OSINT senza bruciare la tua identità
Practical Guides & Tutorials

OSINT senza bruciare la tua identità

Giornalisti, investigatori e ricercatori lasciano tracce a ogni fonte che consultano. Ecco come condurre indagini su fonti aperte senza che il bersaglio si accorga di essere osservato.

BROWSER.LOL
12.03.2026
20 min di lettura
Condividi

Una redazione investigativa stava indagando su un processore di pagamenti di medie dimensioni coinvolto in diversi casi di frode. Lo stesso pomeriggio, due reporter hanno aperto dalla rete dell'ufficio, per comodità, il sito dell'azienda, i profili LinkedIn del management e le pagine «about» delle controllate. Tre giorni dopo, la caporedattrice riceveva una telefonata dall'agenzia di comunicazione del bersaglio che chiedeva a che punto fosse il pezzo. L'inchiesta era bruciata prima ancora che qualcuno avesse scritto una riga.

Le fonti sono aperte, visitarle quasi mai lo è davvero. I siti registrano indirizzi IP, cookie di sessione, referrer, attributi di fingerprint e spesso anche il comportamento di scroll. LinkedIn fa vedere al proprietario del profilo chi è passato a curiosare. Alcuni siti aziendali fanno girare Clearbit o strumenti simili di lead identification che dal tuo IP risalgono direttamente al tuo datore di lavoro. Per l'OSINT vuol dire che il lavoro vero comincia prima del clic.

Cosa lasciano trapelare gli investigatori senza accorgersene

La traccia più ovvia è l'indirizzo IP. Indagare da una VPN aziendale o da una fascia di IP di un ISP regionale rivela il tuo datore di lavoro e la zona in cui ti trovi. Per i bersagli che tengono d'occhio i log dei visitatori (grandi aziende, soggetti già sorvegliati, truffatori con il proprio stack di logging) è di solito il primo segnale che c'è un'indagine in corso.

Subito dopo arrivano i cookie e le sessioni aperte. Fare OSINT in un profilo Chrome personale vuol dire lavorare con il tuo vero account Google attaccato dietro. Una ricerca Google su una persona resta legata alla tua email, un clic su YouTube comunica alla piattaforma che quell'utente è interessato a quel tema, e dal pezzo di fonte aperta alla tua casella di posta può bastare un singolo riscontro di cookie.

Il fingerprint chiude il cerchio. Quello del tuo browser è abbastanza stabile da consentire a un bersaglio con le proprie analytics di riconoscerti tra visite e tra siti diversi anche dopo che hai svuotato i cookie. I dettagli tecnici sono in Browser Fingerprinting.

Costruire account sock puppet fatti bene

Tre sagome di profilo impilate in verticale, ognuna con un piccolo contorno di browser e una linea tratteggiata di separazione tra i profili

Un sock puppet non è una bugia. È un account di lavoro tenuto di proposito staccato dalla tua identità, così che tu possa usare le piattaforme senza che si torni al tuo nome vero. La chiave è la coerenza: nome, data di nascita, dominio dell'email, numero di telefono e dispositivo in uso devono incastrarsi tra loro. Piattaforme come Facebook e LinkedIn individuano subito le contraddizioni nella firma di un account e bloccano le nuove iscrizioni senza tanti complimenti.

La seconda chiave è la fase di riscaldamento. Un account che il primo giorno cerca una persona precisa puzza lontano un miglio. Uno con tre settimane di attività normale alle spalle prima della ricerca sensibile si perde nel rumore di fondo. Mettiti avanti con il riscaldamento prima di averne davvero bisogno.

E la terza: ogni sock puppet vive nel suo profilo di browser. Le sessioni non si devono mai sovrapporre, altrimenti cookie, referrer e fingerprint condivisi finiscono per legare tutti gli account fra loro.

Igiene del browser per le sessioni OSINT

Il browser del portatile aziendale è il nemico naturale di un OSINT pulito. È legato al tuo datore di lavoro, custodisce i tuoi login di produzione e condivide fingerprint con qualsiasi sito tu visiti per motivi personali. La regola più semplice e più efficace: l'OSINT non gira mai dentro il browser di tutti i giorni.

Un ambiente pulito risponde a quattro requisiti. Parte senza cookie salvati. Non ha estensioni installate, perché ogni estensione aggiunge una dimensione di fingerprint in più. Usa un indirizzo IP che non si possa ricondurre né al datore di lavoro né a casa tua. E sparisce a fine sessione, così una compromissione successiva del dispositivo non si porta dietro alcuno storico.

Un browser remoto isolato copre i quattro punti in automatico. Gira nel cloud, non ha nessun collegamento con i tuoi account, mostra un IP fuori dalla tua rete e viene buttato via per intero a fine sessione. Per redazioni e team investigativi ormai è l'infrastruttura di partenza.

Separazione di IP, DNS e timing

Una piccola mappa con tre nodi (utente, cloud browser, server bersaglio) collegati da frecce tratteggiate che indicano rotte diverse

L'igiene di IP è molto più di una VPN. Le fasce di IP delle VPN commerciali sono ben note ai siti più sensibili alle indagini, che le bloccano oppure le loggano con priorità. I residential proxy, IP di vere connessioni domestiche, sembrano meno sospetti, ma sono un campo minato dal punto di vista legale ed etico appena la loro origine non è chiara. La via di mezzo pragmatica sono IP di datacenter seri, in paesi coerenti con la ricerca.

La separazione del DNS è sottovalutata. Se il tuo dispositivo interroga il resolver aziendale prima che il tunnel VPN sia attivo, ottieni un DNS leak che espone proprio i siti che pensavi di visitare in anonimo. Un browser isolato nel cloud risolve il DNS fuori dalla tua rete e taglia il problema alla radice.

Conta anche il timing. Più reporter della stessa redazione che bussano allo stesso dominio nel giro di un'ora disegnano un pattern che salta all'occhio in qualunque stack di analytics decente. Distribuisci le visite, evita i picchi localizzati.

Un flusso di lavoro sostenibile

«Faccio solo un controllo al volo» è la ragione più frequente per cui un'inchiesta finisce bruciata. Un flusso di lavoro sostenibile è quello in cui aprire l'ambiente di ricerca è più rapido che aprire il browser di tutti i giorni. Un segnalibro, una scorciatoia sul desktop o una voce nel launcher che avvii subito una sessione isolata fa la differenza tra un'indagine pulita e una bruciata.

Documenta ogni sessione, anche la più breve. Gli screenshot si fanno dentro la sessione e si esportano dalla sessione stessa. Lo screenshot in sé raramente porta con sé metadati identificativi; il profilo di browser da cui è uscito, invece, sì.

Vuoi un vero desktop su qualunque dispositivo?

Prova Browser.lol gratis: la potenza di un PC, anche dal telefono.

Avvia il tuo desktop nel browser

Niente download • Funziona ovunque

Già scelto da oltre 250.000 professionisti
Compatibilità desktop totale
Pronto in pochi secondi

Ultimi articoli

Tutti gli articoli
Visitare il dark web in sicurezza: Tor da un cloud browser
Guide pratiche e tutorial

Visitare il dark web in sicurezza: Tor da un cloud browser

Far girare Tor sul tuo computer lega il tuo IP, il tuo dispositivo e la tua identità a tutto quello che guardi. Ecco come navigare sui siti .onion in sicurezza da una sessione cloud usa e getta.

17.05.2026Continua a leggere
Fare login sul computer di qualcun altro
Guide pratiche e tutorial

Fare login sul computer di qualcun altro

Chioschi d'albergo, PC di biblioteca, laptop di un amico. Cosa catturano davvero keylogger, credenziali salvate e autofill sui dispositivi condivisi, e come un cloud browser tiene i tuoi account fuori portata.

26.03.2026Continua a leggere
Testare link sospetti senza correre rischi
Guide pratiche e tutorial

Testare link sospetti senza correre rischi

Gli analisti di sicurezza devono poter aprire URL sospette senza compromettere la rete. Scopri come costruire un workflow di indagine solido, con browser isolati, checklist ripetibili e un reporting impeccabile.

30.10.2025Continua a leggere