社工技巧 | 一些社工入门技巧介绍
社会工程学经常被 Hacker 运用在 Web 渗透方面,也被称为没有“技术”却比“技术”更强大的渗透方式。历史上,社会工程学是隶属于社会学,不过其影响他人心理的效果引起了计算机安全专家的注意。
再次重申,社会工程学不是社工库、不是数据、不是黑产。社会工程学的对象是人!
信息收集
图片
图片信息泄露已经成为每个人都必须面对的问题。说不定什么时候这些在网上泄露的信息会被有心人用来玩一次亲密的社会工程学攻击但仅仅靠搜索引擎是不够的,搜索引擎只能搜集一些简单的资料,并不能提供层次的资料,社工一般是从目标很少的一部分资料作为开端,比如目标的邮箱、个人网站和博客等等。下面介绍几种方法。
[1.Whois] (http://whois.chinaz.com/)Whois可以用来查询域名是否已经被注册,如果已经被注册,将会查询 域名的详细信息。比如:域名注册商、域名注册日期、域名注册人联系方式等。同时,也可以根据信息进行反查。顺藤摸瓜等等。我就不演示了,自行探索
图片[你注册过哪些网站] (https://www.reg007.com/)这是根据你输入的邮箱或手机号查询你曾经用此邮箱或手机号注册过哪些网站,这个网站可以知道你的邮箱或手机号是否遭到泄露或他人恶意注册。图片此网页要想搜索到详细信息需要购买或邀请码。
[IP 定位] (https://www.ipuu.net)此网站可根据你正在上网的 IP 进行定位,可以定位到街区附近。也可对网站的 IP 进行定位。图片此网页要想搜索到详细信息需要购买。
另外,如果想要获取某位 QQ 好友的坐标所在位置,可以借助“QQ 查 IP 工具”的程序对目标好友打个 QQ 电话,不需要接通就可以查询到。(可能需要目标好友用蜂窝数据在线才行)图片我的好友少,就不进行演示了。在拨通电话一会儿,界面就是出现目标好友的 IP,结合上面 IP 定位的工具就可查询目标位置。
[同 IP 网站查询] (https://www.webscan.cc)对目标网站的信息与存在的子网页进行查看。也可以使用站长工具的同 IP 网站查询图片
MagicEXIF
(关键时刻总时掉链子,软件突然打不开了,有兴趣的可以自己去操作。)
只有原图才可以查看详细信息,从网站或聊天工具下载的图片查不到的 GPS 的,但是想修改部分信息还是可以的。
图片有很多网站可以根据经纬度查看地理位置,就不列举出来了,自行探索
图片直接精准定位,比 ip 定位好多了
[路由 MAC 查询地址] (http://wifi.tongxinmao.com/Public/macaddr)如果你知道了目标的 MAC 地址,可以根据此网站来进行定位。
手机号生成器一些社工师门根据爬虫等特殊手端,将全国的手机号码进行收集,如果知道目标收集号的前几位数字和后几位数字,是很好知道有哪些数字相匹配的,在进行手机归属地查询,就可知道目标的一些个人信息了。图片
Everything[Everything]这个软件是一款文件搜索工具,可以通过 HTTP 或 FTP 分享搜索结果。它提供了 HTTP 服务器的功能:它可以让用户在本地或局域网上的其他电脑使用浏览器进行搜索,并支持文件下载,由于有些人没有设置密码,使得一旦知道你的电脑 IP 和端口,所有上网的人都可以看到你电脑上所有的东西。
支付宝的巧妙利用
通过手机号查姓名 <--可以去看看这篇之前的文章,有讲解一些技巧忘记密码的巧妙利用大家知道,忘记密码后会要求向手机发送短信或者身份证的数字补全等一些操作,同上一样,安全验证往往会注明手机的前几位和后几位,如"152****0002",此时根据手机号生成器或者根据代码程序进行遍历是可以找到目标的个人信息的。
晒“票”的利用我指的“票”有很多,发票、车票、账单、身份证等,许多年轻人会将一段出行或者某些花费收到的一些票据在朋友圈或空间晒一晒 “又开始一段新的旅途”、“今天又破费了”,虽然他们会将身份证号的某写数字给遮盖,但是了解身份证号构成的都知道是由地址码、出生日期码、顺序码和校验码组成的。知道这些还不简单,经过一些简单的操作,大多数的号都能知道,只有最后几位是随机生成的。社工师通过代码进行遍历,或者到阿里云的身份证实名认证接口就可以查到你的身份证详细信息了,连你的身份证头像都有。(花点钱的事儿)
图片具体可以看看之前的文章:利用火车票获取你的身份信息
莫名软件的安装现在的软件需要收集用户的个人信息,往往在刚开始使用的时候会跳出一系列窗口“是否允许拍摄照片和录制视频”是否允许“访问您设备上的照片、媒体内容和文件”等获取权限的提示。99%的人会始终允许,要不然用不了软件。但是如果安装了一些莫名的软件并且用户还默认允许访问权限的话很可能会让你的信息造成泄露,甚至打开你的手机摄像头进行偷拍,“韩国 N 号房事件”也许就是这样进行犯罪的。也有一些钓鱼软件和钓鱼网站让你输入信息造成账号被盗或者信息泄露的事件。
聊天工具的所有人可见很多人的 QQde 空间和微信朋友圈都是任何人可看或者可以看所有动态。当社工师得知你的社交工具的账号时,可以进入你的空间查看你的生活日常进行信息收集,这样你的生活日常场所、朋友等信息一概被社工师所了解。
社工库社工师们可以通过科学上网在某些社工库上搜索信息,如果查到了个人的信息,说明信息已经遭到了泄露,利用社工库在一定的概率上能查到目标信息。
图片
总结
最后,多了解社会工程学的一些知识,推荐大家看看《欺骗的艺术》《九型人格》的书,或者比如《猫鼠游戏》有关社会工程学的电影,希望大家永远不要被社工。
评论