反社工推论,诈骗犯是如何知道我们个人信息的

avatar 2019年3月18日02:58:47 评论 4,609

社会工程学

俗话说不懂社工的hacker 不能称之为hacker,这句话至于你能理解多少,那就要看悟性了,有的时候我们在进行安全检测的时候,熟练运用社工思路会达到意向不到的收获,如一个网站无论你怎么注入和爆破,都没有一点思路,当你通过一个管理员名字,或者管理员的生日进入的时候,你有何感想,大部分安全事故都是从内部引起的,这句话挺有哲理思考意味,人们习惯用自己生日、电话号、恋人的名字和其相关的东西作为密码或者是密保,这本身就存在可被社工的地方,比如我们可以通过一个QQ 号码,找到QQ号拥有者的名字、生日、手机号等诸多信息,所以正确利用社工思想,可以帮助我们在渗透的时候达到不可预料的惊喜,推荐各位有时候看下《社会工程学》这本书。

反社工推论

我在这里举个简单的例子来简单讲一个问题,小张是某X 市中学的一名老师,最近有一段时间经常会接到各种诈骗电话和短信,在接到这些诈骗电话的时候,让小张不可思议的是骗子能很详细的报出他的名字、生日和身份证号码及其其他一些相关的信息,如果不是小张机智,估计就上当了,那么小张的信息是怎么被泄露的呢?一个人的信息被泄露可能有很多途径,但是我们现在要推敲的是就本次信息是从何泄露,我们这里用到的方法是“相似耦合排除”,有些时候骗子所给你提供的信息,也就是他从某种途径得到的,如淘宝购物、求职场所、公共信息、医疗、旅游相关、公司内部等,如骗子在说你同事是某某的是、或者说你最近买了什么东西、最近安全状况的时候,我们就大致可以确定信息从哪里泄露的,如小张在接到诈骗电话的同时,其他校园同事也都接到了相应的诈骗电话,那么基本上可以把目标定位到学校这个范围内,一般来说教师信息泄露的途径或存在教育局、招教网站、考试论坛、学校内部OA、教师类网站,但是有一个前提就是,哪些网站是本校老师共用的,毕竟是本学校老师、或者是本市的老师接到了诈骗电话,那就可以再次将排除范围缩小到,教育相关领域,也就是小张所在地方的教育系统,另外一个就是参考小张曾经在什么地方很详细的填写了自己的个人信息,经过以上简单梳理,最终小张把问题放在了自己的教育博客上,这个教育博客是X 市要求每个本市的老师都要登陆的,所以这个网站就存在最大的信息泄露嫌疑。

社会工程学的核心要义: 肯 蒙 拐 骗 偷

我们个人信息被泄漏以后,诈骗犯利用人的弱心理防线进行诈骗。

在这里提醒大家提高个人安全意识,遇到骗子及时通知警方。

  • 我的微信
  • 这是我的微信扫一扫
  • weinxin
  • 我的微信公众号
  • 我的微信公众号扫一扫
  • weinxin
avatar

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: