声明

本教程仅献给网络安全专业领域、热爱社工的朋友们、被网络欺骗的无助群体

请不要用于违法用途，阅读以下内容代表您认同并愿意承担由此可能带来的一切法律责任

导读

费罗伊德认为：人类是生来就存在好奇心的，窥探他人隐私是人的天性，这源于童年时对自己身世的追问与好奇，也是个人成长的需要。

但是人们在窥探他人隐私的同时，又害怕被他人窥探到自己的隐私……

李彦宏曾说过：中国人更加开放，或者说对于隐私问题没有那么敏感。如果说他们愿意用隐私来交换便捷性或者效率，很多情况下他们是愿意这么做的。

因此，我们的隐私泄露大多数是与自己的生活习惯相关、或者是与企业过度的收集信息相关。

我想，你应该遇到过这样的场景？

为了薅羊毛（免费领取XXXX）而不惜输入自己的手机号
为了蝇头小利帮助坏人辅助验证自己的手机号、出租自己的微信账户

这些都是你自己的帐户泄露产生的根源，当然，偶尔也会因为企业信息管理的不善，导致一些信息被黑客导出的情况，前者是可以减小风险发生概率的，而后者是不可避免的。

法律

在阅读下文前，还是要强调下法律的重要性。我想，你搜索到这一篇文章，一定是因为被骗了但找不到解决方案，你可能心里会比较焦急，但我们还是要先简单说一下法律的条文规定。针对公民个人信息这一块，现在法律还是比较严格的，侵犯公民个人信息需要负刑事责任，普通信息5000条就可以判3年以下了，超过50000条就要判3-7年了。

因此，如果不是专业领域（譬如国家级hvv、网络攻防演习或者其他授权场景，请不要轻易使用公民个人信息）

裁判文书网

你可以在上面的裁判文书网中，搜索侵犯公民个人信息获取有关的案件

社工思维导图

以下思路主要基于OSINT开源情报框架

Osint Framework开源情报查询框架汉化版在线工具

4个月前

11891.2W+91

信息收集的几个概念

我们推荐大家尽可能使用被动信息收集的方式，不与目标产生直接交互

被动信息收集

被动信息收集指的是通过公开渠道可获得的信息，与目标不产生直接交互

比方说通过猪头汉堡店或者其他在线社工库进行信息收集

【零基础学渗透】被动信息收集

3个月前

360582132

主动信息收集

与目标进行直接交互

【零基础学渗透】主动信息收集

3个月前

216547127

比方说发钓鱼链接、发钓鱼文件

再比方说与目标的朋友套近乎，“他是我一个之前某某某游戏认识的，您能给我一下他的微信吗，好久没跟他聊了”

从而拿到目标信息。

合理规避风险，防止被溯源、水表

如何隐藏自己的真实IP地址防止被溯源/恶意钓鱼

10个月前

6461.5W+88

其他阅读

《史上最全面的红队侦察技巧分享（含信息收集）》

常见问题

常见问题，其实也是一个社工的常见步骤，可以供各位参考

TOP1：如何通过QQ、微博获取用户的手机号

下方是一些常见的开源工具或是搜索引擎，均来自互联网，请合理合法使用

原猪头汉堡店（代码开源地址）奇安信Hunter搜索引擎查询【社工库】关键词搜索Q绑（必应搜索引擎） KallyDev个人数据泄露检测（国外开源项目） PhoneInfoga开源引擎搜集手机号信息

为了不误伤到无辜的网友，如何验证结果是准确的？您可以尝试通过将手机号导入通讯录，然后在QQ添加好友列表里，就能看到这个手机号对应的QQ号，你可以通过校验头像是否一致，来确认结果是否准确。

👉获取校验方法详细步骤

如何更好的保护自己的隐私呢？需要大家一定要牢记

用自己手机号注册过的任何账户不要出售给任何人，否则结果要么是账户被坏人拿走做了违法的业务，要么就是会被一些网友通过上述搜集手段找到是你，然后你就被网友们误伤了……
在QQ及其他社交平台上禁止他人通过手机号搜索，👉详细操作步骤

TOP2：如何通过手机号获取全名？

1.如果你不想被对方发现，建议使用转账验证姓氏的方式，可以参考百家姓中出现频率最高的几个

常见的姓氏

王、李、张、刘、陈、杨、黄、赵、吴、周、徐、孙、马、朱、胡、郭、何、林、高

2.如果你不介意被对方发现，你可以直接通过支付宝转账，使用银行卡付款。

然后在你的银行卡客户端查询订单，订单详情的支付场所：XXX，会显示对方的全名

普通银行卡客户端，支付宝已将【支付场所：真实姓名】改为【特约商户】
但您仍可以通过使用【云闪付】付款查询到姓名

为什么支付宝会收到别人的转账？我的信息是泄露了吗？

1年前

14901.7W+338

3.我们还可以通过以下两种方法

通过淘宝或者支付宝找回密码，使用人脸验证，可以看到名字中的后2个字

通过微信中的添加企业联系人，输入手机号

这里我们可以查找到该用户对应的公司地址，完成溯源

参考文章

如何通过手机号溯源到实名

27天前

201W+44

TOP3：有了全名可以查到什么？地址？身份证？

爱企查

根据企业法人、高管的姓名可以查到一些公开的信息

爱企查入口

【活动】白嫖爱企查3年会员

10个月前

723698369

进阶教程

如何校验一个人的信息是否属实，可以参考下面的教程

会员专属【社工进阶】由实名三要素引出的高级社工

5个月前

2781.3W+68

TOP4：如果社工库里都没有，怎么办？

传统社工手段

整体思路请参考本文最开始的思维导图

抖音/快手/美拍的ID一般跟微信号一样，昵称一般跟微博用户名一样
通过reg007查询手机号注册的一些社交网站，然后在到社交平台里收集信息
微博/网易云音乐等社交平台如果存在唯一关注、唯一粉丝，可以一定程度上判断是该账户的小号或者大号
通过领英职场平台可以寻找到一些有价值的信息

不登陆平台就可以查询用户的方法

此处内容已隐藏，请评论后刷新页面查看.

使用Google Hacking收集有关用户ID、昵称相关的信息

常见搜索引擎Google Hacking语法整理

1年前

7432.1W+290

使用图片查询微博Po主

【小技巧分享】如何通过微博图片进行社工Po主

1年前

11632W+39

除了以上方法，国外还有一些开源的OSINT框架可供学习(现已汉化)

TOP5：怎么查询某个人的定位/地理位置？

社交软件

通过Wireshark工具获取对方IP

【Wireshark教程】如何通过语音获取对方IP 支持钉钉/QQ/WX

3个月前

15908844

通过XML卡片获取对方IP

参考社区教程《QQ如何通过一条消息获取对方IP及手机型号》

钓鱼工具

IP定位工具与威胁情报在线查询

1年前

144.8W+86

钓鱼教程

史上最全的钓鱼对方IP方法

1年前

264.6W+348

TOP6：后续是否考虑做一个互助的社区？

后续可能会考虑给本网站的用户提供一个互助交流的社区，已于2021年12月5日上线

社区入口防骗课堂

相关声明 1 微信公众号：FancyPig
2 本站永久网址：https://www.iculture.cc
3 本文内容仅为技术科普，请勿用于非法用途
4 本文内容未隐讳任何个人、群体、公司。非文学作品，请勿用于阅读理解的练习
5 根据《计算机软件保护条例》第十七条，本站所有软件请仅用于学习研究用途
6 本站一切资源不代表本站立场，并不代表本站赞同其观点和对其真实性负责

THE END