作者简介：迈克尔·爱迪生·海顿（Michael Edison Hayden）

一位来自孟买的美国作家。他为《纽约时报》，《华尔街日报》，《半岛电视台》，《金融时报》，《石板》和《伦敦时报》等做出了贡献。南方贫困法律中心的高级调查记者，专门研究在线激进主义和极端主义。他于2019年为哥伦比亚大学Tow中心撰写了有关开源情报报告的指南。

目录 

导言：在面具后面窥视 2 

1. 开放和封闭网络的差异 3 

2. 搜索开放网络 7 

3. 在社交媒体上验证真实性的方法 

4. 验证你在网上找到的图片和视频的真实性 28 

5. 探索边缘网站 35 

6. 使用档案，节省你的工作 42 

7. 学习新平台并与敌对社区互动 47 

8. 道德和个人安全 51 

附录：工具 57

导言：

研究人员和安全服务机构经常使用的开源情报(OSINT)，对于当代记者来说是最有价值的工具之一，因为它拥有大量可公开获得的在线信息。

进行基于OSINT研究的记者应渴望利用在线收集的信息来窥视互联网的面具下的真实面目（例如Twitter上的匿名化身或Instagram上经过过滤的照片），并讲述屏幕另一侧真实的人类肉体的故事。

每次我们上网时，我们都会放弃部分身份。有时，它以用于创建Twitter帐户的电子邮件的形式出现。在其他时候，它是用于两因素身份验证的电话号码，或者是几天或几周的时间戳，表明用户什么时候醒着和睡着了。记者可以将这样的线索拼凑起来，并用它们来讲述公众感兴趣的故事。

编写以下指南不仅为进行该工作提供了基础，而且还为验证信息，存档调查结果以及与敌对社区在线互动提供了基础。

我们越接近了解使互联网上具有影响力和新闻价值的方面发生的人们，以及他们的动机，我们的发现工作就变得越容易。

一、开放式网络与封闭式网络之间的差异

开源报告是指检索在线公开可用信息的工作，这就是我们称为开放网络的一部分。

通过电话，笔记本电脑和平板电脑之类的设备进行通信时，您甚至都在想着使用开放式和封闭式网络。记者应意识到差异，您可能会在开放和封闭的网络之间来回转换的同时与一些相同的朋友交谈，并且只需几分钟即可完成。

考虑开放式网络与封闭式网络之间的区别时，请考虑如何使用Facebook：您希望公众找到指向您撰写的故事的链接，因此您可以将其公开发布在时间轴上。但是，您可能不希望公众阅读您的评论以取笑老板的衣服，因此您可以通过网站的Messenger应用程序将其发布给同事。公共职位开放，对Messenger的刻薄评论已关闭。这是两种不同类型的交流，而您如何报告它们的使用情况将需要不同的方法。

1.1开放网络

问问自己：您正在查看的对话是否需要邀请？如果答案是否定的，那么您正在寻找的是我们所说的开放网络。Twitter用户，特别是推迟截止日期的记者，就“ TL上的内容”或他们公开可见的推文时间表彼此进行了相当多的交谈。“ TL上的”是开放且可搜索的网络的一部分。在4chan和8chan之类的imageboard论坛上进行的对话也是如此。您可以通过搜索Google阅读任何内容。例如，当勒布朗·詹姆斯（LeBron James）在2018年7月与洛杉矶湖人队（Los Angeles Lakers）签约时，《布莱切尔报道》（Bleacher Report）博客文章中有关该新闻的评论部分section 不休。关于詹姆斯的举动的评论部分是开放网络的一部分。雅虎答案也是如此。像Iron March这样的新纳粹论坛也是如此。

开放网络的示例：

Twitter，Facebook，YouTube，Instagram，Gab，Reddit，Voat，4chan，8chan，Parler，Minds.com，Steam，Kiwi Farms，《纽约时报》文章的评论部分，GoFundMe页面上的公共捐赠消息。

公开内容报道

假设一位名叫简·史密斯（Jane Smith）的20岁女性想在Facebook上祝约瑟夫·斯大林生日快乐，因为她属于前苏联辩护者的“坦克”社区。史密斯（Smith）发表文章：“祝我英俊的英雄约瑟夫·斯大林（Joseph Stalin）生日快乐！” 12月18日，两天后，史密斯抢劫了一家银行，并发布了一个Instagram视频，她告诉相机她以“摧毁西方文明”的名义这样做。

假设两个史密斯的帐户都已公开，并且您已经验证了这些帐户是真实的，那么您就有一个有趣的故事，讲述了一个强盗银行抢劫案：今日抢劫案中的20岁嫌疑人简·史密斯（Jane Smith）出现了为了赞扬约瑟夫·斯大林（Joseph Stalin）在Facebook上的地位，并向她的约900名Instagram追随者说，她把银行作为摧毁“西方文明”的一部分。

将帐户设置为公共帐户后，任何可以访问Internet的人都可以看到发布的内容。如果有人可以看到它，那么任何人都可以报告它。您将在本指南中阅读的大多数内容都围绕如何查找，验证和分析在开放网络上找到的内容。

1.2封闭网络

当Twitter用户八卦私人“ DM”时，这就是Twitter平台内封闭网络的一部分。用户不希望陌生人看到他们正在互相写的东西，因此需要邀请用户阅读。当您向某人发送短信时，您是在封闭的网络上进行的。创建聊天室时，只有邀请才能使用此聊天室，这是在封闭的网络上进行的。您正在查看的对话是否需要邀请？如果答案是肯定的，则说明您正在寻找一个封闭的网络。加密的消息传递应用程序（如WhatsApp，Signal和Wire）是封闭网络的很好示例，因为它们需要其他人的邀请才能查看和参与对话。

Keybase和Telegram是加密消息应用程序的示例，其中有关用户的大量资料是面向公众的，并且是开放网络的一部分，但对话并不总是以此方式呈现。

诸如“ Disboard”之类的网站旨在允许您在开放的网络上搜索与游戏应用程序Discord相关的服务器，但是我们将其称为封闭网络的一部分，因为许多值得一提的服务器都需要邀请加入。Disboard和类似的网站似乎没有出现在活动的Discord服务器的完整列表中。

封闭网络的示例：

Discord，Riot，Signal，WhatsApp，Telegram，Wire，Kik，Threema，Keybase，Messenger，短信，Facetime，Skype，Google Hangouts，以及面向公众的网站（如Twitter）上的直接消息功能。

报告他人的私人对话

您可能会遇到在封闭的网络上捕获的对话的开放网络上发布的屏幕截图。这些对话在验证方面提出了挑战，因为它们通常无法通过搜索Internet进行身份验证。

假设在另一种版本的Tankie Bank强盗故事中，您搜索了几个小时，但找不到Jane Smith的Facebook或Instagram个人资料。您唯一需要处理的是警察发布的新闻稿，暗示这名20岁的妇女抢劫了一家银行。根据当地新闻报道，在进行尽职调查时，您呼叫了另一名20岁的女士，名叫辛西娅·杰克逊（Cynthia Jackson），她与史密斯是密友。杰克逊告诉您：“简·史密斯（Jane Smith）是一个以共产主义的名义抢劫了一家银行的大佬，我有证据。”

杰克逊（Jackson）与您分享了她声称在抢劫之前与史密斯（Smith）共享的私人短信的屏幕截图。屏幕截图显示，史密斯分享了年轻的约瑟夫·斯大林的照片。文字说：“我将在两天内抢劫一家银行，以示对他的爱。”

不幸的是，您如果不做更多工作就无法获取这些信息并急于发布独家新闻。为什么？

屏幕截图绝对是伪造的。

您不在那儿，也不知道这些评论的全部内容。

您需要更多证据来确保这些言论来自史密斯，而不是其他人。

杰克逊可以让您看一下她的电话以查看与史密斯的进一步对话吗？您能以某种方式验证所使用的号码是史密斯的吗？您是否可以联系更多人，以支持声称杰克逊和史密斯是朋友的说法？您越接近验证杰克逊分享的真实性，就越接近报告您的发现。尽管如此，重要的经验法则是始终验证所有内容，无论是公开共享还是私下共享。 

本篇文章来源于微信公众号: 丁爸 情报分析师的工具箱