Proxy cho OSINT: Cách tìm kiếm thông tin ẩn danh từ các nguồn mở

OSINT (Tình báo Nguồn Mở) — là việc thu thập và phân tích dữ liệu từ các nguồn công khai: mạng xã hội, diễn đàn, cơ sở dữ liệu, trang web công ty và các sổ đăng ký nhà nước. Vấn đề là mỗi yêu cầu của bạn đều để lại dấu vết: các trang web thấy địa chỉ IP thực của bạn, ghi lại hoạt động và có thể chặn quyền truy cập hoặc — điều tồi tệ hơn — xác định danh tính của bạn. Proxy giải quyết vấn đề này, cho phép bạn làm việc ẩn danh và không bị giới hạn.

Trong bài viết này, chúng ta sẽ phân tích các loại proxy phù hợp cho các nhiệm vụ OSINT, cách sử dụng chúng đúng cách với các công cụ phổ biến và cách thiết lập một sơ đồ làm việc an toàn, không để lại dấu vết số.

Tại sao OSINT không có proxy lại nguy hiểm: những rủi ro thực tế

Nhiều nhà nghiên cứu OSINT mới vào nghề nghĩ rằng làm việc với các nguồn mở là an toàn theo định nghĩa. Bởi vì bạn chỉ đang đọc thông tin công khai, đúng không? Thực tế không phải vậy. Mỗi lần bạn mở một trang trong trình duyệt, máy chủ nhận được địa chỉ IP thực của bạn, dữ liệu về trình duyệt, hệ điều hành, múi giờ và thậm chí cả độ phân giải màn hình. Tất cả những điều này tạo thành dấu vân tay số duy nhất của bạn.

Hãy xem xét các kịch bản cụ thể, nơi mà việc không có proxy tạo ra những vấn đề thực sự:

• Đối tượng điều tra biết về sự theo dõi. Nếu bạn nhiều lần truy cập trang của một người cụ thể trên Instagram hoặc Vkontakte, một số dịch vụ phân tích sẽ hiển thị cho chủ sở hữu thống kê truy cập. Địa chỉ IP của bạn có thể bị ghi lại.
• Chặn vì yêu cầu hàng loạt. Khi thu thập dữ liệu từ các sổ đăng ký công khai, cơ sở dữ liệu công ty hoặc diễn đàn, các trang web nhanh chóng phát hiện hoạt động bất thường từ một IP và chặn quyền truy cập. Nếu không có xoay vòng IP, bạn sẽ mất quyền truy cập vào nguồn trong vài giờ hoặc vài ngày.
• Chặn địa lý. Một số nguồn chỉ có sẵn từ một số quốc gia nhất định. Các cơ sở dữ liệu phán quyết của Mỹ, các sổ đăng ký công ty châu Âu, các diễn đàn khu vực — nếu không có IP cần thiết, bạn sẽ không thể truy cập vào đó.
• Đánh dấu danh tính qua rò rỉ IP. Một số trang web sử dụng WebRTC, Flash hoặc các công nghệ khác có thể tiết lộ địa chỉ IP thực của bạn ngay cả khi sử dụng VPN. Proxy được cấu hình đúng cách kết hợp với trình duyệt chống phát hiện sẽ đóng lỗ hổng này.
• Liên kết hoạt động. Nếu bạn nghiên cứu nhiều nguồn từ một IP, các quản trị viên của chúng có thể trao đổi dữ liệu và khôi phục bức tranh đầy đủ về hoạt động của bạn.

Kết luận đơn giản: OSINT chuyên nghiệp đòi hỏi sự bảo vệ chuyên nghiệp. Proxy không phải là sự hoang tưởng, mà là vệ sinh cơ bản trong công việc tình báo.

Các loại proxy nào phù hợp cho OSINT và sự khác biệt của chúng

Không phải tất cả các proxy đều có ích như nhau cho các nhiệm vụ OSINT. Việc chọn loại phụ thuộc vào nhiệm vụ cụ thể: điều tra đơn lẻ, thu thập dữ liệu hàng loạt hoặc làm việc với các nền tảng bị chặn. Chúng ta sẽ phân tích từng loại một cách chi tiết.

Proxy cư trú — công cụ chính của OSINT

Proxy cư trú — là địa chỉ IP của người dùng thực tại nhà. Khi bạn kết nối qua proxy như vậy, trang web thấy một người bình thường từ Moscow, Berlin hoặc New York, chứ không phải là máy chủ của trung tâm dữ liệu. Điều này khiến chúng gần như không thể phân biệt với người dùng thực.

Đối với OSINT, điều này cực kỳ quan trọng: hầu hết các nền tảng mà các nhà nghiên cứu kiểm tra — Instagram, LinkedIn, Facebook, các diễn đàn khu vực — thường xuyên chặn IP của các trung tâm dữ liệu. Proxy cư trú vượt qua các bộ lọc này mà không gặp vấn đề gì. Một điểm cộng bổ sung là khả năng chọn quốc gia cụ thể và thậm chí thành phố, cho phép bạn xem các nguồn địa phương "qua con mắt của người dân địa phương".

Proxy di động — cho việc làm việc với các nền tảng di động

Proxy di động hoạt động thông qua các SIM thực của các nhà mạng. Đặc điểm chính của chúng là một địa chỉ IP của nhà mạng thực sự được sử dụng bởi hàng trăm hoặc hàng ngàn thuê bao cùng một lúc. Điều này có nghĩa là ngay cả khi trang web phát hiện hoạt động đáng ngờ từ IP này, nó không thể đơn giản chặn nó — nếu không, nó sẽ chặn hàng trăm người dùng bình thường.

Proxy di động là không thể thiếu khi làm OSINT trên Instagram, TikTok và các nền tảng khác, nơi tập trung vào người dùng di động và chặn "IP đáng ngờ" một cách quyết liệt. Nếu nhiệm vụ của bạn là nghiên cứu các tài khoản trên Instagram hoặc TikTok mà không có rủi ro bị chặn, proxy di động sẽ cung cấp mức độ bảo vệ tối đa.

Proxy trung tâm dữ liệu — cho tốc độ và khối lượng

Proxy trung tâm dữ liệu — nhanh nhất và rẻ nhất. Chúng rất phù hợp cho các nhiệm vụ mà tính ẩn danh ít quan trọng hơn, trong khi tốc độ là điều cần thiết: thu thập dữ liệu từ các sổ đăng ký nhà nước mở, thu thập dữ liệu từ các trang web có bảo vệ tối thiểu, kiểm tra tên miền và bản ghi WHOIS. Tuy nhiên, khi làm việc với mạng xã hội hoặc các nền tảng lớn, chúng ít phù hợp hơn — nhiều dịch vụ tự động chặn các dải IP của trung tâm dữ liệu.

Các công cụ OSINT phổ biến và cách kết nối proxy với chúng

Cộng đồng OSINT sử dụng hàng chục công cụ chuyên dụng. Hãy xem xét những công cụ phổ biến nhất và phân tích cách kết nối proxy cho mỗi công cụ để làm việc ẩn danh.

Maltego

Maltego — là một trong những công cụ mạnh mẽ nhất để trực quan hóa các mối quan hệ giữa con người, tổ chức, tên miền và địa chỉ IP. Nó thực hiện yêu cầu tới hàng chục nguồn dữ liệu cùng một lúc. Để kết nối proxy: vào Edit → Preferences → Proxies, chọn loại SOCKS5 hoặc HTTP, nhập địa chỉ proxy, cổng, tên đăng nhập và mật khẩu. Nên sử dụng proxy cư trú, vì Maltego tạo ra yêu cầu tới nhiều dịch vụ khác nhau — IP của trung tâm dữ liệu sẽ nhanh chóng bị đưa vào danh sách đen.

Shodan

Shodan — là công cụ tìm kiếm các thiết bị kết nối với internet. Không thể thiếu khi nghiên cứu cơ sở hạ tầng của các công ty, tìm kiếm các camera, router và server dễ bị tổn thương. Khi làm việc với Shodan qua trình duyệt hoặc API, địa chỉ IP của bạn có thể bị đánh dấu là đáng ngờ. Sử dụng proxy qua cài đặt trình duyệt hoặc qua cài đặt proxy hệ thống khi làm việc với API.

theHarvester

theHarvester thu thập địa chỉ email, tên, tên miền phụ và IP từ các nguồn mở — Google, Bing, LinkedIn, Twitter/X. Công cụ này hoạt động trong dòng lệnh và hỗ trợ proxy qua tham số --proxies. Ví dụ sử dụng: chỉ định địa chỉ proxy theo định dạng http://user:pass@ip:port cho các yêu cầu ẩn danh tới các công cụ tìm kiếm.

SpiderFoot

SpiderFoot — là một công cụ quét OSINT tự động với giao diện web. Hỗ trợ cài đặt proxy ngay trong giao diện: phần Settings → Proxy Settings. Chỉ định loại proxy (SOCKS5 được khuyến nghị cho khả năng tương thích tốt hơn), địa chỉ và cổng. SpiderFoot thực hiện hàng trăm yêu cầu tới các nguồn khác nhau, vì vậy việc xoay vòng IP qua proxy cư trú ở đây đặc biệt quan trọng.

Recon-ng

Recon-ng — là một framework mô-đun cho tình báo. Để cài đặt proxy, sử dụng lệnh trong console của công cụ: thiết lập biến môi trường PROXY trước khi khởi động hoặc cấu hình proxy hệ thống ở cấp độ hệ điều hành. Nhiều mô-đun của Recon-ng sử dụng các thư viện Python, tự động lấy cài đặt proxy hệ thống.

Cài đặt trình duyệt ẩn danh cho các cuộc điều tra OSINT

Trình duyệt — là công cụ chính của hầu hết các cuộc điều tra OSINT. Chrome hoặc Firefox tiêu chuẩn, ngay cả với proxy, để lại nhiều dấu vết: cookies, lịch sử, bộ nhớ cache, dấu vân tay trình duyệt. Để làm việc chuyên nghiệp, cần có sự bảo vệ nghiêm ngặt hơn.

Tùy chọn 1: Trình duyệt chống phát hiện

Các trình duyệt chống phát hiện — Dolphin Anty, AdsPower, GoLogin, Multilogin — được tạo ra để quản lý nhiều hồ sơ trình duyệt cách ly. Mỗi hồ sơ có dấu vân tay độc đáo và cookies riêng biệt. Đối với OSINT, đây là giải pháp lý tưởng: tạo một hồ sơ riêng cho mỗi cuộc điều tra, kết nối proxy với nó, và các cuộc điều tra khác nhau của bạn sẽ không bị chồng chéo.

Cài đặt từng bước trong Dolphin Anty:

1. Tạo một hồ sơ mới: nhấn + Hồ sơ mới
2. Đi đến phần Proxy trong cài đặt hồ sơ
3. Chọn loại proxy: SOCKS5 (được khuyến nghị) hoặc HTTP
4. Nhập dữ liệu: địa chỉ IP, cổng, tên đăng nhập và mật khẩu của proxy của bạn
5. Nhấn Kiểm tra proxy — đảm bảo rằng địa điểm địa lý khớp với mong đợi
6. Lưu hồ sơ và khởi động nó — bây giờ tất cả lưu lượng truy cập đi qua proxy

Cài đặt tương tự trong AdsPower:

1. Nhấn Hồ sơ trình duyệt mới
2. Trong phần Cài đặt proxy, chọn loại kết nối
3. Nhập dữ liệu proxy vào các trường tương ứng
4. Cấu hình User-Agent cho nền tảng cần thiết (di động hoặc máy tính để bàn)
5. Khởi động hồ sơ và kiểm tra IP qua whatismyipaddress.com

Tùy chọn 2: Firefox với tiện ích mở rộng FoxyProxy

Nếu trình duyệt chống phát hiện là quá mức cho nhiệm vụ của bạn, hãy sử dụng Firefox với tiện ích mở rộng FoxyProxy. Nó cho phép bạn nhanh chóng chuyển đổi giữa các máy chủ proxy khác nhau chỉ với một cú nhấp chuột. Cài đặt tiện ích mở rộng, thêm proxy của bạn vào danh sách và chỉ định phím tắt để chuyển đổi. Ngoài ra, hãy cài đặt tiện ích mở rộng Canvas Blocker để bảo vệ khỏi fingerprinting và uBlock Origin để chặn các trình theo dõi.

OSINT trên mạng xã hội: Instagram, TikTok, VK, Telegram

Mạng xã hội — là nguồn dữ liệu OSINT phong phú nhất. Nhưng chúng cũng là những nền tảng có sự bảo vệ mạnh mẽ nhất chống lại việc thu thập thông tin tự động và theo dõi các nhà nghiên cứu. Hãy phân tích những đặc điểm khi làm việc với từng nền tảng.

Instagram và Facebook

Meta hạn chế nghiêm ngặt việc xem hồ sơ mà không có xác thực và tích cực chặn các địa chỉ IP có hoạt động đáng ngờ. Đối với OSINT trên Instagram, nên sử dụng proxy di động — IP của chúng ít bị chặn hơn, vì thuộc về các nhà mạng thực. Khi làm việc qua trình duyệt: sử dụng một hồ sơ riêng trong trình duyệt chống phát hiện (Dolphin Anty hoặc GoLogin) với proxy di động được kết nối. Không thực hiện quá 50-100 lượt xem hồ sơ mỗi giờ từ một IP — đây là dấu hiệu để bị chặn.

Để thực hiện OSINT sâu hơn trên Facebook, hãy sử dụng khả năng tìm kiếm qua Graph Search (mặc dù Meta đã hạn chế nó, một số chức năng vẫn hoạt động). Lưu dữ liệu cục bộ ngay khi xem — quyền truy cập vào hồ sơ có thể biến mất khi bạn truy cập lại.

TikTok

TikTok tích cực sử dụng phân tích hành vi và địa điểm để xác định tính xác thực của người dùng. Đối với OSINT trên TikTok: sử dụng proxy di động với địa điểm phù hợp với khu vực đang nghiên cứu. Xem các hồ sơ và video với tốc độ tự nhiên, nghỉ giữa các phiên. TikTok đặc biệt nhạy cảm với sự không phù hợp giữa địa điểm được khai báo và hành vi thực tế của người dùng.

VKontakte

VKontakte thân thiện hơn với việc xem ẩn danh so với các nền tảng của Meta, nhưng cũng có bảo vệ chống lại việc thu thập dữ liệu hàng loạt. Để làm việc mà không cần xác thực, hãy sử dụng proxy cư trú với IP của Nga — điều này sẽ đảm bảo quyền truy cập vào tất cả các chức năng mà không bị hạn chế. API của VKontakte yêu cầu xác thực và xoay vòng token khi có yêu cầu lớn, điều này vượt quá OSINT cơ bản.

Telegram

Telegram cung cấp nhiều khả năng cho OSINT: tìm kiếm theo tên người dùng, xem các kênh và nhóm công khai, tìm kiếm tin nhắn. Để làm việc ẩn danh với Telegram qua trình duyệt (web.telegram.org), hãy sử dụng proxy trong cài đặt hồ sơ trình duyệt. Đối với ứng dụng máy tính để bàn của Telegram: vào Cài đặt → Quyền riêng tư → Loại proxy và nhập dữ liệu của proxy SOCKS5. Điều này sẽ hướng toàn bộ lưu lượng của ứng dụng nhắn tin qua máy chủ proxy.

Kỹ thuật nâng cao: xoay vòng IP, thay đổi địa điểm, vượt qua các chặn

Việc sử dụng proxy cơ bản chỉ là khởi đầu. Các nhà nghiên cứu OSINT chuyên nghiệp áp dụng các sơ đồ phức tạp hơn để đảm bảo tính ẩn danh tối đa và hiệu quả công việc.

Xoay vòng địa chỉ IP

Xoay vòng — là việc tự động thay đổi địa chỉ IP sau một khoảng thời gian nhất định hoặc sau mỗi yêu cầu. Đối với OSINT, điều này đặc biệt quan trọng khi làm việc với các công cụ tìm kiếm (Google, Bing) và khi thu thập dữ liệu lớn. Google, chẳng hạn, bắt đầu hiển thị CAPTCHA chỉ sau 100-200 yêu cầu từ một IP trong vòng một giờ.

Proxy cư trú với một nhóm IP hỗ trợ xoay vòng tự động: mỗi yêu cầu mới đi qua một IP mới trong nhóm. Điều này cho phép thực hiện hàng ngàn yêu cầu mà không bị chặn. Khi làm việc thủ công trong trình duyệt, hãy thiết lập việc thay đổi IP mỗi 15-30 phút hoặc trước khi chuyển sang đối tượng điều tra mới.

Thay đổi địa điểm theo nhiệm vụ

Các nguồn thông tin khác nhau hoạt động tối ưu từ các địa điểm khác nhau. Một số ví dụ thực tiễn:

• Các cơ sở dữ liệu của Mỹ (PACER, LexisNexis, các sổ đăng ký công khai của tiểu bang) — sử dụng IP từ Mỹ, tốt nhất là từ tiểu bang nơi công ty đang được nghiên cứu
• Các sổ đăng ký công ty châu Âu (Companies House, Handelsregister) — IP từ Vương quốc Anh hoặc Đức tương ứng
• Các diễn đàn và dịch vụ khu vực của Nga — IP của Nga với thành phố cần thiết
• LinkedIn — IP từ quốc gia của hồ sơ đang nghiên cứu giảm khả năng yêu cầu xác thực

Ẩn danh nhiều lớp

Để bảo vệ tối đa, các nhà nghiên cứu OSINT sử dụng các sơ đồ nhiều lớp: proxy + trình duyệt chống phát hiện + máy ảo cách ly. Mỗi lớp thêm vào một lớp bảo vệ:

• Máy ảo — cách ly hệ điều hành, ẩn đi các đặc điểm thực của phần cứng
• Trình duyệt chống phát hiện — ẩn dấu vân tay của trình duyệt, cách ly cookies và lịch sử
• Proxy — ẩn địa chỉ IP thực và địa điểm

Sơ đồ này đảm bảo bảo vệ ở tất cả các cấp độ: ngay cả khi một cấp độ bị xâm phạm, các cấp độ còn lại vẫn tiếp tục bảo vệ danh tính của bạn.

Làm việc với các nguồn bị chặn

Một số nguồn dữ liệu bị chặn ở quốc gia của bạn hoặc chặn người dùng từ các khu vực nhất định. Proxy với địa điểm cần thiết giải quyết vấn đề này một cách trực tiếp. Một điểm quan trọng: khi làm việc với các nguồn bị chặn theo yêu cầu của các cơ quan quản lý, hãy đảm bảo rằng hoạt động của bạn tuân thủ luật pháp của khu vực pháp lý của bạn.

Những sai lầm điển hình của các nhà nghiên cứu OSINT và cách tránh chúng

Ngay cả những nhà nghiên cứu có kinh nghiệm cũng mắc phải những sai lầm có thể tiết lộ danh tính của họ hoặc chặn quyền truy cập vào các nguồn. Hãy phân tích những sai lầm phổ biến nhất trong số đó.

Sai lầm 1: Sử dụng một proxy cho tất cả các nhiệm vụ

Nhiều người sử dụng một máy chủ proxy cho tất cả các cuộc điều tra của họ. Điều này tạo ra sự tương quan: nếu ai đó phân tích nhật ký của các dịch vụ khác nhau, họ có thể liên kết tất cả các yêu cầu của bạn thông qua IP chung. Quy tắc: một proxy riêng (hoặc ít nhất là một IP riêng từ nhóm) cho mỗi cuộc điều tra. Trong các trình duyệt chống phát hiện, điều này được giải quyết bằng cách tạo một hồ sơ riêng với một proxy riêng cho mỗi dự án.

Sai lầm 2: Quên về múi giờ và ngôn ngữ của trình duyệt

Bạn đã kết nối với proxy có IP của Mỹ, nhưng trình duyệt hiển thị giờ Moscow và ngôn ngữ giao diện là tiếng Nga. Các hệ thống bảo vệ tiên tiến sẽ nhận thấy điều này: sự không phù hợp giữa địa điểm IP và cài đặt trình duyệt — là dấu hiệu rõ ràng của việc sử dụng proxy. Trong các trình duyệt chống phát hiện, hãy cấu hình múi giờ, ngôn ngữ và địa phương theo địa điểm của proxy. Trong Dolphin Anty và AdsPower, điều này được thực hiện trong cài đặt hồ sơ tự động khi gán cho proxy.

Sai lầm 3: Đăng nhập vào các tài khoản cá nhân qua proxy làm việc

Không bao giờ đăng nhập vào các tài khoản cá nhân của bạn (email, mạng xã hội) qua proxy mà bạn sử dụng cho OSINT. Điều này sẽ ngay lập tức làm lộ toàn bộ hoạt động của bạn từ IP đó. Đối với OSINT, hãy sử dụng các hồ sơ trình duyệt riêng biệt, không thể truy cập vào dữ liệu cá nhân của bạn.

Sai lầm 4: Bỏ qua HTTPS và nội dung hỗn hợp

Khi làm việc qua proxy HTTP (không phải HTTPS và không phải SOCKS5), toàn bộ lưu lượng của bạn đi qua máy chủ proxy dưới dạng không được mã hóa. Nhà điều hành proxy lý thuyết có thể thấy các yêu cầu của bạn. Sử dụng proxy SOCKS5 — chúng không giải mã lưu lượng và cung cấp mức độ bảo mật cao hơn. Đảm bảo rằng các trang web bạn truy cập sử dụng HTTPS.

Sai lầm 5: Thu thập dữ liệu quá mức

Ngay cả với proxy, bạn cũng không nên thực hiện hàng trăm yêu cầu mỗi phút. Các hệ thống bảo vệ hành vi phân tích không chỉ IP mà còn cả các mẫu hoạt động: tốc độ chuyển đổi, thời gian trên trang, chuỗi hành động. Giả lập hành vi của người dùng thực: hãy nghỉ giữa các yêu cầu, không chuyển đổi giữa các trang ngay lập tức, thỉnh thoảng cuộn trang xuống.

Sai lầm 6: Không kiểm tra tính khả dụng của proxy trước khi bắt đầu làm việc

Proxy có thể đột ngột ngừng hoạt động giữa phiên làm việc, và bạn sẽ tiếp tục làm việc với IP thực mà không nhận ra điều này. Trước mỗi phiên làm việc, hãy kiểm tra proxy qua các dịch vụ whatismyip.com hoặc 2ip.ru. Trong các trình duyệt chống phát hiện, có kiểm tra proxy tích hợp — hãy sử dụng nó. Ngoài ra, hãy thiết lập việc tự động ngắt kết nối internet khi mất proxy (kill switch).

Kết luận: cách xây dựng môi trường OSINT an toàn

OSINT chuyên nghiệp không chỉ là khả năng tìm kiếm thông tin, mà còn là khả năng thực hiện điều đó một cách kín đáo và an toàn. Proxy là một yếu tố cơ bản của bất kỳ cơ sở hạ tầng OSINT nghiêm túc nào: chúng ẩn địa chỉ IP thực của bạn, cho phép làm việc từ bất kỳ địa điểm nào và bảo vệ khỏi các chặn khi thu thập dữ liệu lớn.

Tóm lại: đối với hầu hết các nhiệm vụ OSINT, proxy cư trú là tối ưu — chúng cung cấp tính ẩn danh cao và vượt qua bảo vệ của hầu hết các nền tảng. Đối với việc làm việc với Instagram, TikTok và các dịch vụ di động khác, hãy chọn proxy di động. Đối với việc thu thập dữ liệu hàng loạt từ các sổ đăng ký mở và cơ sở dữ liệu có bảo vệ tối thiểu, proxy trung tâm dữ liệu sẽ phù hợp.

Kết hợp proxy với trình duyệt chống phát hiện (Dolphin Anty, AdsPower, GoLogin), tạo các hồ sơ riêng biệt cho mỗi cuộc điều tra, kiểm tra rò rỉ DNS và không quên điều chỉnh cài đặt trình duyệt (ngôn ngữ, múi giờ) với địa điểm của proxy đang sử dụng. Cách tiếp cận này sẽ đảm bảo bảo vệ tối đa cho danh tính của bạn khi làm việc với các nguồn mở.

Nếu bạn dự định thực hiện công việc nghiêm túc với OSINT — giám sát mạng xã hội, nghiên cứu công ty hoặc thu thập dữ liệu từ các nguồn khu vực — chúng tôi khuyên bạn nên bắt đầu với proxy cư trú: chúng cung cấp sự cân bằng giữa tính ẩn danh, tốc độ và khả năng truy cập vào một loạt các nguồn.