資深社工帶你如何防止被社工

社工就是基於黑客技術進行的有目的的欺騙~

社工又分為物理社工和網路社工

所謂物理社工，就是在現實生活中，對看得見摸得著的人（設備）進行一波欺騙

所謂網路社工，就是在網路世界中，對看不見摸得著的人（設備）進行一波欺騙

我是Kc70，很高興為大家寫下這篇文章（高興個鬼），這篇文章都是理論性的東西，沒有實戰，不喜歡請繞道，所有工具皆不提供，請自行下載。

文章分為：你為什麼被社工以及如何社工

我的社工手法：（如何社工）

【該文章為Kc之前在某平台的原創作品，版權永遠是自己的】

首先，搜索引擎大法！

百度搜索、谷歌搜索、B應、搜狗、360等等一切能搜的地方（搜索引擎語法，我這裡就不複製粘貼了，爛大街的東西~）

如果我們得到了被社工人的QQ號，那麼，我們要做的就是：

QQ空間，QQ空間是泄密最大的地方：看相冊（自拍；街拍，街拍注意圖片內的相關信息），看動態（點贊人，手機型號，玩什麼遊戲，在什麼學校，位置等等），看說說，看留言（一般是關係比較近的人才會留言，從這裡一般可以找到被社工人的姓名）

QQ簽名：看點贊人，如果點贊人有幾個固定，那麼會對你之後的社工有好多好處，QQ簽名一般會發布一些個人手機號，VX號之類的東西

騰訊微博：據說要關閉，KEY也不知道，但是KEY知道，騰訊微博也是一個泄密的地方，地址，學歷，姓名，自拍，都會有

QQ群關係分析，這個60%的人知道但是沒有來源，但是KEY這裡有幾個G的關係，可以自己搭建本地查詢庫進行查詢

如果得到了他所加的QQ群，例如，班級群，校友群，同城群之類的，看活躍度、馬甲，你懂得

KEY最近發現，全民K歌泄密也很嚴重，我們可以根據他聽歌類型進行性格分析、背景70%以上都是自己的自拍、評論泄密等等

如果我們有對方的微信號

微信轉賬看看他叫啥名誰，也可以判斷他是否為小學生，微信ID又很多設置的是他的手機號。然後加了好友要照片，如果是iPhone，看看exif，你懂得

如果我們有對方的手機號

簡訊詐騙，APK馬子，運營商關係查信息，網路電話，美團啊，打工照片軟體，VX號搜索，QQ搜索，以及各種猥瑣思路

如果我們有對方的百度貼吧地址

看他發的帖子，關注的貼吧，關注的好友之類的，一般也會拿到很多有趣的東西

如果我們有對方的支付寶賬號

這個大家都懂，查姓名，嘿嘿

如果我們有了對方的名字

朋友網啊，收錄信息，微博，搜索引擎，還有各類約X網站

很重要的一點，社工庫，這個敏感的話題，我們跳過~

然後我們就是針對人啦~

通過以上的各種猥瑣思路，得到和TA有關人的QQ號，然後威逼利誘，身份偽造啥的，取得信任，知道了他的學校，然後試試看能不能找到他的班級，學號，照片，身份證之類的，特別是老師信息，然後一直猥瑣下去~

如果對方是個騙子，例如什麼盜號啦（無非就是釣魚），你可以進行一個逆向啦，然後看到他的相關密碼啦……

如果對方油鹽不進，那麼你在適當的情況，放下尊貴的身子，哪出一點票子，找幾個妹子，搭建網站用XSS打他的IP~（前提是你是他好友）

然後就是終極猥瑣

整理上面所述信息，生成字典，到「找回你」，撞庫，搞事！

你為什麼被社工？（如何防社工）

第一點：搜索引擎出賣了你

這個是非常必要的，我們常用的有：百度，搜狗，360，Bing

因此，搜索引擎也是社工大師的比用場所。

以某位黑闊QQ為例：

百度：

Bing：

360：

搜狗：

可以看到，每個搜索引擎所搜索到的內容各不相同。因為有些搜索引擎和某些廠商有些PY交易，所以你懂得，這裡不多講。

注意：不要連續百度自己的相關信息，否則搜索引擎就會對你有興趣……

第二點：QQ出賣了你（包括QQ不限於QQ）

還是以某位黑闊的QQ為例

可以看到該黑闊的地址是XXXXXX（懶得打字），70本人在2017年某天進行定位結果相同，或許是這個黑闊厭倦了爾虞我詐的生活，直接把自己的地址放上去了哈。

並不只是該黑闊一個人，還有很多人都是這樣，一時大意造成地址泄露。

和QQ相關的當然就是QQ空間了：

QQ最能泄露隱私的地方是留言板和相冊

由於上面哪位黑闊空間被封，我們換一枚黑闊啦

根據以往經歷以及經驗可以總結：

1，與其關係親密的人一般會來這裡留言

2，部分仇家會來這裡BBBBBBB

3，沒了

就拿這個黑闊為例子我們來簡單分析一下：

這個人是一枚混在安全圈的人（技術目前未知），並且和另一位黑闊有了衝突

這裡還有他的朋友，可以從它的朋友這裡套路他的各種東西

這個還可以看到他一定收過徒弟

大概就是這樣，而現實中，泄露的東西遠比這個多

QQ相冊

該黑闊帥照（帥這個字我可不敢恭維）

所以簡單總結一下，QQ空間的留言板是泄露機密東西最多的地方（設置一些相關許可權即可控制訪問機制），QQ相冊可能會泄露你自己照片（自戀者中槍），如果你發一些街拍並且不注意打碼，然後人們還可以在照片中找一些有意思的東西：某個超市的聯繫電話，打過去看看地址在哪，然後你的大概地址也就隨之泄露，這只是簡單的，你們有腦洞，自己想吧……

然後就是點贊分析：這個就不截圖了哈，你觀察一下給他點贊的人，如果他發了二十條說說，而一個ID給他點了十九個贊，那麼八成是他的朋友同學家人，沒毛病，上去社工吧！

第三點：自己的IP地址

這個也是最難防範的一點，因為人都是有惰性的，誰願意每次登陸QQ都設置代理伺服器？誰願意每次訪問網站都開一個VPN？70本人沒有哈，所以對方通過一些小手段就可以輕鬆拿到自己的IP從而進行定位，開了相關埠直接被殺！

第四點：密碼統一

這樣講吧，如果你給我一年的時間讓我社工一個人的密碼，我或許會這樣：搭建一個網站，用11個月的時間認識被社工人並放鬆警惕（過程自己腦補），然後在12月的時候邀請他註冊為網站專欄作者，對，就是這裡如果註冊的話肯定需要密碼對吧，那麼在人群中，97%的人用的是統一的密碼，然後你把自己網站資料庫脫了，密碼不得而知

第五點：沒有殺毒軟體

所有木馬的入侵都是在不經意間發生的，為什麼呢？你沒有殺毒軟體！或者說你有，但是沒開。

也許在你點擊某個鏈接的時候，你的電腦就已經被遠控了（遠控也屬於社工手法的一種）

就是因為你沒有殺毒軟體，這裡70本人建議大家安裝多款殺毒軟體（雖然有時候會起衝突，雖然xx衛士誤報），但是這樣自己的系統安全洗漱立馬就會提高，免殺的話，對方不可能同事躲避6款殺毒軟體，你說對不對？

總結：裝逼之前沒有做好準備

這個怎麼講呢。就是說，你在上網（特別是混安全的時候）時，先把自己的一切東西準備好

這裡我來列個表：

1，殺毒軟體全家桶（火絨，360，電腦管家，配置不好的話火絨+另一款即可，配置牛逼把360，電腦管家，火絨，百度衛士，金山衛士，瑞星，麥咖啡等軟體都裝上，不過不太建議哈~）

2，偽造身份，記住，在網路上，能不填真實的就填假的，舉個栗子，你在QQ資料那裡，年齡、地址都改了，懂吧？我拋磚引玉，你們有其他的留言補充

3，不要用弱智密碼或者同一個密碼，你自己去準備個筆記本，把你每個網站的登陸或者那個和密碼記錄在本上，每次都是大寫+小寫+數字+字元，MD5破解成功幾率為3.2%

4，在網路上，不要相信任何人，特別是涉及到金額的時候，特別要注意對方是否是自己人

5，定期搜索自己的相關信息，發現之後請求管理員註銷自己的那些東西，然後去刪除百度快照

防社工就這麼一些，挺簡單的，但是你就是做不到。

其實也就是一句話：你不搞事誰蛋疼社工你？

文章版權說明：

1、本文由Kc70編寫的原創文章，授權給安全龍微信公眾號發布，並授予安全龍原創標識。

聯繫客服

技術分享自媒體號

安全龍學堂服務號

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！