技术

社会工程学的一点小总结

本文16年写的,博客经历几次搬家,重新整理出来,希望有兴趣的小伙伴可以一起讨论~

 

一、 探索


1、对目标身边的人的社交利用 (QQ 、微博等社交网站或者应用)
2、目标发布的照片 EXIF GPS信息
3、公司或者单位信息收集(数据、信息等)
4、目标上过的论坛,微博等刻意制造耦合、偶遇
5、利用收集来的信息在类似Facebook、Twitter、人人网、linkedin、百度贴吧这样的网站进行搜索
6、”社交APP” 利用绑定手机号功能反向查找目标。 (new)

二、 进攻


在社工对方账号,可以试着尝试以下方法:
1.社工库
2.密码找回,问题社工与猜解
3.伪造邮件发送给目标欺*骗获取密码找回的口令
4.信息组合进行爆*破
5.各种钓鱼方式

三、 围剿


在获得有效的账户密码后,使用其口令尝试获得更多有用的信息
1.各大主流网站 (百度,网易,携程,新浪微博,支付宝,12306,运营商网上营业厅)
2.各大电商网(例如:京东、亚马逊、苏宁易购、团购类…… 这些网站有什么信息你懂的)
3.各大云同步官网,如: AppStore、iCloud、小米云、hicloud、360(你懂的,通讯录!秘密记事!手机相册!短信……)
4.各种浏览器云同步
5.支付平台 ……

 

为此文,抽出时间画了张简单的思维导图 :

 

 此脑图偏向于人[肉]搜[索],觉得还有很多地方没写到,希望与各位大佬一起交流~

下面列出一些对于社工和情报收集有用的平台:
https://monitor.firefox.com/ (firefox出品的数据泄#露查询)
https://cdn.databases.today/ (国外泄[露[数]据)
https://www.reg007.com/  (手机号注册网站查询)



 

 

发表评论

电子邮件地址不会被公开。 必填项已用*标注