資深社工帶你如何防止被社工
社工就是基於黑客技術進行的有目的的欺騙~
社工又分為物理社工和網路社工
所謂物理社工,就是在現實生活中,對看得見摸得著的人(設備)進行一波欺騙
所謂網路社工,就是在網路世界中,對看不見摸得著的人(設備)進行一波欺騙
我是Kc70,很高興為大家寫下這篇文章(高興個鬼),這篇文章都是理論性的東西,沒有實戰,不喜歡請繞道,所有工具皆不提供,請自行下載。
文章分為:你為什麼被社工以及如何社工
我的社工手法:(如何社工)
【該文章為Kc之前在某平台的原創作品,版權永遠是自己的】
首先,搜索引擎大法!
百度搜索、谷歌搜索、B應、搜狗、360等等一切能搜的地方(搜索引擎語法,我這裡就不複製粘貼了,爛大街的東西~)
如果我們得到了被社工人的QQ號,那麼,我們要做的就是:
QQ空間,QQ空間是泄密最大的地方:看相冊(自拍;街拍,街拍注意圖片內的相關信息),看動態(點贊人,手機型號,玩什麼遊戲,在什麼學校,位置等等),看說說,看留言(一般是關係比較近的人才會留言,從這裡一般可以找到被社工人的姓名)
QQ簽名:看點贊人,如果點贊人有幾個固定,那麼會對你之後的社工有好多好處,QQ簽名一般會發布一些個人手機號,VX號之類的東西
騰訊微博:據說要關閉,KEY也不知道,但是KEY知道,騰訊微博也是一個泄密的地方,地址,學歷,姓名,自拍,都會有
QQ群關係分析,這個60%的人知道但是沒有來源,但是KEY這裡有幾個G的關係,可以自己搭建本地查詢庫進行查詢
如果得到了他所加的QQ群,例如,班級群,校友群,同城群之類的,看活躍度、馬甲,你懂得
KEY最近發現,全民K歌泄密也很嚴重,我們可以根據他聽歌類型進行性格分析、背景70%以上都是自己的自拍、評論泄密等等
如果我們有對方的微信號
微信轉賬看看他叫啥名誰,也可以判斷他是否為小學生,微信ID又很多設置的是他的手機號。然後加了好友要照片,如果是iPhone,看看exif,你懂得
如果我們有對方的手機號
簡訊詐騙,APK馬子,運營商關係查信息,網路電話,美團啊,打工照片軟體,VX號搜索,QQ搜索,以及各種猥瑣思路
如果我們有對方的百度貼吧地址
看他發的帖子,關注的貼吧,關注的好友之類的,一般也會拿到很多有趣的東西
如果我們有對方的支付寶賬號
這個大家都懂,查姓名,嘿嘿
如果我們有了對方的名字
朋友網啊,收錄信息,微博,搜索引擎,還有各類約X網站
很重要的一點,社工庫,這個敏感的話題,我們跳過~
然後我們就是針對人啦~
通過以上的各種猥瑣思路,得到和TA有關人的QQ號,然後威逼利誘,身份偽造啥的,取得信任,知道了他的學校,然後試試看能不能找到他的班級,學號,照片,身份證之類的,特別是老師信息,然後一直猥瑣下去~
如果對方是個騙子,例如什麼盜號啦(無非就是釣魚),你可以進行一個逆向啦,然後看到他的相關密碼啦……
如果對方油鹽不進,那麼你在適當的情況,放下尊貴的身子,哪出一點票子,找幾個妹子,搭建網站用XSS打他的IP~(前提是你是他好友)
然後就是終極猥瑣
整理上面所述信息,生成字典,到「找回你」,撞庫,搞事!
你為什麼被社工?(如何防社工)
第一點:搜索引擎出賣了你
這個是非常必要的,我們常用的有:百度,搜狗,360,Bing
因此,搜索引擎也是社工大師的比用場所。
以某位黑闊QQ為例:
百度:
Bing:
360:
搜狗:
可以看到,每個搜索引擎所搜索到的內容各不相同。因為有些搜索引擎和某些廠商有些PY交易,所以你懂得,這裡不多講。
注意:不要連續百度自己的相關信息,否則搜索引擎就會對你有興趣……
第二點:QQ出賣了你(包括QQ不限於QQ)
還是以某位黑闊的QQ為例
可以看到該黑闊的地址是XXXXXX(懶得打字),70本人在2017年某天進行定位結果相同,或許是這個黑闊厭倦了爾虞我詐的生活,直接把自己的地址放上去了哈。
並不只是該黑闊一個人,還有很多人都是這樣,一時大意造成地址泄露。
和QQ相關的當然就是QQ空間了:
QQ最能泄露隱私的地方是留言板和相冊
由於上面哪位黑闊空間被封,我們換一枚黑闊啦
根據以往經歷以及經驗可以總結:
1,與其關係親密的人一般會來這裡留言
2,部分仇家會來這裡BBBBBBB
3,沒了
就拿這個黑闊為例子我們來簡單分析一下:
這個人是一枚混在安全圈的人(技術目前未知),並且和另一位黑闊有了衝突
這裡還有他的朋友,可以從它的朋友這裡套路他的各種東西
這個還可以看到他一定收過徒弟
大概就是這樣,而現實中,泄露的東西遠比這個多
QQ相冊
該黑闊帥照(帥這個字我可不敢恭維)
所以簡單總結一下,QQ空間的留言板是泄露機密東西最多的地方(設置一些相關許可權即可控制訪問機制),QQ相冊可能會泄露你自己照片(自戀者中槍),如果你發一些街拍並且不注意打碼,然後人們還可以在照片中找一些有意思的東西:某個超市的聯繫電話,打過去看看地址在哪,然後你的大概地址也就隨之泄露,這只是簡單的,你們有腦洞,自己想吧……
然後就是點贊分析:這個就不截圖了哈,你觀察一下給他點贊的人,如果他發了二十條說說,而一個ID給他點了十九個贊,那麼八成是他的朋友同學家人,沒毛病,上去社工吧!
第三點:自己的IP地址
這個也是最難防範的一點,因為人都是有惰性的,誰願意每次登陸QQ都設置代理伺服器?誰願意每次訪問網站都開一個VPN?70本人沒有哈,所以對方通過一些小手段就可以輕鬆拿到自己的IP從而進行定位,開了相關埠直接被殺!
第四點:密碼統一
這樣講吧,如果你給我一年的時間讓我社工一個人的密碼,我或許會這樣:搭建一個網站,用11個月的時間認識被社工人並放鬆警惕(過程自己腦補),然後在12月的時候邀請他註冊為網站專欄作者,對,就是這裡如果註冊的話肯定需要密碼對吧,那麼在人群中,97%的人用的是統一的密碼,然後你把自己網站資料庫脫了,密碼不得而知
第五點:沒有殺毒軟體
所有木馬的入侵都是在不經意間發生的,為什麼呢?你沒有殺毒軟體!或者說你有,但是沒開。
也許在你點擊某個鏈接的時候,你的電腦就已經被遠控了(遠控也屬於社工手法的一種)
就是因為你沒有殺毒軟體,這裡70本人建議大家安裝多款殺毒軟體(雖然有時候會起衝突,雖然xx衛士誤報),但是這樣自己的系統安全洗漱立馬就會提高,免殺的話,對方不可能同事躲避6款殺毒軟體,你說對不對?
總結:裝逼之前沒有做好準備
這個怎麼講呢。就是說,你在上網(特別是混安全的時候)時,先把自己的一切東西準備好
這裡我來列個表:
1,殺毒軟體全家桶(火絨,360,電腦管家,配置不好的話火絨+另一款即可,配置牛逼把360,電腦管家,火絨,百度衛士,金山衛士,瑞星,麥咖啡等軟體都裝上,不過不太建議哈~)
2,偽造身份,記住,在網路上,能不填真實的就填假的,舉個栗子,你在QQ資料那裡,年齡、地址都改了,懂吧?我拋磚引玉,你們有其他的留言補充
3,不要用弱智密碼或者同一個密碼,你自己去準備個筆記本,把你每個網站的登陸或者那個和密碼記錄在本上,每次都是大寫+小寫+數字+字元,MD5破解成功幾率為3.2%
4,在網路上,不要相信任何人,特別是涉及到金額的時候,特別要注意對方是否是自己人
5,定期搜索自己的相關信息,發現之後請求管理員註銷自己的那些東西,然後去刪除百度快照
防社工就這麼一些,挺簡單的,但是你就是做不到。
其實也就是一句話:你不搞事誰蛋疼社工你?
文章版權說明:
1、本文由Kc70編寫的原創文章,授權給安全龍微信公眾號發布,並授予安全龍原創標識。
聯繫客服
技術分享自媒體號
安全龍學堂服務號
TAG:安全龍 |