emm,之前码的字被和谐了,打第二遍
大家好,我是太理的菜鸡易烊千玺。emm,相信很多同学们都收到过诈骗或者是骚扰电话吧,但你有没有好奇他是怎么知道你的姓名和手机号码的呢?你的信息到底是什么时候泄露的呢??很懵吧,除了网站后台数据库管理没有做好导致用户的数据被泄露出去、黑客数据盗窃之外,个人社工也是可以把你的信息套到手的。
一个简简单单的电话号码其实远比你想到的信息多很多。
这个应该是最简单的社工,也是思路最直接了当的,门槛很低。(被我当小白鼠社工的是我朋友栋儿哈哈哈)接下来给大家讲讲怎么做到的呢?
在我们的生活中我们经常会看到很多废弃的快递盒子,那么上面的那些信息就可能导致你的信息泄露在这个大数据的时代当中去。话不多说我们直接上图片分析一下(图片是朋友提供的,自己没有好意思翻垃圾桶)
1.收集基础信息
从图片我们可以看到收件人和收件人的电话号码,大多数人的快递都是真实姓名,甚至有的同学把自己哪个学院哪个班的也爆了,老底被掏了个空。但是还是有部分同学有防范心理的,姓名填网名,但是这真的安全吗? 答案是否定的,因为同样可以把你的老底翻个底朝天。
这是怎么做到的呢?我来给大家简单复现一次。
**
2.通过收集的基础信息获取目标姓名
**
首先通过你的手机号码我们可以在支付宝上使用转账功能,从这里我们可以看出他是由两个字组成的:*栋
找到这个之后我们给他转账0.02元(辛苦费),然后打开我们的银行APP查看明细(支付宝只能看到一个字),到这一步我们就已经知道了真实姓名了。
你以为这就结束了吗?并不是。
3.进一步收集信息,如生日和地区
通过手机号搜索,我找到了他的QQ微信,并且获取到他是20020117出生。(哈哈我的朋友四级没过呢还)
而我们的身份证是由六位数字地址码,八位数字出生日期码,三位数字顺序码和一位数字校验码组成的。从QQ和微信的交友页面我们现在还不知道他的地址,而且很多人资料页面的地区也是假的,这种情况怎么办呢?很简单,我上了王者荣耀和刺激战场这两款广受学生欢迎的游戏,果然找到了我想找的资料。
PS:就算你读了大学战区改到所在学校,在历史页面里还是可以找到你曾经拿标的地区,这种地区大概率是老家。
到现在我们已经知道了他身份证几位呢?14位,而我们知道,最后一位检验码是可以根据前面计算出来的。
**
4.利用社工库查到具体信息确认身份
**
后四位的前三位则是当地派出所的代码编号。那这样就很简单,我们已经知道他老家所在地,相信懂网安的都知道社工库这个东西吧。(不懂的也没关系,我一会给大家解释一下)我们可以把他所在地的派出所编号都排出来丢到社工库里匹配一下,最后最符合的就是我们要找的这个人了。换算最后一位的原理代码我已经放在下面了,懂编程的同学可以看一看。
<script>
function calc(str)
{
/*
DO WHAT THE FUCK YOU WANT TO PUBLIC LICENSE
Version 2, December 2004
Copyright (C) 2004 Sam Hocevar <sam@hocevar.net>
Everyone is permitted to copy and distribute verbatim or modified
copies of this license document, and changing it is allowed as long
as the name is changed.
DO WHAT THE FUCK YOU WANT TO PUBLIC LICENSE
TERMS AND CONDITIONS FOR COPYING, DISTRIBUTION AND MODIFICATION
0. You just DO WHAT THE FUCK YOU WANT TO.
*/
var coeff = [7,9,10,5,8,4,2,1,6,3,7,9,10,5,8,4,2,1];
var suffix = ['1','0','x','9','8','7','6','5','4','3','2'];
var sum = 0;
for(var i=0;i<17;i++)
sum += coeff[i] * parseInt(str.charCodeAt(i)-48);
sum %= 11;
str = str.substr(0,17) + suffix[sum];
return str;
}
<script>
<button onclick="alert(calc(prompt('请输入待计算的身份证号(前17位)')))" >计算</button>
关于社工库
社工库是社会工程学数据库的简称(Social Engineering Data)。 提到社工库就必须先介绍一下社会工程学(Social
Engineering),这个名词最早是在2002年由传奇黑客米特尼克(Kevin David
Mitnick)在提出,但其初始目的是让全球的网民们能够懂得网络安全,提高警惕,防止没必要的个人损失。由于米特尼克在黑客界的传奇地位,很快社会工程学就开始被深入研究并且发扬光大。
社会工程学,准确来说是一门艺术和窍门的集合。它利用人性的弱点、心理的缺陷,以顺从意愿、满足欲望的方式,让人们上当,或以此为入口进行攻击。社会工程学的窍门也蕴涵了各式各样的灵活的构思与变化因素,利用人的弱点如人的本能反应、好奇心、信任、贪便宜等弱点进行攻击。它集合了心理学、社会心理学、组织行为学等一系列的学科,由于其非法性和在很多国家地区都被严厉的打击,社会工程学也变成了一个见不得光的学派。
但是在黑客群体中,社会工程学就是他们的第一方法论和必修课。离开了社会工程学,黑客们运用的网络技术几乎都没有用武之地。如果我们用黑客最喜欢的海盗来比喻,各种网络技术可以比作航海、游泳、剑术、而社会工程学即是海盗们的行为准则和创新指引。
那么什么是社会工程学数据库(社工库)呢?即黑客在运用社会工程学进行攻击的时候,积累的各方面数据的结构化数据库。简单的说,社工库是黑客用来记录攻击手段和方法的数据库,这个数据库里面有大量的信息,甚至可以找到每个人各种行为记录(每个人在每个网站上的账号、密码、分享的照片、信用卡记录、订的机票记录、通话记录、短信内容、各种社交软件的聊天等等包罗万象),比如之前有很火爆的查询开房记录的数据库,就是一个典型的极简单的社工库的例子。
看到这里,你是不是觉得细思极恐。很多信息已经在你不经意之间暴露在互联网的大数据下了,看似简单的网络购物实则会套取你所有的信息。你以为的电信诈骗哪有那么神通广大,直接盗取了你手机的信息吗?不是的,你的信息已经在你不经意间被你自己泄露出去了。到这里再联想一下我们经常听到的电信诈骗,大家是不是有所醒悟了呢?下一章给大家讲一下怎么预防这个问题哈哈哈,让大家的骚扰电话少一点,今天太困了。
当然这只是我自己小白的看法和理解,也希望大牛们可以批评指正,万分感谢。
8624
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
