Dominik Piotrowicz

Kategoria: OSINT Ogólny

  • Metoda na BLIK-a. Jak hakerzy kradną sesje i używają szyfrowania przeciwko ofierze?

    W świecie cyberbezpieczeństwa i analizy OSINT bardzo łatwo ulec fascynacji zaawansowanymi podatnościami typu zero-day, spektakularnymi exploitami czy masowymi wyciekami danych. Rzeczywistość bywa jednak znacznie bardziej przyziemna. Najbardziej dewastujące ataki to te, które łączą proste złośliwe oprogramowanie z precyzyjną socjotechniką — jak choćby powszechna dziś oszustwo na blika.

    Niedawno uczestniczyłem w toczącej się w czasie rzeczywistym walce o uratowanie konta na Facebooka znajomej. To kosztowne, lecz doskonałe studium przypadku — pokazuje nie tylko, jak dziś wygląda cyfrowa walka wręcz, ale przede wszystkim, jak napastnicy potrafią obrócić mechanizmy bezpieczeństwa aplikacji przeciwko samej ofierze.

    Jak wygląda metoda na blika?

    Wprowadzenie do ataku metoda na blika. Pierwsze wiadomości z zaatakowanego konta
    Początek ataku metodą na BLIK na messengerze

    Pewnego dnia dostałem na Messengerze wiadomość od znajomej z prośbą o przelew BLIK-iem na poczet zamówienia na Allegro. Gdy zacząłem weryfikować rozmówcę pytaniem o szczegół znany tylko nam obojgu, w tym samym oknie pojawiły się kolejne wiadomości. Tym razem właścicielka konta napisała: „nie wysyłaj blika to nie ja, ktoś włamał mi się na konto”. Oszust i ofiara pisali do mnie niemal równocześnie. Od tej chwili miałem kilkanaście minut, żeby pomóc jej odzyskać konto.

    Rozłóżmy ten wektor ataku na czynniki pierwsze.

    Punkt wyjścia: Przejęcie poczty i wielki mit 2FA

    Wiele osób żyje w przekonaniu, że dwuskładnikowe uwierzytelnianie (2FA) chroni przed każdym rodzajem włamania. Ten przypadek brutalnie to weryfikuje. Aby zrozumieć, jak doszło do włamania, trzeba rozgraniczyć dwa mechanizmy, które napastnicy wykorzystali sekwencyjnie.

    Wszystko zaczęło się od infekcji złośliwym oprogramowaniem typu infostealer — prawdopodobnie dostarczonego przez phishing lub złośliwą stronę — z rodziny RedLine lub Lumma. Tego rodzaju malware wyciąga z profilu przeglądarki loginy, hasła oraz aktywne pliki cookie sesji.

    Krok 1: Kompromitacja powiązanej skrzynki e-mail (autoryzacja OTP)

    Kluczowym dowodem analitycznym była informacja od znajomej: „znalazłam na mailu kody do logowania sprzed dwóch dni, a ja nie wchodziłam na FB od miesiąca”. Wyklucza to scenariusz, w którym pierwsze logowanie nastąpiło wyłącznie za pomocą sklonowanego ciasteczka sesyjnego.

    Scenariusz przebiegł następująco:

    1. Napastnicy użyli skradzionego hasła, by zalogować się na Facebooka z nowego urządzenia.
    2. System Meta wymusił weryfikację kodem jednorazowym (OTP) wysłanym na skrzynkę e-mail.
    3. Ponieważ hasło do poczty było identyczne lub również zapisane w przeglądarce, hakerzy weszli na skrzynkę, odczytali kod OTP i zautoryzowali logowanie.
    4. Natychmiast przenieśli wiadomości od Meta do kosza, by ofiara nie zorientowała się w sytuacji.

    Krok 2: Kradzież sesji (Session Hijacking) w celu utrzymania dostępu

    Po poprawnym wpisaniu kodu OTP napastnicy wygenerowali i przechwycili nowe, unikalne tokeny sesyjne (pliki cookie). Od tego momentu nie potrzebowali już dostępu do skrzynki e-mail ani wpisywania haseł. Operowali na sklonowanym tokenie sesyjnym, co pozwoliło im na rozsyłanie spamu i dynamiczne blokowanie działań obronnych ofiary.

    Bezpieczna pamięć jako narzędzie izolacji

    Gdy sprawcy zaczęli masowo rozsyłać znajomym prośby o płatność BLIK pod pretekstem pilnego opłacenia zamówienia na Allegro, jedna z osób dała się zmanipulować i straciła 1000 zł. Gdy właścicielka konta zorientowała się w sytuacji, zalogowała się i wysłała ostrzeżenie: „nie wysyłaj blika to nie ja, ktoś włamał mi się na konto”.

    W tym momencie rozpoczęła się właściwa bitwa. Napastnicy, widząc aktywność prawowitej właścicielki, postanowili odciąć ją od informacji. Wykorzystali do tego funkcję Bezpiecznej pamięci (Secure Storage) — warstwę zarządzania kluczami wbudowaną w szyfrowanie end-to-end (E2EE) na Messengerze.

    Ważna uwaga techniczna: To nie był żaden atak na kryptografię E2EE ani jej złamanie. Było to cyniczne nadużycie funkcji bezpieczeństwa. Napastnicy, mając uprawnienia administratora konta, skonfigurowali własny kod PIN do Bezpiecznej pamięci — warstwy leżącej nad szyfrowaniem E2EE, nie w samym szyfrowaniu.

    W efekcie cała historia konwersacji prowadzonych przez oszustów stała się dla znajomej całkowicie niedostępna. Czaty były zaszyfrowane kluczem, który znali wyłącznie hakerzy. Cel był prosty: uniemożliwić ofierze identyfikację osób, do których właśnie wysłano prośby o BLIK-a, i maksymalnie opóźnić jej reakcję obronną.

    Cyfrowa walka wręcz — zarządzanie sesją na żywo

    Najbardziej emocjonujący moment incydentu to bezpośrednie starcie o kontrolę nad panelem logowania. Przestępcy próbowali bez przerwy wylogowywać znajomą z jej własnego konta.

    Dzięki temu, że byłem z nią w stałym kontakcie na innym kanale, mogłem instruować ją na bieżąco. Sama zmiana hasła podczas trwającej sesji napastników to za mało — gdyby hakerzy byli szybsi, mogliby zmienić powiązany numer telefonu lub e-mail i bezpowrotnie przejąć konto.

    Zastosowaliśmy jedyną skuteczną taktykę: sekwencyjne, agresywne wyrzucanie urządzeń intruzów w zakładce bezpieczeństwa Meta przy jednoczesnym zatwierdzaniu nowych poświadczeń logowania. Każda sekunda miała znaczenie.

    Wskazówka OSINT: geolokalizacja to nie tożsamość

    Wyświetlana w panelu geolokalizacja (system Windows logujący się z Wrocławia) nie identyfikuje bezpośrednio sprawcy. Wskazuje jedynie przybliżony punkt dostępu lub infrastrukturę pośredniczącą — w tym przypadku najpewniej węzeł wyjściowy sieci VPN lub serwer proxy. Warto o tym pamiętać: nawet prawdziwy adres IP daje precyzję na poziomie miasta, a nie osoby — samodzielne „namierzanie” sprawców na tej podstawie jest bezcelowe i może być niebezpieczne.

    Kupowanie czasu — waste of attacker’s time

    Zanim hakerzy zorientowali się, że pomagam znajomej, i zablokowali mój profil ze skradzionego konta, postanowiłem zastosować technikę scambaitingu. Podawałem fałszywe kody BLIK (z celowo zmienioną jedną cyfrą) i symulowałem problemy techniczne.

    Z analitycznego punktu widzenia to prosta matematyka: zmuszenie operatora oszustwa do analizowania błędnych danych wejściowych i generowania odpowiedzi kupuje cenny czas. Wywalczone kilkanaście minut pozwoliło znajomej przeprowadzić procedurę zmiany haseł i powiadomić kontakty z listy.

    Ważne zastrzeżenie: Tego rodzaju interakcja z napastnikiem to nie jest zabawa dla każdego. Co więcej, angażowanie się w rozmowę z atakującym może wydłużyć atak w innych wektorach lub ujawnić dodatkowe informacje o ofierze. Dla większości użytkowników bezwzględnie zalecaną procedurą jest natychmiastowe zerwanie kontaktu, zabezpieczenie własnych pieniędzy i szybkie ostrzeżenie otoczenia innymi kanałami.

    Szybka ściągawka: Co robić po przejęciu konta?

    Zasada nadrzędna: Jeżeli podejrzewasz infekcję komputera, wszelkie działania ratunkowe wykonuj wyłącznie z innego, zaufanego urządzenia (np. smartfona). W przeciwnym razie nowo wpisane hasła ponownie mogą trafić do hakerów.

    1. Zmień hasło główne i e-mail. Zmień hasło do profilu społecznościowego oraz powiązanej skrzynki e-mail — zanim zrobisz cokolwiek innego.
    2. Wyloguj wszystko i wszędzie. Dopiero po zmianie haseł wybierz opcję „Wyloguj ze wszystkich urządzeń”. Unieważnia to aktywne sesje ze skradzionymi tokenami — a napastnicy nie mogą już zalogować się ponownie, bo hasło jest już inne.
    3. Przejrzyj filtry na poczcie. Sprawdź reguły i przekierowania w skrzynce e-mail. Hakerzy często ustawiają filtry automatycznie usuwające powiadomienia od Meta/Facebooka.
    4. Włącz silne 2FA. Przejdź na weryfikację opartą o zewnętrzną aplikację autoryzującą (np. Proton Pass, Google Authenticator), rezygnując z kodów SMS lub e-mail.
    5. Przeskanuj sprzęt. Przeskanuj komputer programem antywirusowym z aktualnymi sygnaturami (np. Malwarebytes, ESET) lub przeinstaluj system.
    6. Migruj do menedżera haseł. Przenieś wszystkie hasła z przeglądarki do dedykowanego menedżera (np. Proton Pass, Bitwarden). Przeglądarka to nie sejf.
    7. Ustaw własny PIN do Bezpiecznej pamięci (Secure Storage). W ustawieniach Messengera skonfiguruj własny kod PIN zanim zrobi to ktoś inny. PIN jest opcjonalny, ale jego brak oznacza, że napastnik z dostępem do Twojej sesji może ustawić go przed Tobą – i trwale odciąć Cię od historii czatów.

    Najważniejsza lekcja

    Weryfikacja dwuskładnikowa (2FA) skutecznie chroni przed kradzieżą samego hasła. Niestety, w żaden sposób nie uchroni Cię przed kradzieżą aktywnej sesji (ciasteczek) lub przejęciem skrzynki e-mail z zainfekowanego urządzenia.

    Współczesne kradzieże tożsamości cyfrowej to nie filmowe „hakowanie” kodu w zielonej konsoli. To sprawnie zarządzane operacje, które bezlitośnie wykorzystują nieuwagę i błędy w podstawowej higienie cyfrowej. Dbajcie o swoje sesje i nie zapisujcie haseł w przeglądarkach.

    Co z odzyskaniem pieniędzy?

    Znajoma zgłosiła sprawę na policję — przede wszystkim w imieniu koleżanki straciła 1000 zł. Odpowiedź była szczera: zgłoszenie zostanie przyjęte, ale szanse na namierzenie sprawców i odzyskanie pieniędzy są niewielkie. Tego rodzaju operacje prowadzone są przez VPN i proxy, a ślad cyfrowy celowo zacierany na każdym etapie. Policja przyjmuje zgłoszenia, ale bez międzynarodowej współpracy operacyjnej i szczęścia rzadko kończy się to wyrokiem.

    To pokazuje, że oszustwo na blika jest w 2026 bardzo skuteczne, a szansę na wykrycie bardzo niewielkie.

  • Studium przypadku: A.S. Bytom. Jak weryfikować firmy metodami OSINT?

    Dla większości odbiorców profil „Zakład Pogrzebowy A.S. Bytom” jest czytelną satyrą. Mimo to, część użytkowników traktuje go jako realny podmiot gospodarczy. Wynika to głównie z modelu pobieżnego konsumowania treści, gdzie kontekst ginie w strumieniu informacji. Poniżej analiza tego zjawiska oraz instrukcja, jak wykorzystać je w szkoleniach z zakresu OSINT.

    Wiarygodność wizualna zastępuje fakty

    Profil zbudowano zgodnie z regułami brandingu: spójna identyfikacja wizualna, regularne publikacje i obecność na wielu platformach (Facebook, TikTok, X). Dla przeciętnego odbiorcy te elementy stały się wystarczającym dowodem na istnienie firmy. Ale czy możemy ich za to winić?

    Wystąpił tu błąd poznawczy polegający na zrównaniu jakości graficznej z legalnością biznesu. Użytkownicy pominęli weryfikację twardych danych (NIP, REGON, adres), zakładając, że skoro „opakowanie” wygląda profesjonalnie, to podmiot musi być prawdziwy. Estetyka uśpiła czujność.

    Pobieżna konsumpcja treści online

    Błąd w ocenie wynika bezpośrednio ze sposobu, w jaki przeglądamy media społecznościowe. Odbiorcy skanowali nagłówki i grafiki, koncentrując się wyłącznie na warstwie humorystycznej.​

    Zadziałał mechanizm myślenia życzeniowego. Atrakcyjna konwencja (czarny humor) sprawiła, że odbiorcy „chcieli”, by taki zakład istniał. Emocja wygrała z chłodną analizą kontekstu, a sceptycyzm został wyłączony.

    Zastosowanie w edukacji (Studium przypadku OSINT)

    Profil A.S. Bytom to moim zdaniem dobre środowisko testowe do nauki weryfikacji informacji. W przeciwieństwie do analizy oszustw finansowych, czy dezinformacji wojennej, temat ten jest neutralny emocjonalnie. Pozwala to uczestnikom szkolenia skupić się wyłącznie na metodyce poszukiwania danych, bez lęku o własne bezpieczeństwo czy rozpraszania uwagi dyskusjami światopoglądowymi.


    Schemat weryfikacji na tym przykładzie:

    1. Weryfikacja w rejestrach państwowych (CEIDG / KRS) Każdy legalnie działający podmiot w Polsce musi figurować w Centralnej Ewidencji i Informacji o Działalności Gospodarczej lub Krajowym Rejestrze Sądowym.

    • Działanie: Wpisanie nazwy „A.S. Bytom” w wyszukiwarkę CEIDG.
    • Wynik: Brak rekordów. To pierwszy i najważniejszy sygnał, że podmiot nie prowadzi legalnej działalności operacyjnej pod tą nazwą.

    2. Weryfikacja adresu i infrastruktury (GEOINT) Firma świadcząca usługi pogrzebowe musi posiadać infrastrukturę fizyczną, taką jak biuro, chłodnia czy sala pożegnań.

    • Działanie: Weryfikacja adresu podawanego na profilu (lub jego braku) w Google Maps / Street View oraz OpenStreetMap.
    • Wynik: W przypadku profili satyrycznych adresy często nie istnieją, prowadzą do pustostanów, obiektów użyteczności publicznej niezwiązanych z branżą lub są zbyt ogólne (np. tylko nazwa miasta).

    3. Analiza obrazu (IMINT / Reverse Image Search) Weryfikacja autentyczności zdjęć prezentujących rzekomą flotę, pracowników lub siedzibę firmy.

    • Działanie: Wykorzystanie narzędzi takich jak Obiektyw Google , TinEye lub wyszukiwania wizualne Bing.
    • Wynik: Większość grafik okazuje się zdjęciami stokowymi lub materiałami pochodzącymi z zagranicznych serwisów, niepowiązanymi z lokalizacją w Bytomiu.

    4. Analiza otoczenia sieciowego Sprawdzenie opinii i wzmianek poza kontrolowanym przez twórców ekosystemem (fanpage).

    • Działanie: Wyszukiwanie frazy „A.S. Bytom opinie” z wykluczeniem Facebooka. Dork będzie wyglądał w ten sposób: as bytom opinie -facebook.com
    • Wynik: Brak wpisów na niezależnych portalach branżowych, forach lokalnych czy w serwisach konsumenckich potwierdza wirtualny charakter bytu.

    Na koniec muszę zaznaczyć, że brak dedykowanej strony WWW nie jest automatycznym dowodem na fikcyjność przedsiębiorstwa – w specyficznych branżach usługowych o zasięgu lokalnym (jak firmy budowlane, wulkanizacja czy drobne rzemiosło) model biznesowy często opiera się na relacjach bezpośrednich, ograniczając obecność online do wizytówek w Google Maps lub profili w social mediach. Dlatego podstawowym narzędziem weryfikacji pozostają zawsze rejestry państwowe (CEIDG/KRS), a nie posiadanie własnej domeny.

  • Jak znaleźć lokalizację z filmu/zdjęcia?

    Jak znaleźć lokalizację z filmu/zdjęcia?

    Teledysk do utworu „Za każdą chwilę” (OstryBezimienni) z 2023 roku ma już ponad 12 milionów wyświetleń. Sielski, wakacyjny klimat, przejazd koleją wąskotorową przez las i ujęcia nad wodą sprawiają, że wielu widzów zadaje sobie pytanie: gdzie to jest?

    Twórcy teledysku nie ułatwili zadania – brak informacji w opisie i napisach końcowych. Dla analityka OSINT to jednak idealna okazja do treningu IMINT (rozpoznania obrazowego) oraz lekcja pokory wobec własnego umysłu.

    Rozeznanie materiały

    Podstawą skutecznego IMINT-u jest cierpliwość. Materiał wideo oglądamy wielokrotnie, często w zwolnionym tempie lub klatka po klatce, aby nie umknął nam żaden szczegół. W tej pracy nawet najdrobniejszy element, który pojawia się na ekranie tylko przez ułamek sekundy, może okazać się kluczem do rozwiązania zagadki.

    Punkt zwrotny: napis na koszulce

    Moją uwagę zwrócili pasażerowie. W jednym ujęciu (okolice 21 sekundy) widać mężczyznę w ciemnym t-shircie. Po przybliżeniu klatki tekst na plecach staje się czytelny: „Stowarzyszenie Górnośląskich Kolei Wąskotorowych”.

    Źródło: Kadr z teledysku OstryBezimienni – ZA KAŻDĄ CHWILĘ | BIT: RnD Beatz (źródło: YouTube)

    To nasz „pivot” – punkt wyjścia. Szybkie wyszukiwanie prowadzi nas do operatora najstarszej nieprzerwanie czynnej kolei wąskotorowej na świecie. Trasa: Bytom Wąskotorowy – Tarnowskie Góry – Miasteczko Śląskie. Analizując mapę, wniosek jest prosty: stacja to Lasowice Zalew, a woda w tle to Zalew Nakło-Chechło.

    Źródło: Google Maps

    Sprawa rozwiązana? Technicznie tak. Ale z punktu widzenia analityka, najciekawsze dzieje się w głowie.

    Dlaczego Reverse Image Search to za mało?

    Dla pewności moglibyśmy spróbować jeszcze jednej techniki: wyszukiwania obrazem (Reverse Image Search) na kadrze przedstawiającym lokomotywę wjeżdżającą na peron. Tu jednak na analityka czeka kolejna pułapka. Widoczna w teledysku maszyna to popularna seria Lxd2 (rumuńskie FAUR L45H).

    Problem w tym, że ten model w niemal identycznym, wiśniowym lub czerwonawym malowaniu, możemy spotkać w kilkunastu miejscach w Polsce – od Gryfickiej Kolei Wąskotorowej nad morzem, aż po Bieszczadzką Kolej Leśną w górach. Algorytm wyszukiwarki, widząc kształt i kolor lokomotywy, może zasugerować błędną lokalizację, bazując na wizualnym podobieństwie taboru, a nie na otoczeniu. To ciekawy przykład na to, że rozpoznanie obiektu (lokomotywa) to nie to samo, co rozpoznanie lokalizacji. Dlatego detal taki jak unikalny napis na koszulce jest w tym przypadku o wiele pewniejszym dowodem niż sylwetka pociągu.

    Pułapka i psychologia wywiadu

    Technicznie sprawa jest prosta, ale psychologicznie sprawa jest dużo bardziej skomplikowana. Jako pasażer tej linii, rozpoznałem te widoki natychmiast. I tu musiałem się zatrzymać.

    „Psychologii Analizy Wywiadowczej” Richards J. Heuer Jr. opisuje fundamentalny błąd poznawczy: Mamy tendencję do postrzegania tego, co oczekujemy, że postrzeżemy. Nasz umysł tworzy „schematy myślowe” oparte na doświadczeniu1.

    Dla mnie widok lasu i wąskiego toru automatycznie uruchomił skrypt: „To Górny Śląsk”. Ale wyobraźmy sobie widza znającego inną lokalną kolej wąskotorową. Widząc te same ujęcia, te same wagony i podobny las, jego mózg podsunąłby mu inne skojarzenie: „To Świętokrzyskie”.

    Oczywiście znajdą się pasjonaci, którzy bezbłędnie wytypują miejsce na podstawie konkretnych wagonów i zestawienia składów. Jednak w metodologii wywiadowczej (OSINT) unikamy polegania wyłącznie na niszowej wiedzy eksperckiej, która bywa trudna do zweryfikowania dla osoby trzeciej. Dla analityka uniwersalnym dowodem jest czytelny napis, a wygląd pociągu (biorąc pod uwagę ryzyko pomyłki) pozostaje jedynie cenną poszlaką.

    Mózg tworzy filtry

    Moje wcześniejsze doświadczenia z tą koleją stworzyły w mojej głowie silne „oczekiwanie” (wstępne założenie). Heuer wyjaśnia to brutalnie: percepcja nie jest pasywnym nagrywaniem rzeczywistości, ale aktywnym procesem wyciągania wniosków. Moja pamięć zadziałała jak soczewka (mind-set).

    Gdybym zobaczył w teledysku inną, bardzo podobną kolejkę (np. w Sochaczewie czy w Bieszczadach), która była sfilmowana w niejednoznaczny sposób (zamazane tło, szybki montaż), mój mózg dążyłby do asymilacji nowych informacji do istniejących obrazów. Mówiąc prościej: zignorowałbym subtelne różnice w kształcie torów czy roślinności, byle tylko dopasować obraz do tego, co już znam.

    Plan B: Co gdyby nie było koszulki? (Krzyżowanie danych)

    A co w sytuacji, gdyby pasażer w bordowej koszulce w ogóle nie wszedł do kadru? Czy analiza byłaby niemożliwa? Absolutnie nie – ale wymagałaby bardziej systematycznej pracy i krzyżowania danych (cross-referencing). Zamiast jednej mocnej poszlaki musielibyśmy oprzeć się na logice i eliminacji kolejnych możliwości.

    Proces wyglądałby wtedy tak:

    1. Identyfikacja lokomotywy

    Najpierw rozpoznajemy lokomotywę jako Lxd2 – już użyliśmy wcześniej wyszukiwania obrazem. To ważne, bo nie jest to tabor występujący wszędzie. Już w tym momencie odcinamy sporo polskich linii kolejowych.

    2. Zbudowanie listy operatorów

    Następnie tworzymy krótką listę miejsc, gdzie Lxd2 nadal jeździ lub pojawia się w ruchu turystycznym. To etap „list building”:
    Piaseczno, Gryfice, Żnin, Bieszczady, Rogów, Koszalin, Górny Śląsk i kilka kolejnych.

    To już lejek OSINT: z „całej Polski” mamy może 8–10 sensownych kandydatów.

    3. Filtr geograficzny (Geospatial Analysis)

    Teraz nakładamy drugi filtr: „tory w bezpośrednim sąsiedztwie zbiornika wodnego”.

    To bardzo mocna cecha środowiskowa, bo takich miejsc jest w Polsce niewiele. Przeglądamy więc przebiegi tras i porównujemy je z mapą satelitarną:

    • Piaseczyńska Kolej Wąskotorowa → brak jeziora przy torach.
    • Żnińska Kolej Powiatowa → jest w okolicy jezior, ale układ infrastruktury nie pasuje.
    • Bieszczadzka Kolejka Leśna → potoki, góry, ale brak dużego zbiornika przy samej linii.

    Po kilku minutach eliminacji na placu boju zostaje Górny Śląsk — jedyne miejsce, gdzie tory faktycznie „liżą” brzeg” dużego zalewu, czyli Zalewu Nakło-Chechło.

    4. Analiza negatywna

    I to jest właśnie klasyczny przykład analizy negatywnej:
    nie szukamy „co pasuje”, tylko konsekwentnie odrzucamy to, co nie spełnia warunków.

    Pozostaje tylko jedna lokalizacja — dokładnie ta sama, do której doszliśmy dzięki koszulce, ale tym razem bez żadnych „szczęśliwych trafów”. Tylko logika, zawężanie i krzyżowanie danych.

    Wnioski

    Lokalizacja została potwierdzona dwukrotnie: raz przez szczęśliwy traf (napis), drugi raz przez systematyczną eliminację (analiza terenu). Jeśli szukacie miejsca z teledysku, kierujcie się nad Zalew Nakło-Chechło. Jeśli szukacie prawdy w sieci, pamiętajcie o lekcji Heuera: w pierwszej kolejności wątpcie we własną pamięć. To, co wydaje się „oczywiste”, zazwyczaj jest tylko projekcją naszych doświadczeń. W OSINT dowodem nie jest to, co myślisz, że widzisz, ale to, co możesz udowodnić niezależnymi danymi (jak napis na koszulce czy mapa satelitarna).

    1. https://www.ialeia.org/docs/Psychology_of_Intelligence_Analysis.pdf ↩︎

  • Google Dorking w genealogii: Jak znaleźć to, czego Google nie widzi

    W poprzednim artykule pokazałem, jak analiza starych zdjęć może opowiedzieć szczegółową historię rodziny. Co jednak, gdy fotografie to za mało? Jak dotrzeć do informacji, których nie znajdziemy na pierwszej stronie wyników wyszukiwania? Czas zejść głębiej. Dziś pokażę Wam, jak za pomocą prostych sztuczek „zhakować” Google, by pokazało nam więcej, a następnie wejdziemy do genealogicznej „Głębokiej Sieci”, by znaleźć to, czego Google nie widzi w ogóle. Przed Wami Google Dorking w Genealogii. Naszym poligonem doświadczalnym ponownie będzie śledztwo w sprawie mojego pradziadka, Józefa Piotrowicza. Proces odkrywania tych rodzinnych zagadek to ciekawa podróż, która wpisuje się w to, co nazywam historycznym OSINT-em.

    Krok 1: Google Dorking, czyli Jak Zmusić Google do Posłuszeństwa

    Zwykłe wpisanie imienia i nazwiska w wyszukiwarkę to jak szukanie igły w stogu siana. Musimy być sprytniejsi. Użyjemy do tego tzw. Google Dorks – prostych komend, które zawężają i precyzują wyniki. Nasz cel: znaleźć oficjalne, państwowe dokumenty.

    Formułuję zapytanie:

    "Józef Piotrowicz" Łaziska site:gov.pl

    Co to oznacza?

    • „Józef Piotrowicz”Cudzysłów sprawia, że Google szuka dokładnie tej frazy, a nie słów „Józef” i „Piotrowicz” osobno.
    • Łaziska – Dodajemy kluczową lokalizację.
    • site:gov.pl – To jest właśnie „dork”. Ta komenda każe Google przeszukać tylko i wyłącznie strony w domenie rządowej .gov.pl. To idealne do szukania w bazach IPN, archiwach państwowych czy oficjalnych obwieszczeniach.

    Inne przydatne Google Dorks w genealogii:

    Możesz łączyć te operatory, tworząc bardzo precyzyjne zapytania:

    • intitle: – Szukanie frazy w tytule strony (np. intitle:"Akt urodzenia" "Józef Piotrowicz").
    • inurl: – Szukanie frazy w adresie URL (np. inurl:metryki "Piotrowicz" Łaziska).
    • filetype: – Szukanie konkretnych typów plików, np. PDF, XLS (np. Józef Piotrowicz site:archiwa.gov.pl filetype:pdf).
    • AROUND(X) – Szukanie słów w bliskiej odległości, gdzie X to maksymalna liczba słów między nimi (np. "Józef Piotrowicz" AROUND(10) "Łaziska" – by znaleźć „Józefa Piotrowicza” w promieniu 10 słów od „Łazisk”).

    Ograniczenia Google Dorking

    Google Dorking to potężne narzędzie, ale ma swoje granice. Nie wszystkie strony są indeksowane w taki sposób, aby dorki mogły przeszukać ich wewnętrzne bazy danych. Właśnie dlatego potrzebujemy kolejnego kroku.

    Dlaczego Google nie widzi wszystkiego? Analogia Powierzchownego Bibliotekarza

    Zwykłe Google Dorking często prowadzi do ściany. W naszym przypadku, zapytanie "Józef Piotrowicz" Łaziska site:gov.pl zwróciło ciszę na temat życia mojego pradziadka w Łaziskach. Dlaczego?

    Wyobraźmy sobie internet jako gigantyczną, nieskończoną bibliotekę. Roboty Google (tzw. crawlery) to niezwykle szybcy, ale nieco powierzchowni bibliotekarze, którzy biegają po tej bibliotece i tworzą jej główny katalog.

    Co robi taki „bibliotekarz Google”?

    • Czyta okładki i spisy treści: Zapisuje tytuł strony internetowej (np. „Śląska Biblioteka Cyfrowa”), jej główny adres (URL) i podstawowy opis.
    • Przegląda pierwsze strony: Analizuje tekst na stronie głównej i najważniejszych podstronach, do których prowadzą bezpośrednie linki.
    • Indeksuje słowa kluczowe: Na podstawie tych „powierzchownych” danych tworzy potężny indeks, dzięki któremu możemy szybko znaleźć konkretną stronę czy dokument.

    W naszym przypadku „bibliotekarz Google” zobaczył jeden plik PDF, który z jakiegoś powodu był dobrze wyeksponowany – być może miał bardzo klarowny tytuł, opis, albo biblioteka umieściła do niego bezpośredni link. Dlatego udało się go znaleźć. Jednak to, co często umyka Google, to zawartość zdigitalizowanych książek, gazet czy dokumentów, które choć są online, wymagają „przejrzenia” każdej strony. Tradycyjne wyszukiwania i bazy danych często prowadzą do „ceglanych ścian”, a użytkownicy szukają wtedy pomocy w społecznościach. Genealogom podaje się „ryby” (wyniki z baz danych), ale nie uczy się ich, jak łowić w ogromnym oceanie informacji open-source.

    Właśnie w tym miejscu wkracza historyczny OSINT – by wypełnić tę lukę metodologiczną i nauczyć Cię analitycznego, śledczego sposobu myślenia. Ten proces, zainspirowany sformalizowanym cyklem wywiadowczym OSINT, pozwala nam przekształcić rozproszone wskazówki w spójną historię.

    Krok 2: Wejście do „Głębokiej Sieci” Genealoga

    Termin „Deep Web” brzmi tajemniczo, ale dla nas, historyków-amatorów, oznacza on po prostu te wszystkie cyfrowe zasoby, do których Google nie ma pełnego dostępu. Są to przede wszystkim biblioteki cyfrowe, które zdigitalizowały miliony stron starych gazet i książek. Google widzi tytuł gazety, ale nie czyta każdego artykułu na każdej stronie. My możemy.

    Skoro szukamy na Śląsku, naszym celem jest Śląska Biblioteka Cyfrowa (sbc.org.pl).

    Po wejściu na stronę, w wewnętrznej wyszukiwarce biblioteki, wpisujemy te same słowa kluczowe: „Piotrowicz Józef”, „Łaziska”. I wtedy docieramy do źródeł niedostępnych dla zwykłej wyszukiwarki.

    Czym Jest Biblioteka Cyfrowa? Sala Czytelnicza ze Specjalistą

    Teraz wyobraźmy sobie, że w tej gigantycznej bibliotece wchodzimy do specjalistycznej sali czytelniczej o nazwie „Śląska Biblioteka Cyfrowa„.

    • Własny, szczegółowy katalog: Ta sala ma swojego własnego, niezwykle skrupulatnego bibliotekarza-specjalistę. On nie tylko zna tytuły wszystkich książek (gazet) w tej sali. On, dzięki technologii OCR (Optical Character Recognition – optyczne rozpoznawanie znaków), przeczytał każdą stronę każdej książki i stworzył swój własny, wewnętrzny, super-dokładny indeks. Wie, na której stronie i w którym akapicie znajduje się każde słowo.
    • Głębokie Wyszukiwanie: Kiedy korzystasz z wyszukiwarki wewnątrz strony Śląskiej Biblioteki Cyfrowej, nie pytasz już ogólnego bibliotekarza Google. Pytasz tego specjalistę. On nie patrzy na okładki – on zagląda do wnętrza każdej książki.

    Dlaczego Występuje Różnica w Wynikach?

    Różnica wynika z głębokości indeksowania:

    • Google (Surface Web – Sieć Powierzchniowa): Google zaindeksowało, że dokument „Powstaniec Śląski, rocznik 1935” istnieje w ŚBC. Ale jego roboty nie „przeczytały” wszystkich 30 stron tego numeru, by znaleźć na stronie 12 nazwisko „Piotrowicz Józef”. Byłoby to zbyt kosztowne i czasochłonne na skalę całego internetu. Google zatrzymało się na „okładce”.
    • Śląska Biblioteka Cyfrowa (Deep Web – Sieć Głęboka): Wewnętrzna wyszukiwarka biblioteki ma w swoim indeksie informację: „fraza 'Piotrowicz Józef’ występuje w dokumencie X na stronie 12, w dokumencie Y na stronie 8 itd.”. Dlatego znajduje rekordy, które dla Google są niewidoczne, bo są ukryte „głęboko” w treści samego dokumentu.

    Przełom: Co kryły zdigitalizowane dokumenty?” lub „Wyniki analizy w Głębokiej Sieci

    Wynik? Początkowe Google Dorking zwróciło ciszę na temat życia Józefa w Łaziskach. Ale już pierwsze, ogólne zapytanie o „Józef Piotrowicz” Łaziska w wewnętrznej wyszukiwarce Śląskiej Biblioteki Cyfrowej, dało obiecujący sygnał – znalazłem artykuł z 17 lutego 1935 roku o wyborze nowego zarządu. To był dobry trop, który potwierdził, że jestem na właściwej drodze.

    Zacząłem systematycznie przeglądać zdigitalizowane numery gazety „Powstaniec Śląski” z lat 30. I wtedy dokonałem serii odkryć, które całkowicie zmieniły obraz mojego pradziadka:

    • Dowód nr 1 (Maj 1934): Odkryłem notatkę o przyjęciu Józefa Piotrowicza w poczet członków Związku Powstańców Śląskich.Przynależność do tej organizacji sugeruje, że mógł brać czynny udział w walkach w latach 1919–1921, ale na tym etapie to wciąż hipoteza. Ten wpis jest dla mnie sygnałem, by szukać dalej w Centralnym Archiwum Wojskowym pod kątem teczki personalnej weterana.
    • Dowód nr 2 (1935): Kolejna wzmianka. Józef Piotrowicz został wybrany do zarządu lokalnego oddziału Związku Strzeleckiego. To dowód na jego aktywność społeczną i pozycję lidera w lokalnej społeczności.
    • Dowód nr 3 (1938): Znowu wybrano go do zarządu, tym razem jako „ławnika” w kole powiązanym z jego kopalnią. To potwierdzenie jego nieprzerwanego autorytetu.
    • Dowód nr 4 (Maj 1939): Najbardziej dramatyczne odkrycie. Notatka o wykreśleniu go z listy członków Związku Powstańców w Łaziskach. Ten drobny wpis, w połączeniu z datą, stał się kluczowym dowodem na to, że podjął on strategiczną decyzję o ucieczce z rodziną do Krakowa tuż przed wybuchem wojny.

    Podsumowanie: Dlaczego Warto Szukać Głębiej i Jak Weryfikować Odkrycia?

    Porównajmy wyniki. Precyzyjne wyszukiwanie w Google dało nam niewiele. Przeszukanie „głębokiej sieci” w postaci biblioteki cyfrowej dało nam:

    • Potwierdzenie jego powstańczej przeszłości.
    • Dowody na jego działalność społeczną i status lidera.
    • Kluczowy dowód pozwalający ustalić datę jego ucieczki przed wojną.

    Google pokazuje oficjalne, państwowe „meta-dane”. Specjalistyczne archiwa cyfrowe pokazują tkankę życia codziennego – to, czym żyli nasi przodkowie tydzień po tygodniu.

    Weryfikacja i Triangulacja Danych

    Każde odkrycie w OSINT, a zwłaszcza w genealogii, wymaga weryfikacji. Zasada triangulacji w OSINT jest kluczowa: szukaj potwierdzenia faktów w co najmniej trzech niezależnych źródłach. W moim przypadku, wspomnienia rodzinne, choć fragmentaryczne, nagle zyskały mocne potwierdzenie w zdigitalizowanych gazetach. Idealnie byłoby znaleźć te same informacje w archiwach parafialnych, państwowych czy nawet wojskowych.

    Gdzie szukać dalej? Twoja „Głęboka Sieć” Genealoga:

    Nie zatrzymujcie się na Google. Wasza „głęboka sieć” to dziesiątki fantastycznych miejsc, do których warto zajrzeć:

    • Polona.pl – Biblioteka Narodowa, z ogromnym zbiorem zdigitalizowanych książek, czasopism i druków ulotnych.
    • Europeana.eu – Zbiory z całej Europy, doskonałe do poszukiwań transgranicznych.
    • Federacja Bibliotek Cyfrowych (fbc.pionier.net.pl) – Brama do wszystkich regionalnych bibliotek w Polsce, gdzie często znajdziesz lokalne gazety i wydawnictwa.

    Organizacja i Dokumentacja Procesu

    W miarę jak zagłębiasz się w OSINT, kluczowe staje się śledzenie i dokumentowanie Twoich odkryć. Proste arkusze kalkulacyjne (Excel/Google Sheets) mogą służyć do notowania źródeł, dat wyszukiwań i wyników. Warto też rozważyć narzędzia takie jak Maltego do wizualizacji powiązań między osobami i wydarzeniami. Stwórz swoją „bazę wiedzy”, która pozwoli Ci łatwo wracać do już znalezionych informacji i budować spójną historię.

    Co, jeśli wyników jest za dużo? Jak radzić sobie z nadmiarem informacji?

    Czasem nawet dorki zwrócą zbyt wiele rezultatów. Wtedy warto:

    • Dodawać kolejne słowa kluczowe: Precyzuj zapytanie, dodając daty, nazwy ulic, imiona współmałżonków czy dzieci.
    • Używać operatora - (minus): Wykluczaj nieistotne słowa, które zanieczyszczają wyniki (np. "Józef Piotrowicz" Łaziska -śmierć).
    • Ograniczać daty: W Ustawieniach Wyszukiwania Google możesz zawęzić wyniki do konkretnego zakresu lat.

    Kolejne Kroki w Śledztwie Genealogicznym z OSINT

    W tym artykule skupiliśmy się na Google Dorking i przeszukiwaniu bibliotek cyfrowych. To tylko początek! Metodologia historycznego OSINT-u obejmuje znacznie więcej technik, które pozwolą Ci zgłębić historię Twojej rodziny i rozwiązywać kolejne zagadki:

    • Zaawansowana analiza obrazu: Dowiesz się, jak datować zdjęcia na podstawie mody, analizować fizyczne cechy fotografii (np. karty gabinetowe) oraz wykorzystywać narzędzia do odwrotnego wyszukiwania obrazem czy rozpoznawania twarzy.
    • Geolokalizacja i chronolokalizacja: Pokażę Ci, jak analizować zdjęcia w poszukiwaniu wskazówek geograficznych i czasowych, w tym identyfikować architekturę czy wykorzystywać cienie do oszacowania pory dnia.
    • Wywiad w archiwach cyfrowych: Wykraczam poza proste wpisywanie nazwiska. Nauczę Cię zaawansowanych operatorów wyszukiwania, wyszukiwania sąsiadów i znajomych (zasada FAN – Friends, Associates, Neighbors) oraz wykorzystywania nieoczywistych punktów danych, takich jak adres studia fotograficznego.

    Historia Twojej rodziny prawdopodobnie nie znajduje się na pierwszej stronie wyników wyszukiwania. Ukryta jest w zdigitalizowanych rocznikach gazet, w raportach stowarzyszeń i starych księgach adresowych. Dziś wiesz już, jak tam wejść. Czas sprawdzić, co 'bibliotekarz Google’ pominął w Twojej historii.

    F.A.Q. Google Dorking w genealogii

    Co to jest Google Dorking?

    Google Dorking to technika wyszukiwania, która używa specjalnych operatorów wbudowanych w Google — takich jak site:, filetype: czy intitle: — żeby zawęzić wyniki do konkretnego typu stron, plików lub fraz. Zamiast wpisywać słowa i przeglądać tysiące wyników, konstruujesz precyzyjne zapytanie, które zwraca dokładnie to czego szukasz.

    Co to jest Google Dorking?

    Samo wyszukiwanie jest legalne — korzystasz z publicznego indeksu Google i nie włamujesz się do żadnego systemu. Problem pojawia się dopiero gdy trafisz na dane, do których dostęp nie powinien być publiczny (np. przez błąd administratora), i zaczniesz je wykorzystywać. W genealogii i badaniach historycznych ten problem praktycznie nie istnieje — szukasz dokumentów archiwalnych, skanów ksiąg i danych historycznych, które są celowo udostępniane.

    Jakie operatory Google Dorking są przydatne w genealogii?

    Trzy operatory robią największą różnicę. site: ogranicza wyniki do konkretnej domeny — np. site:geneteka.genealodzy.pl Kowalski przeszuka tylko tę bazę. filetype: szuka konkretnych formatów — filetype:pdf metryka urodzenia Lwów znajdzie zeskanowane dokumenty. intitle: wymaga żeby fraza była w tytule strony — intitle:"księga metrykalna" Galicja eliminuje wyniki, gdzie słowa pojawiają się tylko przypadkowo w treści.

    Jak szukać nazwisk w Google Dorking?

    Nazwisko wpisz w cudzysłów — "Piotrowicz" — żeby Google szukał dokładnej formy, nie odmian. Połącz z operatorem site: wskazującym na konkretne archiwum lub bazę genealogiczną. Jeśli nazwisko jest pospolite, dodaj miejscowość lub przedział czasowy: "Piotrowicz" "Łaziska" site:szukajwarchiwach.gov.pl. Cudzysłów to najważniejszy operator w pracy z nazwiskami — bez niego Google swobodnie interpretuje zapytanie.

    Czym różni się Google Dorking od zwykłego wyszukiwania?

    Zwykłe wyszukiwanie to sieć — zarzucasz ją szeroko i wyciągasz wszystko co wpadnie. Google Dorking to włócznia — celujesz w konkretne miejsce. W genealogii ta różnica jest krytyczna: wpisując Jan Kowalski urodzony 1890 dostaniesz setki bezużytecznych wyników. Wpisując "Jan Kowalski" "1890" site:geneteka.genealodzy.pl dostajesz tylko rekordy z tej konkretnej bazy, z tym konkretnym człowiekiem.