社会工程学(Social Engineering)简称社工,它是通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行欺骗、伤害的一种危害手端。 社会工程学经常被Hacker运用在Web渗透方面,也被称为没有“技术”却比“技术”更强大的渗透方式。 一个成功的社工师必然是拥有“读心术”的沟通专家,当然,也有人称其为骗子、间谍,所以在我们的日常生活中社会工程学可以说是无处不在。
再进行社工入侵时,最重要的一步是信息收集,比如,一个电话号码、一个人的名字 ,或者工作的ID号码,都可能被社工师所利用,信息搜集这一步直接决定了社工入侵的成败。
最简单的社工方式就是百度,但是使用百度还是普通人的操作,要想搜索到更多的信息还是选择用Google,Google可以查找到一些敏感信息更或者是网站的后门。 但仅仅靠搜索引擎是不够的,搜索引擎只能搜集一些简单的资料,并不能提供层次的资料,社工一般是从目标很少的一部分资料作为开端,比如目标的邮箱、个人网站和博客等等。下面介绍几种方法。
[1.Whois] (http://whois.chinaz.com/) Whois可以用来查询域名是否已经被注册,如果已经被注册,将会查询 域名的详细信息。比如:域名注册商、域名注册日期、域名注册人联系方式等。 同时,也可以根据信息进行反查。我就不演示了,因为在刚刚再操作过程发现了一些不好的东西。。。。。。
[你注册过哪些网站] (https://www.reg007.com/) 这是根据你输入的邮箱或手机号查询你曾经用此邮箱或手机号注册过哪些网站,这个网站可以知道你的邮箱或手机号是否遭到泄露或他人恶意注册。 此网页要想搜索到详细信息需要购买或邀请码。
[IP定位] (https://www.ipuu.net) 此网站可根据你正在上网的IP进行定位,可以定位到街区附近。也可对网站的IP进行定位。 此网页要想搜索到详细信息需要购买。
另外,如果想要获取某位QQ好友的坐标所在位置,可以借助“QQ查IP工具”的程序对目标好友打个QQ电话,不需要接通就可以查询到。(可能需要目标好友用蜂窝数据在线才行) 我的好友少,就不进行演示了。在拨通电话一会儿,界面就是出现目标好友的IP,结合上面IP定位的工具就可查询目标位置。
[同IP网站查询] (https://www.webscan.cc) 对目标网站的信息与存在的子网页进行查看。
MagicEXIF
MagicEXIF 元数据编辑器是一个专业级照片元数据查看和编辑软件,可以快速读取、修改和恢复多种图像格式中的EXIF、GPS、XMP、厂商注释等元数据,是摄影发烧友、图像爱好者、新闻记者、互联网从业人员等编辑照片属性的得力助手。但对于社工师而言,这是一个良好的根据图片查看图片所拍位置的工具。 大家可以看看自己手机相机是否开启了地理位置的选项。绝大多数人都开启了,并且大家也不会注意这个东西,当你的图片被社工师传入了电脑,并用MagicEXIF进行GPS定位,那么摄影者拍摄此图片的地理位置就会被读取。 (关键时刻总时掉链子,软件突然打不开了,有兴趣的可以自己去操作。)
其实将手机原图传入到电脑上,并且查看图片的属性就可以知道GPS的经纬度。
有很多网站可以根据经纬度查看地理位置,比如:(http://www.gpsspg.com/maps.htm)
[路由MAC查询地址] (http://wifi.tongxinmao.com/Public/macaddr) 如果你知道了目标的MAC地址,可以根据此网站来进行定位。
手机号生成器 一些社工师门根据爬虫等特殊手端,将全国的手机号码进行收集,如果知道目标收集号的前几位数字和后几位数字,是很好知道有哪些数字相匹配的,在进行手机归属地查询,就可知道目标的一些个人信息了。
Everything [Everything]这个软件是一款文件搜索工具,可以通过HTTP或FTP分享搜索结果。它提供了HTTP服务器的功能:它可以让用户在本地或局域网上的其他电脑使用浏览器进行搜索,并支持文件下载,由于有些人没有设置密码,使得一旦知道你的电脑IP和端口,所有上网的人都可以看到你电脑上所有的东西。
支付宝的巧妙利用
大家知道支付宝的安全性是很高的,但是大多数人在实名认证后,在隐私设置中默认开启了“允许他人看我的真实姓名”、“允许陌生人查看十条动态”、“通过手机号找到我”这些隐私选项,社工师们通过添加好友或转账方式即可知道你的个人信息。
忘记密码的巧妙利用 大家知道,忘记密码后会要求向手机发送短信或者身份证的数字补全等一些操作,同上一样,安全验证往往会注明手机的前几位和后几位,如"152****0002",此时根据手机号生成器或者根据代码程序进行遍历是可以找到目标的个人信息的。
晒“票”的利用 我指的“票”有很多,发票、车票、账单、身份证等,许多年轻人会将一段出行或者某些花费收到的一些票据在朋友圈或空间晒一晒 “又开始一段新的旅途”、“今天又破费了”,虽然他们会将身份证号的某写数字给遮盖,但是了解身份证号构成的都知道是由地址码、出生日期码、顺序码和校验码组成的。知道这些还不简单,经过一些简单的操作,大多数的号都能知道,只有最后几位是随机生成的。社工师通过代码进行遍历,或者到阿里云的身份证实名认证接口就可以查到你的身份证详细信息了,连你的身份证头像都有。(花点钱的事儿)
莫名软件的安装 现在的软件需要收集用户的个人信息,往往在刚开始使用的时候会跳出一系列窗口“是否允许拍摄照片和录制视频”是否允许“访问您设备上的照片、媒体内容和文件”等获取权限的提示。99%的人会始终允许,要不然用不了软件。但是如果安装了一些莫名的软件并且用户还默认允许访问权限的话很可能会让你的信息造成泄露,甚至打开你的手机摄像头进行偷拍,“韩国N号房事件”也许就是这样进行犯罪的。也有一些钓鱼软件和钓鱼网站让你输入信息造成账号被盗或者信息泄露的事件。
聊天工具的所有人可见 很多人的QQde空间和微信朋友圈都是任何人可看或者可以看所有动态。当社工师得知你的社交工具的账号时,可以进入你的空间查看你的生活日常进行信息收集,这样你的生活日常场所、朋友等信息一概被社工师所了解。
社工库 社工师们可以通过科学上网在某些社工库上搜索信息,如果查到了个人的信息,说明信息已经遭到了泄露,利用社工库在一定的概率上能查到目标信息。
一个成功的社工师必然是一个“读心术”的沟通专家,“读心术”是因为已经通过信息收集了解到目标的方方面面了,而沟通也是十分重要的,一个社工师可能会有多个身份,而且沟通时必然要懂得一些专业术语,在著名黑客——凯文·米特尼克写的《欺骗的艺术》可以知道,社工师在与目标沟通时不断扮演角色,投其所好且通过专业术语让目标信任他,从而让目标自己交代社工师需要的信息。
社会工程学可以说适用于任何一个领域,因为任何领域都存在沟通。只要有沟通的存在就存在社会工程学。而社工师就像一个魔术师,用他的左手吸你的注意,而右手却在窃取你的秘密。有人说社工师不就是一个骗子吗,其实社工师就是这样的,他们利用人性的弱点取得人们的信任,最后使人上当。其实社会工程师也有好人。就像懂得黑客技术的不一定是骇客,也有一群群维护国家网络安全的白帽子们。在互联网时代中,我们要保护好自己的隐私,不要轻易地相信陌生人,不要轻易地下载莫名软件,不要轻易输入自己的账号密码。