① QQ方面的社工
1)如果目标的空间(没设置好友可见或者指定好友可见,就可以进入目标的空间)
2)浏览目标的说说(从你的说说中获取目标的姓名,手机号,地理位置等)
3)浏览目标的说说的评论。(从中获取目标的地理位置或者目标手机号和姓名等)
4)浏览目标的留言板。(获取目标的名字,班级,生日,年龄,地理位置等)
5)浏览目标的相册。(获取目标的班级,学校,地理位置,面貌等)
6)浏览目标的签名历史记录。(获取目标的姓名,手机号,班级,地理位置等)
7)浏览目标的群关联。(获取目标的班级,学校,同学QQ等等,进行二次查找)
8)浏览目标的好友的群关联。(获取目标的班级,学校,同学QQ等,进行二次查找)
9)浏览目标的全民k歌。(获取目标的年龄和地区,对你的粉丝进行步骤1-6)
10)查看目标的部落定位。(获取目标的地理位置)
小结:通过以上的途径中,找到目标的另一半或者很熟的人。找到目标朋友的位置,也就找到了目标的位置。还可以伪装成目标的新朋友,然后套取一些信息。比如住址,电话,姓名等等。要注意的是,在目标不对你开放空间时,查看签名历史最有效,其次是查看全民k歌。
(社工一定要及时进行关系网整合以及目标信息整合,至于二次社工是什么,各位自行理解)
②引擎搜索社工
1)如果目标在论坛或者贴吧发帖,就能根据论坛和贴吧的类型,发现目标的所在地或者兴趣爱好。
2)搜索发现目标的贴吧账号,看目标发布的帖子和回复的帖子,发现目标的所在地。
3)发现一些目标的曾经可以暴露身份的资料。
4)如果目标曾经发过招聘广告等,发现目标的电话。
搜索引擎能搜到很多东西,是列举不完的,但是搜到的目标相关信息是你要关注和保存的。
③撞库社工
1)利用社工库查找对方历史密码。
2)用MD5解密,解出对面密码,进行尝试QQ登陆,申诉。
咔咔社工库建造者被捕新闻,详细情况,点击此链接查看(男子4年搜集30亿条个人信息 建网站出售开房记录)
④利用钓鱼和xss社工
1)钓鱼软件其实就很简单,知道目标的兴趣和目标的大概性格啥的。比如我发个刷钻、刷QB刷枪的软件给目标。需要QQ号码登入,目标登入以后。就能收到目标的账号密码。高级点的话发个钓鱼网站,也需要目标登陆QQ账号密码。
2)这个比较高级,也简单粗暴。给目标一个链接,目标点击以后,我就拿到了目标的cookie或者skey。利用这串skey
代替目标的密码,登入腾讯旗下任意站点,比如QQ空间,进行二次社工。
⑤接触型社工
说白了,就是亲自,上阵。伪装自己,接触目标。这个方法太多,层出不穷。但是,如果你仔细看了上面1-4的内容,你通过上面的途径,就应该能大致了解目标很多信息了,这样再去接触,难度就下降了很多。
⑥密码猜解
这个就属于碰运气了,通过以上途径失效后,虽然日不到目标密码,但是兴趣爱好,女朋友什么的都是能找到的,对目标的详细资料了解后,进行弱密码猜解。这种方法也是靠运气的。
(密码猜解软件—baidu搜索“社会工程学密码生成器”自行下载)
⑦钓鱼定位
更高级的就是用某些伪造软件,对短信和链接进行伪造,让目标自主提供个人信息。
利用第三方平台接口定位的也被新闻媒体所报道,详细情况,点击此链接查看(http://baijiahao.baidu.com/s?id=1601533365082654386&wfr=spider&for=pc)
⑧内部人员
这个就需要人脉了。通过一些内部人员,比如公务员,警察等,查询目标的信息。
中国每年都在打击公安内鬼,倒卖信息的层出不穷,详细情况,点击此链接查看(http://baijiahao.baidu.com/s?id=1589195148475269363&wfr=spider&for=pc)
⑨渗透社工
1)渗透目标所在的学校官网。这个技术含量高,通过这些网站服务器上的数据得到目标的个人信息。
2)渗透目标常驻的论坛或者其它网站,获得目标的个人隐私数据。
⑩个人理解
1.社工的核心。
社工的核心在于长期、耐心的接触,以及信息收集整理能力,核心在于对被攻击者的足够了解。
2.社工需要的知识。
社工必须掌握大量的相关基础知识,甚至包括哲学。哲学是关习世界观的学说,学了哲学能帮助你更清楚的认识这个世界,增强理解能力和思辩能力。
3.社工的基础
真正的社会工程学,可以被理解为“黑客技术(Google/baidu、木马病毒、编程、各种扫描、各种踩点、各种日站拿数据等)+心理学(社会心理学、人际距离学、微表情、诱导、神经语言程序学等)”的综合运用,两者都要去学习,才能成为一名真正的社工狮
4.社工狮需谨记以下五点
1、首先记住这句话:永远不要承认自己是个黑客或者说自己是个高手,因为这个称号是要付出代价的。自作死行为,不要尝试。
2、接到陌生电话后,一定要问清楚对方有什么事情,然后再告诉他(她)当前你目前所在的地理位置。一定要确定对方身份,核对清楚!谨慎!
3、当别人问你有什么技术论坛好的时候,你可以推荐,但不要轻易告诉别人你经常在哪个论坛用什么ID。炫耀=作死。
4、做好被别人数落的心理准备,因为愤怒中的或者称为情绪激动中的人,往往会失去理智而产生错误的判断,因而泄露你的信息。
5、如果有个人在技术论坛或者技术QQ群说他的内存有200G,你千万不要纠正说是硬盘,宁可装傻。没有绝对的技术,禁止装逼。
⑪社工防范(专防)
其实我个人认为,社工是无法彻底防范的,所谓的防范仅仅是针对目前流行的社工盗号。
面对处心积虑的对手,我们是没法防范的,我们能做到的仅仅的切断关联。就像潜水艇A舱进水了,就关闭A舱,不让它影响到B舱。
这里我们多申请一些QQ,有前瞻性的使用。
QQ1: 只加亲人朋友号,不加其他人和群,密码设置无所谓。
QQ2: 偶尔登录 财付通专用号,不加任何人,不和任何人接触,密码要恶心。
QQ3: 主号(最好绑黑卡手机,只设简单密保,资料全假)交流学习兼装B号,这种号得多找几个备用 密码设置的恶心,和你的信息0关联。
QQ4:偶尔登录(不绑手机,只设简单密保,资料全假)不加任何好友,任何群。此号的作用是用来注册登录任何需要QQ号,邮箱号或微博号密码设置无关联即可。
这样的话别人就算社到了你的QQ1或QQ3,或QQ4,也很难把他们关联上。密码尽量设成乱敲的16位包含字母符号数字的,每天清理历史记录等。
——————————————————————————————————————
那么现在问题就来了,这么恶心的密码记一个主号的还可以,多了咋记啊?
简单方法:
记在你常用的本子上,确保他人不会看见,记在你的手机上,很多手机有单独的加密型笔记本软件或者自带保密相册,把QQ和密码截图,放在保密库即可,也可以放在云盘当中, 密码随你设置,不建议放在常用云盘。提示:可以自己搞一套加密方式,将加密后的密码保存,更安全。
⑫社会工程学与诈骗的区别
社会工程师更有耐心,诈骗者相对没有耐心;
社会工程师拥有大量的反攻击手段,诈骗者的反攻击能力较弱;
社会工程师一般情况下是有目标的,诈骗者是没有目标的;
社会工程师能力要求很高,社会学,心理学,行为学,数据分析,数据收集等等,而诈骗相对来说能力要求较低;
防范社会工程师的难度大,而防范诈骗者的难度小;
诈骗者的升级形态就是社会工程师。没有社会工程师做不了的事情,只要有时间。
总的来说你可以认为社会工程学更加高级,而诈骗比较低级,诈骗是社会工程学的子集,或者说可以做到的事情之一。
在商业行为中,社会工程师可以做很多的事情,比如参与恶意竞争,恶意公关,竞争对手抹黑,攻击竞争对手,煽动网民等等。
每一个人都应该有防范社会工程攻击的能力,公司也是一样。
徐玉玉案的背后是个人信息泄露的严重性
(抄的)