebruikte namen)
- Relevantie voor OSINT-gebaseerde aanvallen
De profielen werden niet gedeeld buiten de organisatie en alleen gebruikt in het kader van security-awareness.
4. Validatie en ethiek
Alle gevonden gegevens zijn handmatig geverifieerd om misattributie te voorkomen. Er werd geen scraping gebruikt en alle bronnen waren openbaar. Indien twijfel ontstond over herleidbaarheid of relevantie, werd de data niet opgenomen in het profiel.
Belangrijke ethische uitgangspunten:
- Geen privégegevens of content uit besloten groepen
- Geen automatische opslag of lange termijn bewaren
- Vrijwillige inzage voor medewerkers na afloop
5. Conclusie
Door slimme combinaties van OSINT-tools en ethische selectiecriteria konden bruikbare profielen worden opgesteld die aantoonden hoe eenvoudig cybercriminelen misbruik kunnen maken van openbare informatie. Tegelijkertijd werd bewustwording binnen Bodegro structureel versterkt.
De aanpak bewijst dat OSINT niet alleen een risicotool is, maar ook een krachtig educatief middel.
Terug naar overzicht