声明
本教程仅献给网络安全专业领域、热爱社工的朋友们、被网络欺骗的无助群体
导读
费罗伊德认为:人类是生来就存在好奇心的,窥探他人隐私是人的天性,这源于童年时对自己身世的追问与好奇,也是个人成长的需要。
但是人们在窥探他人隐私的同时,又害怕被他人窥探到自己的隐私……
李彦宏曾说过:中国人更加开放,或者说对于隐私问题没有那么敏感。如果说他们愿意用隐私来交换便捷性或者效率,很多情况下他们是愿意这么做的。
因此,我们的隐私泄露大多数是与自己的生活习惯相关、或者是与企业过度的收集信息相关。
我想,你应该遇到过这样的场景?
- 为了薅羊毛(免费领取XXXX)而不惜输入自己的手机号
- 为了蝇头小利帮助坏人辅助验证自己的手机号、出租自己的微信账户
这些都是你自己的帐户泄露产生的根源,当然,偶尔也会因为企业信息管理的不善,导致一些信息被黑客导出的情况,前者是可以减小风险发生概率的,而后者是不可避免的。
法律
在阅读下文前,还是要强调下法律的重要性。我想,你搜索到这一篇文章,一定是因为被骗了但找不到解决方案,你可能心里会比较焦急,但我们还是要先简单说一下法律的条文规定。针对公民个人信息这一块,现在法律还是比较严格的,侵犯公民个人信息需要负刑事责任,普通信息5000条就可以判3年以下了,超过50000条就要判3-7年了。
因此,如果不是专业领域(譬如国家级hvv、网络攻防演习或者其他授权场景,请不要轻易使用公民个人信息)
你可以在上面的裁判文书网中,搜索侵犯公民个人信息
获取有关的案件
社工思维导图
以下思路主要基于OSINT开源情报框架
![图片[1]-2022史上最全的社工思路分享-FancyPig's blog](https://static.iculture.cc/wp-content/uploads/2021/05/社工信息收集思路-watermark-980x1024.png?x-oss-process=image/auto-orient,1/format,webp/watermark,image_cHVibGljL2xvZ28ucG5nP3gtb3NzLXByb2Nlc3M9aW1hZ2UvcmVzaXplLFBfMTA,x_10,y_10)
信息收集的几个概念
被动信息收集
被动信息收集指的是通过公开渠道可获得的信息,与目标不产生直接交互
主动信息收集
与目标进行直接交互
比方说发钓鱼链接、发钓鱼文件
再比方说与目标的朋友套近乎,“他是我一个之前某某某游戏认识的,您能给我一下他的微信吗,好久没跟他聊了”
从而拿到目标信息。
- 合理规避风险,防止被溯源、水表
其他阅读
常见问题
常见问题,其实也是一个社工的常见步骤,可以供各位参考
TOP1:如何通过QQ、微博获取用户的手机号
下方是一些常见的开源工具或是搜索引擎,均来自互联网,请合理合法使用
为了不误伤到无辜的网友,如何验证结果是准确的?您可以尝试通过将手机号导入通讯录,然后在QQ添加好友列表里,就能看到这个手机号对应的QQ号,你可以通过校验头像是否一致,来确认结果是否准确。
如何更好的保护自己的隐私呢?需要大家一定要牢记
- 用自己手机号注册过的任何账户不要出售给任何人,否则结果要么是账户被坏人拿走做了违法的业务,要么就是会被一些网友通过上述搜集手段找到是你,然后你就被网友们误伤了……
- 在QQ及其他社交平台上禁止他人通过手机号搜索,👉详细操作步骤
TOP2:如何通过手机号获取全名?
1.如果你不想被对方发现,建议使用转账验证姓氏的方式,可以参考百家姓中出现频率最高的几个
王、李、张、刘、陈、杨、黄、赵、吴、周、徐、孙、马、朱、胡、郭、何、林、高
2.如果你不介意被对方发现,你可以直接通过支付宝转账,使用银行卡付款。
然后在你的银行卡客户端查询订单,订单详情的支付场所:XXX,会显示对方的全名
但您仍可以通过使用【云闪付】付款查询到姓名
3.我们还可以通过以下两种方法
- 通过淘宝或者支付宝找回密码,使用人脸验证,可以看到名字中的后2个字
![图片[9]-2022史上最全的社工思路分享-FancyPig's blog](https://static.iculture.cc/wp-content/uploads/2021/09/20210908024628837.png?x-oss-process=image/auto-orient,1/format,webp/watermark,image_cHVibGljL2xvZ28ucG5nP3gtb3NzLXByb2Nlc3M9aW1hZ2UvcmVzaXplLFBfMTA,x_10,y_10)
- 通过微信中的添加企业联系人,输入手机号
![图片[10]-2022史上最全的社工思路分享-FancyPig's blog](https://static.iculture.cc/wp-content/uploads/2021/09/20210908024758574.png?x-oss-process=image/auto-orient,1/format,webp/watermark,image_cHVibGljL2xvZ28ucG5nP3gtb3NzLXByb2Nlc3M9aW1hZ2UvcmVzaXplLFBfMTA,x_10,y_10)
这里我们可以查找到该用户对应的公司地址,完成溯源
![图片[11]-2022史上最全的社工思路分享-FancyPig's blog](https://static.iculture.cc/wp-content/uploads/2021/09/20210908024841919.png?x-oss-process=image/auto-orient,1/format,webp/watermark,image_cHVibGljL2xvZ28ucG5nP3gtb3NzLXByb2Nlc3M9aW1hZ2UvcmVzaXplLFBfMTA,x_10,y_10)
- 参考文章
TOP3:有了全名可以查到什么?地址?身份证?
爱企查
根据企业法人、高管的姓名可以查到一些公开的信息
进阶教程
如何校验一个人的信息是否属实,可以参考下面的教程
TOP4:如果社工库里都没有,怎么办?
传统社工手段
整体思路请参考本文最开始的思维导图
- 抖音/快手/美拍的ID一般跟微信号一样,昵称一般跟微博用户名一样
- 通过reg007查询手机号注册的一些社交网站,然后在到社交平台里收集信息
- 微博/网易云音乐等社交平台如果存在唯一关注、唯一粉丝,可以一定程度上判断是该账户的小号或者大号
- 通过领英职场平台可以寻找到一些有价值的信息
不登陆平台就可以查询用户的方法
- 使用Google Hacking收集有关用户ID、昵称相关的信息
- 使用图片查询微博Po主
除了以上方法,国外还有一些开源的OSINT框架可供学习(现已汉化)
![图片[12]-2022史上最全的社工思路分享-FancyPig's blog](https://static.iculture.cc/wp-content/uploads/2021/05/image-57-1024x788.png?x-oss-process=image/auto-orient,1/format,webp/watermark,image_cHVibGljL2xvZ28ucG5nP3gtb3NzLXByb2Nlc3M9aW1hZ2UvcmVzaXplLFBfMTA,x_10,y_10)
TOP5:怎么查询某个人的定位/地理位置?
社交软件
通过Wireshark工具获取对方IP
通过XML卡片获取对方IP
- 参考社区教程《QQ如何通过一条消息获取对方IP及手机型号》
钓鱼工具
钓鱼教程
TOP6:后续是否考虑做一个互助的社区?
后续可能会考虑给本网站的用户提供一个互助交流的社区,已于2021年12月5日上线
- 最新
- 最热
只看作者