• Welcome to the world's largest Chinese hacker forum

    Welcome to the world's largest Chinese hacker forum, our forum registration is open! You can now register for technical communication with us, this is a free and open to the world of the BBS, we founded the purpose for the study of network security, please don't release business of black/grey, or on the BBS posts, to seek help hacker if violations, we will permanently frozen your IP and account, thank you for your cooperation. Hacker attack and defense cracking or network Security

    business please click here: Creation Security  From CNHACKTEAM

社会工程学——入门篇


Sanda

Recommended Posts

① QQ方面的社工

1)如果目标的空间(没设置好友可见或者指定好友可见,就可以进入目标的空间)

2)浏览目标的说说(从你的说说中获取目标的姓名,手机号,地理位置等)

3)浏览目标的说说的评论。(从中获取目标的地理位置或者目标手机号和姓名等)

4)浏览目标的留言板。(获取目标的名字,班级,生日,年龄,地理位置等)

5)浏览目标的相册。(获取目标的班级,学校,地理位置,面貌等)

6)浏览目标的签名历史记录。(获取目标的姓名,手机号,班级,地理位置等)

7)浏览目标的群关联。(获取目标的班级,学校,同学QQ等等,进行二次查找)

8)浏览目标的好友的群关联。(获取目标的班级,学校,同学QQ等,进行二次查找)

9)浏览目标的全民k歌。(获取目标的年龄和地区,对你的粉丝进行步骤1-6)

10)查看目标的部落定位。(获取目标的地理位置)

小结:通过以上的途径中,找到目标的另一半或者很熟的人。找到目标朋友的位置,也就找到了目标的位置。还可以伪装成目标的新朋友,然后套取一些信息。比如住址,电话,姓名等等。要注意的是,在目标不对你开放空间时,查看签名历史最有效,其次是查看全民k歌。

(社工一定要及时进行关系网整合以及目标信息整合,至于二次社工是什么,各位自行理解)


②引擎搜索社工

1)如果目标在论坛或者贴吧发帖,就能根据论坛和贴吧的类型,发现目标的所在地或者兴趣爱好。

2)搜索发现目标的贴吧账号,看目标发布的帖子和回复的帖子,发现目标的所在地。

3)发现一些目标的曾经可以暴露身份的资料。

4)如果目标曾经发过招聘广告等,发现目标的电话。

搜索引擎能搜到很多东西,是列举不完的,但是搜到的目标相关信息是你要关注和保存的。


③撞库社工

1)利用社工库查找对方历史密码。

2)用MD5解密,解出对面密码,进行尝试QQ登陆,
④利用钓鱼和xss社工

1)钓鱼软件其实就很简单,知道目标的兴趣和目标的大概性格啥的。比如我发个刷钻、刷QB刷枪的软件给目标。需要QQ号码登入,目标登入以后。就能收到目标的账号密码。高级点的话发个钓鱼网站,也需要目标登陆QQ账号密码。

2)这个比较高级,也简单粗暴。给目标一个链接,目标点击以后,我就拿到了目标的cookie或者skey。利用这串skey
代替目标的密码,登入腾讯旗下任意站点,比如QQ空间,进行二次社工。


⑤接触型社工

说白了,就是亲自,上阵。伪装自己,接触目标。这个方法太多,层出不穷。但是,如果你仔细看了上面1-4的内容,你通过上面的途径,就应该能大致了解目标很多信息了,这样再去接触,难度就下降了很多。


⑥密码猜解

这个就属于碰运气了,通过以上途径失效后,虽然日不到目标密码,但是兴趣爱好,女朋友什么的都是能找到的,对目标的详细资料了解后,进行弱密码猜解。这种方法也是靠运气的。

⑦钓鱼定位

更高级的就是用某些伪造软件,对短信和链接进行伪造,让目标自主提供个人信息。

⑧内部人员

这个就需要人脉了。通过一些内部人员,比如公务员,警察等,查询目标的信息。

⑨渗透社工

1)渗透目标所在的学校官网。这个技术含量高,通过这些网站服务器上的数据得到目标的个人信息。

2)渗透目标常驻的论坛或者其它网站,获得目标的个人隐私数据。

⑩个人理解

1.社工的核心。

社工的核心在于长期、耐心的接触,以及信息收集整理能力,核心在于对被攻击者的足够了解。


2.社工需要的知识。

社工必须掌握大量的相关基础知识,甚至包括哲学。哲学是关习世界观的学说,学了哲学能帮助你更清楚的认识这个世界,增强理解能力和思辩能力。


3.社工的基础

真正的社会工程学,可以被理解为“黑客技术(Google/baidu、木马病毒、编程、各种扫描、各种踩点、各种日站拿数据等)+心理学(社会心理学、人际距离学、微表情、诱导、神经语言程序学等)”的综合运用,两者都要去学习,才能成为一名真正的社工狮


4.社工狮需谨记以下五点

1、首先记住这句话:永远不要承认自己是个黑客或者说自己是个高手,因为这个称号是要付出代价的。自作死行为,不要尝试。

2、接到陌生电话后,一定要问清楚对方有什么事情,然后再告诉他(她)当前你目前所在的地理位置。一定要确定对方身份,核对清楚!谨慎!

3、当别人问你有什么技术论坛好的时候,你可以推荐,但不要轻易告诉别人你经常在哪个论坛用什么ID。炫耀=作死。

4、做好被别人数落的心理准备,因为愤怒中的或者称为情绪激动中的人,往往会失去理智而产生错误的判断,因而泄露你的信息。

5、如果有个人在技术论坛或者技术QQ群说他的内存有200G,你千万不要纠正说是硬盘,宁可装傻。没有绝对的技术,禁止装逼。

 

⑪社工防范(专防)

其实我个人认为,社工是无法彻底防范的,所谓的防范仅仅是针对目前流行的社工盗号。

面对处心积虑的对手,我们是没法防范的,我们能做到的仅仅的切断关联。就像潜水艇A舱进水了,就关闭A舱,不让它影响到B舱。

这里我们多申请一些QQ,有前瞻性的使用。


QQ1: 只加亲人朋友号,不加其他人和群,密码设置无所谓。


QQ2: 偶尔登录 财付通专用号,不加任何人,不和任何人接触,密码要恶心。


QQ3: 主号(最好绑黑卡手机,只设简单密保,资料全假)交流学习兼装B号,这种号得多找几个备用 密码设置的恶心,和你的信息0关联。


QQ4:偶尔登录(不绑手机,只设简单密保,资料全假)不加任何好友,任何群。此号的作用是用来注册登录任何需要QQ号,邮箱号或微博号密码设置无关联即可。

这样的话别人就算社到了你的QQ1或QQ3,或QQ4,也很难把他们关联上。密码尽量设成乱敲的16位包含字母符号数字的,每天清理历史记录等。

——————————————————————————————————————

那么现在问题就来了,这么恶心的密码记一个主号的还可以,多了咋记啊?


简单方法:

记在你常用的本子上,确保他人不会看见,记在你的手机上,很多手机有单独的加密型笔记本软件或者自带保密相册,把QQ和密码截图,放在保密库即可,也可以放在云盘当中, 密码随你设置,不建议放在常用云盘。提示:可以自己搞一套加密方式,将加密后的密码保存,更安全。


⑫社会工程学与诈骗的区别

社会工程师更有耐心,诈骗者相对没有耐心;

社会工程师拥有大量的反攻击手段,诈骗者的反攻击能力较弱;

社会工程师一般情况下是有目标的,诈骗者是没有目标的;

社会工程师能力要求很高,社会学,心理学,行为学,数据分析,数据收集等等,而诈骗相对来说能力要求较低;

防范社会工程师的难度大,而防范诈骗者的难度小;

诈骗者的升级形态就是社会工程师。没有社会工程师做不了的事情,只要有时间。

总的来说你可以认为社会工程学更加高级,而诈骗比较低级,诈骗是社会工程学的子集,或者说可以做到的事情之一。

在商业行为中,社会工程师可以做很多的事情,比如参与恶意竞争,恶意公关,竞争对手抹黑,攻击竞争对手,煽动网民等等。

每一个人都应该有防范社会工程攻击的能力,公司也是一样。

欢迎补充

Link to comment
Share on other sites

  • 8 months later...
  • 6 months later...

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now