NO.8 雜談:對社會工程學的一些小小的想法
突然想到,前些日子在微博上看到某美女網紅博主PO出一張衣服的購物小票。購物小票上有商品價格信息、商場名稱、付款信息等。由於付款信息是銀行卡號,可能PO主覺得較為敏感打了碼。剛看到時我還覺得安全意識蠻不錯的,就多看了兩眼,然後赫然發現旁邊還有一行。
會員卡號:13812345678(示例)。
。。。。。。
大姐你手機號泄露了知道不?我可以發個簡訊嗎?我可以加個微信嗎?我可以百度一下不?不過很有可能人家根本不在乎。本來就是靠曝光自己生活博取關注的美女網紅,大概對於個人信息的泄露已經無所謂了。
我只是想說,對於普通人的話很多信息泄露真的是自己在網路上作死。回想起我當年也是在很多論壇留過:12345678@QQ.COM LZ好人一生平安的。。。現在想起來隨便留QQ郵箱這種事再也不會幹了。
還有比如網路昵稱,很多人喜歡在不同的論壇用同一個昵稱(我就是在說我自己)。可能A論壇偏向專業學術比如知乎。B論壇偏向其他什麼亂七八糟的東西,感情生活?之類的。當人獲取你在A論壇的昵稱之後通過搜索引擎有可能將你B論壇的內容也一併搜出來,然後分析一些生活感情經歷之類的。
還有現在很多軟體都可以通過第三方登錄。我自己的話Same和豆瓣都是通過微信登錄的,也就繼承了我微信的賬號信息:昵稱和頭像。後來我發現特么Same上大家都是用昵稱匿名的。只有我傻逼呵呵掛了微信的真名兒。。。
可以作為身份ID標識的信息都可以作為社工的入口。姓名、手機號、QQ號、這是最容易在網上流傳的東西。收快遞、收外賣、註冊各種網站都需要手機號、姓名甚至住址,如果相關公司不能保證這些敏感信息安全的後果還是會蠻嚴重的。
之前說的都還是信息收集階段,最終是要利用社會工程學達到目的。
目的就是多種多樣的了。往大了說竊取國家、企業機密,往小了說搞清楚妹子的喜好,投其所好製造話題,摸清妹子的行動軌跡製造偶遇之類的。或者乾脆就黑進妹子的賬戶吧,手機號或者姓名拼音作為賬戶名,收集她的生日、爹媽的生日、EX的生日、跟EX在一起的紀念日加上各種常用弱智密碼編個字典暴力破解吧~
-----------------社會工程學攻擊應用實例 如何拿到一台iPhone控制許可權--------------------------
前些天和朋友吃飯
朋友:你最近上班兒都在幹嘛?
我:嗯,做安全嘛。就是技術啊,黑客啊之類的。
朋友:艹,學半天你會嗎?你現在能黑進我手機嗎?
嘶 手邊兒什麼東西都沒有,通過其他技術手段拿到一台iPhone的控制權我肯定是辦不到的(說的就跟手邊兒東西就能辦到似的)
我:那我只能把你喝醉了,然後問你手機密碼了。
朋友:狗屁,你還能喝醉我?
我:嗯。。。是不能。這樣吧,這頓飯我請了,你把你手機密碼告訴我吧。
朋友:。。。
get 他的iPhone控制權。
這就是成功利用了社會工程學攻擊吧??
其實他根本就不知道我一開始的目的就是想看他的微信聊天記錄跟他女朋友勾搭的怎麼樣了,所以一早就是拿話在引導他說出:你能黑進我手機嗎這句話。最後。。。我編不下去了。
不過,說了很多信息泄露,其實信息泄露不等於社工 。信息泄露是為社工提供依據和線索,應該是這個邏輯吧。
Engineering For The Win.
推薦閱讀:
※中國現在的公司,需要注意社會工程師的攻擊嗎?
※龍翔我終於找到你了
※假如黑客知道某個遊戲玩家的個人信息又能做什麼呢?
※頂尖的黑客,如果離開了電腦等設備失去技術攻擊能力,但還保留著頂尖的社工能力,那他還算一個頂尖黑客嗎?
※如何有效的將QQ群匿名聊天的id跟實際群成員對應起來?