OSINT — Recon-Mindmap.

Personen

• Name → E-Mail. Hunter.io, Apollo, RocketReach paid; theHarvester, emailrep.io kostenlos. Validieren via SMTP-Recipient-Probe (RCPT TO) oder Microsoft GetCredentialType-Endpoint für O365-Tenants.
• E-Mail → Präsenz. HaveIBeenPwned (Breach-Liste), Skype-/Teams-Presence-Ping, Spotify-Public-Profil, GitHub-No-Reply-Email-Match.
• Name → Social-Handles. sherlock, maigret für Username-Sweep über 350+ Sites. Cross-Reference Profilbilder für Face-Match.
• Name → Rolle. LinkedIn (primär); GitHub-Org-Seiten; Conference-Speaker-Bios; SEC-Filings für Execs US-börsennotierter Firmen.
• Cross-Correlation. Gleicher Username auf 3+ unverbundenen Sites + 1 Photo-Match = vertrauensvolle Identität. Reverse-Image-Search via Yandex (beste für Gesichter), Google, TinEye.

Organisationen

• Unternehmensstruktur. Handelsregister (DE), Companies House (UK), SEC EDGAR (US), OpenCorporates (multi-Jurisdiktion). Zeigt Töchter, Geschäftsführer, wirtschaftliche Eigentümer.
• Stellenanzeigen. Einzige meistunterschätzte Recon-Quelle. Stellenanzeigen listen interne Tech-Stacks ("Erfahrung mit Splunk und Crowdstrike"), Team-Namen, Reporting-Linien.
• Pressemitteilungen & Case-Studies. Vendor-Case-Studies offenbaren wörtlich interne Architektur-Details des Kunden. site:vendor.com "$TARGET".
• Procurement-Portale. Regierungsverträge zeigen Tech-Investments, Vendors, Projekt-Zeitleisten.

Infrastruktur

• IP-Raum. ARIN/RIPE/APNIC-Whois → Org-Netblocks. asnlookup, BGP-Toolkit für ASN-Graph.
• CT-Logs. crt.sh?q=%25.target.com für jedes je ausgestellte Cert unter der Domain. Historische Certs verraten alte Subdomains und Konventionen.
• Third-Party-SaaS-Dependencies. builtwith.com, DNS-MX-/SPF-Records (MX = Mail-Provider, SPF-Authorized-Senders = SaaS-Liste).
• Shodan / Censys / FOFA. org:"Target Corp", ssl:"Target", http.title:"Target Admin".
• Subdomain-Enumeration. Bereits im Recon-Eintrag dokumentiert; CT-Logs + DNS-Bruteforce + JS-Scraping parallel.

Code

• GitHub. org:target-corp + Secrets-Search. github.com/search?q=org%3Atarget+AWS_SECRET_KEY. Persönliche Repos von Contributors beobachten — Secrets leaken oft in privaten Projekten, die aus Arbeit kopiert wurden.
• GitLab self-hosted. gitlab.target.com oft versehentlich public-sichtbar.
• npm / PyPI. Publizierte Packages verraten interne Package-Namen → potenzielle Dependency-Confusion-Angriffsfläche.
• Docker Hub. hub.docker.com/u/targetcorp. Layer können geleakte Secrets, interne IPs, Build-Skripte enthalten.
• Mobile App Stores. APK/IPA ziehen, Secret-Scanner laufen lassen. Companion-Apps leaken häufig API-Keys.

Leaks & Breach-Data

• HaveIBeenPwned. Per-Account-Breach-Exposure-Check. Offenbart keine Passwörter; offenbart in welchen Breaches ein Account ist.
• Dehashed, Snusbase, Leak-Lookup. Paid-Services mit durchsuchbarem Plaintext aus öffentlichen Dumps. Nur im schriftlich vereinbarten Legal-Scope nutzen.
• Combolists. Aggregierte Credential-Listen, die auf Cybercrime-Foren zirkulieren. Die meisten sind recycelter Stuffing-Stoff, keine frischen Breaches.
• Cross-Corroboration. Ein "Fresh Breach"-Claim, der nach 2 Wochen auf keinem seriösen Index erscheint, ist meist fake oder repackaged.
• Juristische Haltung. Breach-Data nur für engagement-relevante Analyse nutzen (z.B. zur Bestätigung, dass eine Ziel-E-Mail in einem Breach ist, für Phishing-Realismus). Volle Breach-Datasets nicht speichern, außer Vertrag erlaubt es explizit.