社会工程学魅力和威力


社会工程学只是人肉?肤浅,那可远不止这些~
我会带你真正走进它,了解它的魅力和威力[滑稽]

以下我总结的是我这几年通过各种途径学习到的,普遍适用于于大多场景,现在网上很多社会工程学所谓收徒的,教的大概也是这一套了(说以下内容的价值吗?网上大概收288-988元吧)

当然了,你也可以通过阅读下面内容,反向设置自己的相关信息,防止被人肉搜索。

① QQ 方面的社工
1)如果目标的空间(没设置好友可见或者指定好友可见,就可以进入目标的空间)
2)浏览目标的说说(从你的说说中获取目标的姓名,手机号,地理位置等)
3)浏览目标的说说的评论。(从中获取目标的地理位置或者目标手机号和姓名等)
4)浏览目标的留言板。(获取目标的名字,班级,生日,年龄,地理位置等)
5)浏览目标的签名历史记录。(获取目标的姓名,手机号,班级,地理位置等)
6)浏览目标的相册。(获取目标的班级,学校,地理位置,面貌等)
7)浏览目标的群关联。(获取目标的班级,学校,同学 QQ 等等,进行二次查找)
8)浏览目标的好友的群关联。(获取目标的班级,学校,同学 QQ 等,进行二次查找)
9)浏览目标的全民k歌。(获取目标的年龄和地区,对你的粉丝进行步骤1-6)
10)查看目标的部落定位。(获取目标的地理位置)
小结:通过以上的途径中,找到目标的另一半或者很熟的人。找到目标朋友的位置,也就找到了目标的位置。还可以伪装成目标的新朋友,然后套取一些信息。比如住址,电话,姓名等等。要注意的是,在目标不对你开放空间时,查看签名历史最有效,其次是查看全民k歌。

②引擎搜索社工
1)如果目标在论坛或者贴吧发帖,就能根据论坛和贴吧的类型,发现目标的所在地或者兴趣爱好。
2)搜索发现目标的贴吧账号,看目标发布的帖子和回复的帖子,发现目标的所在地。
3)发现一些目标的曾经可以暴露身份的资料。
4)如果目标曾经发过招聘广告等,发现目标的电话。
搜索引擎能搜到很多东西,是列举不完的,但是搜到的目标相关信息是你要关注和保存的。

③撞库社工
1)利用社工库查找对方历史密码。
2)用MD5解密,解出对面密码,进行尝试 QQ 登陆,申诉。
咔咔社工库建造者被捕新闻,详细情况,点击此链接查看(男子4年搜集30亿条个人信息建网站出售开房记录)
https://3g.china.com/act/news/10000169/20180603/32478504.html

④利用钓鱼和 xss 社工
1)钓鱼软件其实就很简单,知道目标的兴趣和目标的大概性格啥的。比如我发个刷钻、刷 QB 刷枪的软件给目标。需要 QQ 号码登入,目标登入以后。就能收到目标的账号密码。高级点的话发个钓鱼网站,也需要目标登陆 QQ 账号密码。
2)这个比较高级,也简单粗暴。给目标一个链接,目标点击以后,我就拿到了目标的 cookie 或者 skey 。利用这串 skey代替目标的密码,登入腾讯旗下任意站点,比如QQ空间,进行二次社工。

⑤接触型社工
说白了,就是亲自,上阵。伪装自己,接触目标。这个方法太多,层出不穷。但是,如果你仔细看了上面1-4的内容,你通过上面的途径,就应该能大致了解目标很多信息了,这样再去接触,难度就下降了很多。

⑥密码猜解
这个就属于碰运气了,通过以上途径失效后,虽然日不到目标密码,但是兴趣爱好,女朋友什么的都是能找到的,对目标的详细资料了解后,进行弱密码猜解。这种方法也是靠运气的。
个人不推荐这种方法

⑦钓鱼定位
更高级的就是用某些伪造软件,对短信和链接进行伪造,让目标自主提供个人信息。这个方法我后面会详细去说。

⑨渗透社工
1)渗透目标所在的学校官网。这个技术含量高,通过这些网站服务器上的数据得到目标的个人信息。
2)渗透目标常驻的论坛或者其它网站,获得目标的个人隐私数据。


(社工一定要及时进行关系网整合以及目标信息整合,至于二次社工是什么,各位自行理解)

分享到