📥 Funksjon
Av · · 8 min lesing

Vi lanserer OSINT-recon: Se hva angriperne ser om bedriften din

Nytt PLUSS-verktøy: theHarvester samler offentlige e-poster, subdomener og IP-er om domenet ditt — akkurat slik en angriper gjør før et phishing-angrep. Helt passivt, helt automatisk.

Før en angriper sender det første phishing-eposten til bedriften din, gjør de noe annet først: de googler. Bare smartere. De søker gjennom sertifikat-logger, søkemotor-arkiver, passive DNS-databaser og åpne trussel-feeds for å bygge et komplett kart over hva som er offentlig synlig om dere — e-postadresser, glemte subdomener, gamle test-servere som aldri ble tatt ned, ansattes profiler.

Hele denne prosessen heter OSINT-recon (Open Source Intelligence Reconnaissance), og den er førstelinje-arbeidet i nesten hvert eneste målrettede angrep. Den er så vanlig at MITRE ATT&CK rangerer "Reconnaissance" som taktikk nummer én — fordi det er nøyaktig der angripere starter.

Fra og med i dag kan PLUSS-medlemmer kjøre samme analyse mot egne domener fra dashbordet, og se nøyaktig det en angriper ser. Verktøyet heter OSINT-recon (theHarvester).

🕵 Hva er OSINT-recon i praksis?

Tenk deg at du eier eksempelfirma.no. Du har et hovednettsted, kanskje en kundeportal, en webmail-server, og noe i bakhånd som et HR-system. Hva av dette vet verden om?

Det viser seg: ganske mye. Hver gang noen henter et SSL-sertifikat for et subdomene, blir det loggført offentlig i såkalte Certificate Transparency-logger. Hver gang en e-post fra dere har lekket i en datalekkasje, dukker den opp i offentlige aggregator-tjenester. Hver gang Google eller urlscan.io har indeksert en URL fra dere, blir den søkbar.

OSINT-recon-verktøy går gjennom alle disse passive kildene parallelt og bygger et samlet bilde:

  • Subdomener — Hva eksisterer egentlig under *.eksempelfirma.no? Ofte er det 5–10 ganger mer enn ledelsen tror.
  • E-postadresser — Hvilke ansatte har eksponerte adresser? Disse blir mål for phishing.
  • IP-adresser og hostingmiljø — Hvor er ting hostet? Hvilke ASN-er bruker dere?
  • Glemte tjenesterold-dev.eksempelfirma.no som aldri ble tatt ned. jenkins.eksempelfirma.no uten autentisering.
Det er ingenting "hemmelig" som blir avslørt — alt verktøyet finner er allerede offentlig. Forskjellen er at angriperen vet at det er offentlig. Spørsmålet er om dere gjør det.

🛰 Møt theHarvester — bransjestandarden

theHarvester er et åpen-kilde-verktøy laget av Edge-Security Research, brukt av profesjonelle penetrasjons-testere og red-team-konsulenter siden 2011. Det er en av de mest etablerte recon-løsningene i verden, vedlikeholdt og videreutviklet av et aktivt miljø — versjon 4.10 ble sluppet for kort tid siden.

Det vi gjør i Mustvedt Sentinel er å pakke theHarvester inn i en norsk-språklig PLUSS-opplevelse: ett klikk, automatisk kjøring mot domenet du har registrert, og et resultat-kort som faktisk er lesbart for noen som ikke er sikkerhetsekspert.

📚 Kildene vi bruker

Vi har valgt 7 offentlige, gratis kilder som dekker bredt og oppdateres ofte:

  • crt.sh — Sertifikat-transparency-søk. Den mest pålitelige kilden for subdomener.
  • HackerTarget — Reverse-DNS og passiv DNS-historikk.
  • AlienVault OTX — Open Threat Exchange. Krysser dataene mot kjente trusselsindikatorer.
  • RapidDNS — Stor passiv DNS-database.
  • Subdomain Center — Aggregerer subdomener fra mange kilder.
  • urlscan.io — Søker indekserte URLer fra hele internett.
  • DuckDuckGo — Anonyme søkeresultater for tilleggsdekning.

Ingen av disse kildene krever at vi sender inn betalte API-keys eller deler kundedata med tredjepart — alt går mot åpne, autoriserte API-er.

⚖ Hvorfor passiv recon — og ikke aktiv?

Vi har allerede 4 aktive sikkerhetsverktøy i PLUSS: Nmap, Nikto, testssl.sh og gobuster. De skanner et mål direkte — sender pakker, prober porter, henter sider. theHarvester er fundamentalt annerledes.

theHarvester treffer aldri målet. Den spør tredjepartstjenester som allerede har dataene.

Det er fire grunner til at dette gjør stor forskjell:

  1. Ingen IDS-alarm. Aktive skanninger trigger gjerne brannmur- og IDS-alarmer hos hosting-leverandøren. Passiv recon gjør det aldri — fordi du ikke berører serveren.
  2. Ingen samtykke nødvendig. Aktive skanninger krever skriftlig tillatelse fra eier. Passive søk i offentlige databaser har du alltid lov til å gjøre — også på domener du ikke eier.
  3. Mye raskere. En aktiv subdomain-bruteforce kan ta timer. crt.sh svarer på 200 millisekunder.
  4. Bredere dekning. Aktive verktøy ser bare det som er online akkurat nå. Passive databaser har historikk — vi kan finne det subdomenet som var live i 2 uker for tre år siden, men aldri ble tatt ned.
For ekte attack-surface-management trenger du begge: passiv recon (theHarvester) for å finne hva som kan være eksponert, og aktiv skann (Nmap, Nikto) for å verifisere hva som faktisk er det. PLUSS gir deg begge.

📍 Et konkret eksempel

La oss kjøre OSINT-recon mot et fiktivt firma, nordlys.no:

Resultat-kortet viser typisk:

  • 📨 12 eksponerte e-poster — inkludert kontakt@, post@, og 8 individuelle ansatt-adresser. Disse er nå phishing-mål.
  • 🌐 47 subdomener — inkludert det de visste om (www, shop, kundeportal) og det de ikke visste om: old-jenkins, backup-2022, staging-aws.
  • 📡 14 IP-adresser — fordelt på hosting hos AWS, Loopia og Domeneshop. Forteller mye om infrastruktur-modenhet.

For nordlys.no ville én linje stå ut: old-jenkins.nordlys.no. Et glemt CI/CD-system fra 2021 som fortsatt svarte på 443 — og som ingen i bedriften visste om. Det er den typen funn som starter en hendelse-rapport.

🔐 Hvorfor er dette PLUSS-eksklusivt?

Tre grunner:

  1. Drift-kostnader. Hver kjøring konsumerer rate-limit hos 7 tredjeparts-API-er. Vi kan ikke åpne det for hele gratis-tieren uten at det blir misbrukt.
  2. Krever eierskap-bekreftelse. theHarvester kan teknisk søke mot hvilket som helst domene, men i Sentinel kobler vi det til ditt registrerte asset — det betyr at du må ha bekreftet eierskap først, slik som de andre PLUSS-verktøyene.
  3. Verdi for bedrift. Verktøyet er først og fremst nyttig for bedrifter som har egne domener å beskytte. Det er kjernen i PLUSS-segmentet vårt.

Du får 10 OSINT-skann per dag på PLUSS-tier, og resultater lagres i 30 dager. Mer enn nok til kontinuerlig overvåkning av alle dine domener.

🚀 Slik bruker du verktøyet

  1. Logg inn på dashbordet som PLUSS-medlem
  2. Naviger til Verktøy og klikk 📥 OSINT-recon (theHarvester)
  3. Velg domenet du vil analysere fra asset-listen din. (Hvis du ikke har lagt til assets ennå, gjør det først under Mine mål.)
  4. Vent 1–3 minutter mens vi spør de syv kildene parallelt
  5. Få resultatet i et lesbart kort: tellere på toppen, ekspanderbare lister under

Vi anbefaler å kjøre verktøyet månedlig mot alle dine viktige domener. Subdomener kommer og går — det som var fjernet i januar kan dukke opp igjen i mars hvis noen i utviklerteamet starter en ny test-server.

🛡 Hva gjør du med funnene?

Et OSINT-recon-resultat er ikke "ferdig"-rapporten — det er start-rapporten. Konkret oppfølging:

  • Eksponerte e-poster → kjør hver enkelt gjennom MAILSCAN for å se om de er i lekkasjer. Etabler standard-rutine for "ikke-svar"-aliaser (noreply@) framfor å bruke ekte ansattadresser i offentlige skjemaer.
  • Ukjente subdomener → undersøk hver eneste. Aktiv skann med Nmap og Nikto for å se hva som kjører der. Ta ned alt som ikke trengs.
  • Gamle test-servere → høy prioritet. Disse er typisk dårlig vedlikeholdt, sjelden patchet, og perfekte angreps-flater.
  • IP-er hos uventede hostere → kan tyde på shadow IT, gamle leverandør-relasjoner, eller helt nye angreps-flater dere ikke kjenner til.
📥 Kjør din første OSINT-recon nå
PLUSS-medlemmer kan starte verktøyet direkte fra dashbordet. Ikke PLUSS ennå? 7 dagers gratis prøveperiode — ingen kort kreves.
ÅPNE OSINT-RECON →

Spørsmål om verktøyet?

Vi har bygget OSINT-recon for at bedrifter skal forstå sin egen eksponering uten å måtte engasjere et eksternt sikkerhetsselskap til 50 000 kr per rapport. Hvis du tester det og savner en kilde eller et resultat-format, send oss en e-post på Christer@mustvedt.net eller bruk kontakt-skjemaet. Vi leser alle henvendelser og svarer normalt innen 24 timer.

Det 17. verktøyet i Mustvedt Sentinel — og det første som ser bedriften gjennom angriperens øyne.

Relaterte artikler

🔍
Guide
Forstå hva Sentinel sjekker i domenet ditt, uten IT-kompetanse
🌐
Guide
Domene-overvåkning i 2026: vit hva som skjer med navnet ditt
🚀
Funksjon
Nytt Mustvedt Sentinel-dashbord lansert: Gratis konto, raskere og 16 verktøy
Få varsler i innboksen

Vil du ha varsler om nye trusler?

Mustvedt Sentinel sender deg e-post hvis e-posten din dukker opp i en lekkasje, eller hvis domenet ditt er under angrep.

Start 7 dager gratis Logg inn