以下是我通过各种渠道学到的总结,一般适用于大多数场景,现在网上很多所谓的社工学徒大概也教同样的东西。
当然,你也可以看完下面的内容,反向设置自己的相关信息,防止被人肉搜索。
以下是社工一般获取信息的渠道,请大家思考一下。
① QQ社工
1)如果目标的空间不对好友可见,或者只对指定好友可见下载刷枪软件,则可以进入目标的空间。
2)浏览目标的帖子(从您的帖子中获取目标的姓名,电话号码,位置等)
3)浏览目标的评论。(获取目标的地理位置或手机号码和姓名等)
4)浏览目标的留言板。(获取目标的姓名,班级,生日,年龄,地理位置等)
5)浏览目标相册。(获取目标的班级、学校、所在地点、外貌等)
6)浏览目标的签名历史。(获取目标的姓名,电话号码,班级,地理位置等)
7)浏览目标的群关联。(获取目标的班级、学校、同学QQ等,并进行二次搜索)
8)浏览目标好友的群关联。(获取目标的班级、学校、同学QQ等,并进行二次搜索)
9)浏览目标的酷狗。(获取目标的年龄和地区,并为您的粉丝执行步骤1-6)
10)检查目标部落位置。(获取目标地理位置)
总结:通过以上方法,你可以找到目标的伴侣或者和他非常熟悉的人。找到目标好友的位置,你就找到了目标的位置。你也可以假装是目标的新朋友,然后获得一些信息。例如,地址,电话号码,姓名等。需要注意的是,当目标没有向你开放空间时,查看签名历史是最有效的,其次是查看酷狗账号。
(社工要及时整合自己的网络与目标信息,至于二级社工是什么,大家可以自行了解。)
②搜索引擎社会工程学
1)如果目标在论坛或贴吧发帖,你可以根据论坛或贴吧的类型找到目标的位置或爱好
2)搜索并找到目标的贴吧账号,阅读目标发布的贴文和回复,并找到目标的位置
3)发现一些可能揭露目标身份的信息
4)如果目标曾经发布过招聘广告等,找到目标的电话号码。
搜索引擎可以找到很多东西,不胜枚举,但是与你搜索的目标相关的信息才是你需要关注和保存的。
③ 数据库碰撞社工
1)利用社会工程学数据库查找对方的历史密码
2)使用MD5解密密码,尝试登录QQ,并提出投诉
④利用钓鱼和xss社会工程学
1)钓鱼软件其实很简单,就是知道目标的兴趣爱好和性格,比如我发一个刷钻石、QB、刷枪的软件给目标,需要你用QQ号登录,目标登录后,你就可以收到目标的账号和密码。如果你更高级一点,可以发一个钓鱼网站,也需要目标用他的QQ账号和密码登录。
2)这个比较高级,但是也比较简单粗暴,给目标一个链接,目标点击后,我就获取目标的cookie或者skey,用这个skey字符串
替换目标密码,登录任意腾讯网站(如QQ空间)进行二次社会工程
⑤联系社工
说白了就是亲自上阵。伪装自己,接近目标。这个方法太多了,数不胜数。不过,如果你仔细看了上面1-4的内容,应该可以通过以上方法大致了解到目标的很多信息,那么接近的难度就会降低很多
⑥ 密码猜测
这个就是运气的问题了,上面的方法失效之后,虽然无法得到目标的密码,但是可以了解到目标的兴趣爱好,女朋友等,了解目标的详细信息之后,就可以猜出弱密码了,这个方法也是靠运气的。
(密码猜解软件-百度搜索“社会工程学密码生成器”自行下载)
⑦垂钓定位
更高级的手段是利用一些假软件伪造短信和链接,强迫目标自愿提供个人信息。
新闻媒体还报道了使用第三方平台接口进行定位的情况
十八、内部员工
这个是需要人脉的,通过一些内部人员,比如公务员,警察等,可以查询到目标的信息。
中国每年都在严厉打击警方内部人员,倒卖信息的案件层出不穷
⑨社工的渗透
1)潜入目标学校的官方网站。这是一种技术性很强的手段下载刷枪软件,通过这些网站服务器上的数据获取目标的个人信息。
2)渗透目标常用的论坛或其他网站,获取目标的个人隐私数据。
⑩个人理解
1.社会工作的核心
社会工作的核心在于长期、耐心的接触和收集、组织信息的能力,核心在于对受害者的充分了解。
2. 社会工作者需要的知识
社会工作者必须掌握很多相关的基础知识,甚至包括哲学。哲学是关于世界观的学说。学习哲学可以帮助你更清楚地认识世界,增强你的理解能力和思考能力。
3.社会工作基础
真正的社工学,可以理解为“黑客技术(Google/百度、木马病毒、编程、各种扫描、各种站点访问、日常各种站点获取数据等)+心理学(社会心理、人际距离、微表情、诱导、神经语言程序设计等)”的综合运用,两者必须学会才能成为真正的社工。
4. 社会工作者需要牢记以下五点
1.首先,记住这句话:永远不要承认自己是黑客或者大师,因为这个称号是要付出代价的。不要试图自杀。
2.接到陌生电话时,一定要问清楚对方有什么事,然后告诉对方自己现在的位置。一定要确认对方身份,核对清楚!一定要小心!
3.当有人问你哪些技术论坛好时,你可以推荐,但不要轻易告诉别人你经常用哪个论坛,用什么ID。炫耀=找死
4、要做好受到他人批评的准备,因为愤怒或者情绪化的人往往会失去理性,做出错误的判断,从而泄露你的信息。
5、如果有人在技术论坛或者技术QQ群里说自己的内存是200G,你千万不要纠正他说是硬盘的,装傻还好,没有绝对的技术,严禁炫耀。
⑪社会工作预防(专业预防)
其实我个人认为,社工学是无法完全预防的,所谓的预防只是针对目前比较流行的社工学攻击。
我们没有办法阻止敌人攻击我们,能做的只有切断联系,就像潜艇的A舱进水了,我们就关闭A舱,不让其影响B舱一样。
这里我们申请更多QQ,并前瞻性地使用
QQ1:只添加家人和朋友,不添加其他人或群组,密码设置不重要
QQ2:偶尔登录财付通账号,不加任何人,不联系任何人,密码要恶心人
QQ3:主号(最好绑定黑卡手机,只设简单密码,所有信息都是假的)用于交流学习,也作为B号。这个号码需要设置好几个备用密码,很恶心,跟你的信息没有任何关系
QQ4:偶尔登录(没有手机,只有简单的密码保护,全部是假信息)不添加任何好友或群。此号码用于注册登录任何需要QQ号、邮箱或微博账号的账号,与密码设置无关。
这样,别人就算得到了你的QQ1、QQ3、或者QQ4,也很难将其关联起来。尽量将密码设置为随机输入的包含字母、符号、数字的16位数字,每天清理历史记录。现在的问题是,这么恶心的一个主号密码记住还好,多个怎么记住?简单方法:记在常用的笔记本里,保证别人看不到,手机上也记下来。很多手机都有单独的加密笔记本软件或者内置机密相册。将QQ和密码截图放到机密库里,也可以放到云盘里。密码自己设置,不建议放在常用的云盘里。提示:可以想出自己的加密方法,将加密后的密码保存起来,更加安全。
⑫社会工程学与诈骗的区别
社会工程师比较有耐心,诈骗者相对没有耐心;
社交工程师的反击手段较多,而诈骗分子的反击能力较弱;
社会工程师通常是攻击目标,而诈骗者则不是;
社会工程师需要很高的技能,包括社会学、心理学、行为科学、数据分析、数据收集等,而欺诈所需的技能相对较低。
防范社交工程师比防范诈骗分子更困难
下一个级别的欺诈是社交工程师。只要有时间,社交工程师就无所不能。
一般而言,你可以认为社会工程学更先进,而欺诈则不那么先进。欺诈是社会工程学的一个子集,或者说是可以做的事情之一。
在商业活动中,社会工程师可以做的事情很多,比如进行恶意竞争、恶意公关、抹黑竞争对手、攻击竞争对手、煽动网民等等。
每个人都应该能够预防社会工程攻击,公司也应该如此
例子
【2017、2018年徐玉玉案背后个人信息泄露的严重性】2017年8月24日,山东省临沂市人民法院公开开庭审理了被告人杜天宇侵犯公民个人信息案。杜天宇通过植入木马等手段,非法入侵山东省2016年普通高考信息平台网站,窃取考生信息进行售卖。陈文辉(另案处理)利用从杜天宇手中购买的信息实施电信诈骗,从而引发了“徐玉玉诈骗死亡案”
