首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
拉勾
V2EX  ›  程序员

画了一下某个社会工程学思路的图

  •  3
     
  •   uyhyygyug1234 · 31 天前 · 5221 次点击
    这是一个创建于 31 天前的主题,其中的信息可能已经有所发展或是发生改变。
    根据的是这篇文章 : 我人肉了一个用果照威胁女孩的变态 https://paper.seebug.org/810/

    同时也能看到信息是怎么泄露出去的(以及信息之间互相关联)。

    66 回复  |  直到 2019-02-17 18:44:06 +08:00
        1
    uyhyygyug1234   31 天前   ♥ 1
    另外这个作者貌似发了 3 篇都是讲社会工程学的例子,可以一看。
        2
    boseqc35   31 天前   ♥ 1
    身份证接口 api 这个我去阿里云找了下,没看到对应的服务。。。
        3
    uyhyygyug1234   31 天前   ♥ 2
    @boseqc35 作者的第六点,也是齐白石画马,说经过长时间筛选,最终找到了手机号,怎么个找法,我看文章是没理解出来,中间 4 位数有 10000 个号码呢。
        4
    Heyavc   31 天前
    通过微信能找到这么多信息么...
        5
    coder1   31 天前
    微信号怎么得到姓名学校之类的信息的?
        6
    hengzhang   31 天前 via Android
    @uyhyygyug1234 知道他的地点,可以利用手机号归属地判断中间的四位吧?
        7
    duxiansen   31 天前
    我也没明白手机号具体怎么找到的,另外,这个图是用啥做的,感觉挺好看的
        8
    Antidictator   31 天前 via iPhone
    @uyhyygyug1234 我知道这个,用程序生成导入到通讯录,根据通讯录加好友
        9
    Antidictator   31 天前 via iPhone
    @duxiansen 前提要知道微信号是哪个
        10
    boseqc35   31 天前
    @uyhyygyug1234 这个我曾经有过一次经历,猜 138****1234 中间的四位数,根据已经社工出的地理位置,找出当地省份对应的所有区号可能,走支付宝转账的 web 接口去遍历尝试,然后做筛选最终成功找出来过。
        11
    AltairT   31 天前
    手机号中间四位数字以前号码段没这么多的时候找过,不过是结合已知的归属地筛选,号码段不多且是小城市的话挺好排除的.
    现在中间四位数号段这么多,暂时没找到更好的思路补全这四位.
        12
    uyhyygyug1234   31 天前
    @duxiansen 就是这种感觉

        13
    afterain   31 天前
    @uyhyygyug1234 这个应该是力气活,中间 4 位是归属地,不需要全部遍历,不断向通讯录添加号码,通过 QQ、微信的通讯录好友慢慢定位
        14
    Antidictator   31 天前 via iPhone
    @afterain 我也是这么觉得的,之前还试过😂😂😂
        15
    lzj307077687   31 天前
    手机号没说怎么找出来
    https://help.aliyun.com/document_detail/61362.html?spm=a2c4g.11186623.6.548.46592556Ssa1Tj
    找了下阿里云实人认证的 api 最基础的 RPMin 方案:
    姓名、身份证号、人像照为必要字段
    身份证人像面照片、身份证国徽面照片等字段根据实际业务需要传入。
    问中用阿里云 api 的目的就是查头像,而头像就是必要字段....
    还是我找错服务了?
        16
    afterain   31 天前
    社工是需要花时间和耐心的,文章几分钟就读完了,但作者也说耗时长达一周或更多
        17
    duxiansen   31 天前
    @afterain 这倒是个方法
        18
    Very0ldMan   31 天前   ♥ 1
    首先,你得百度他的 QQ 号能找到贴吧的信息,而现在百度貌似对多位数字 QQ 号信息做了屏蔽?
        19
    namesc   31 天前
    所以说,软件绑定的手机号最好是一个私有的不公开的号码,然后关闭手机号查找,可以躲开很多亲戚和广告,也能躲人肉。
        20
    duxiansen   31 天前
    @uyhyygyug1234 很形象了 ,另外想问的是这个流程图是用啥软件画的呀
        21
    wongskay   31 天前 via iPhone
    最想知道怎么根据微信号来查询更多信息
        22
    zohar727   31 天前
    微信号 => 身份证号
    这一步很难吧...
        23
    uyhyygyug1234   31 天前
    @Very0ldMan 作者还说通过游戏,登陆 qq,抓包定位。这又怎么做到的?


    @duxiansen visio
        24
    lihongjie0209   31 天前
    ![]( https://pic.superbed.cn/item/5c67868e5f3e509ed993d000)

    想知道怎么在公网抓内网的包并得到对方公网 IP 的
        25
    boseqc35   31 天前
    @uyhyygyug1234 诱导他登录电脑版 QQ 通过 QQ2009 显 ip 版可以直接获取对方的 ip 然后再定位就行了
        26
    wbrobot   31 天前
    如何人肉楼主,我提供个思路:
    查看楼主 V2EX 的全部回复,浏览几页没什么有用信息,忽然看到这个回复
    https://www.v2ex.com/t/424406?p=1#r_5238090
    原来用过 img9.top 的服务,刚好这个站我拖过库,里面记录了上传人的 IP 地址。。。
    根据 IP 地址反查一下,就得出楼主所在大概位置。。。

    嗯,我就不深入了,只是提供个思路
        27
    yksoft1ex   31 天前
    @boseqc35 人家如果用外省没开拜访地接入的联通、电信的移动流量上网,就会出现 geoip 完全不准确的现象。
    不少企业办公室虽然管理不严格,但是没有外网。最后就会变成这样。
        28
    boseqc35   31 天前
    @yksoft1ex 社工这就是一个运气事件 哈哈
    拜访地,geoip get 了
        29
    lawler   31 天前
    所以呐,互联网是有记忆的。
        30
    yksoft1ex   31 天前
    最好拥有多个手机号,其中有些是不是自己或自己的亲属实名的。每个社交账号绑定不同手机号。
        31
    oddisland   31 天前 via iPhone   ♥ 1
    前提是 他也网上冲浪
        32
    lbuzhi   30 天前
    前几年通过最最最基本的社工方法,帮一个网友找到骗他的人的资料后,我就尽量把外部暴露的个人信息全处理掉了
    互联网世界还是很可怕的😆
        33
    iAcn   30 天前 via Android   ♥ 1
    QQ 查 IP 那一个有点离谱了...基本不会这么准
        34
    iAcn   30 天前 via Android   ♥ 1
    感觉像在演戏...
        35
    lulinux   30 天前
    人肉搜索?给你看个链接
    https://baijiahao.baidu.com/s?id=1589390494012305290&wfr=spider&for=pc
    最后一句话。
        36
    chocolatesir   30 天前   ♥ 3
    @uyhyygyug1234 你肯定同时也要通过邮箱在贴吧搜索,拿到人的贴吧 ID,然后根据他关注的贴吧和发的帖子了解到他生活的城市啊就读的学校啥的,然后用全国号段生成器生成对应城市的号段,去年年初我给学妹找人的时候生成的长沙的手机号段文件大概 280M 左右,然后再匹配下前后的七位号码就剩下 31 个手机号。接着做个 csv 文件,随机生成一些姓名,把手机号放进去,然后通过 qq 同步助手这些联系人同步软件导入手机后,QQ 和微信会给你推荐好友的。微博的话,如果只有邮箱,其实也可以找到微博 ID 的,用 iOS9 添加一个联系人,只写邮箱就可以了,然后微博会自动帮你推荐这个联系人(去年的时候还有效,现在是否有效就未知了)
        37
    chocolatesir   30 天前
    @iAcn 这个要看 IP 库的精度,以前的百度高精度简直可怕,后面不给用了
        38
    uyhyygyug1234   30 天前
    @chocolatesir 老哥,牛逼。。。。
        39
    masker   30 天前 via Android
    @iAcn 见识少就多学习。。。
        40
    vicacheung   30 天前
    @zohar727 腾讯微博找到了身份证号……
        41
    designer   30 天前 via iPhone
    这是什么流程图工具
        42
    Eiden   30 天前 via Android
    其实知道号码归属地的话还可以在百度账号注册接口穷举,就是需要经常换 ip 加限制请求频率,大概两天出结果
        43
    sdijeenx   30 天前
    这图没毛病~我前几天就因为类似的事给站长发邮件结果过了 24 小时没回信然后昨天去 12321 把 V2 举报了\(//∇//)\
        44
    Marstin   30 天前
    现在贴吧早就把 QQ、QQ 邮箱搜索功能给屏蔽了吧
        45
    heylogo   30 天前
    @designer Visio 吧
        46
    tt67wq   30 天前
    这老哥也太牛皮了吧
        47
    caomu   30 天前 via Android
    看了一下,QQ、贴吧、微博信息互相关联是突破口,主要是在社交网络上留下真实邮箱或手机。
        48
    AX5N   30 天前
    虽然这个贼有点傻,留下那么多信息,不过能通过这些信息查到这个贼也真的是好厉害了。
        49
    envylee   30 天前   ♥ 1
    参考 V 站的含傻量,不太看好这类讨论
        50
    vonsdite   30 天前
    emmmm, 实在忍不住吐槽,00 后可以骗到一个女生果聊。。 佩服佩服。。。
    也感谢提供了这样的社会工程学思路, 有点 6 !!
        51
    luozic   30 天前 via iPhone
    搞点钱建个垃圾站,真的可以抽奖,不过数额合适,数量很少,搞出去搜集一下不就行了。 黑一点的就去黑吃喝,黑不合法网站的库。
        52
    x86   30 天前
    社工看脸啊
        53
    rumu3f   30 天前
    @lihongjie0209 搭网站,他访问的时候会记录下他的 IP 啊
        54
    zst   30 天前 via Android
    国政通那个接口那么好申请的吗
        55
    doublleft   30 天前
    就是个人肉搜索,没看出来哪里体现出“工程学”
        56
    E1n   30 天前 via Android
    有点玄幻啊,目前工作接触到个人信息数据没什么想法。。
        57
    wzf1   30 天前
    这我也试过,挺有意思的。买服务器被骗了,人肉骗子。
    知乎: https://www.zhihu.com/question/293315890/answer/523802607
    博客: https://blog.shelike.me/index.php/2018/06/14/一次成功的反击 /

    其实骗子完全可以用阿里小号,淘宝买 qq 微信然后换绑阿里小号。
        58
    Fulcrum   30 天前 via Android
    我佛了,00 后都能骗到果照了。。。
        59
    jhdxr   30 天前
    这种文章看看最好。。。里边最核心的一些步骤(一些不是百度一下就能找到的步骤)是不可能这么写出来的,或者会换成一些看上去合理并且容易的方案。。。
        60
    i945   30 天前
    相应的有人整理出一些防社工的方法吗,比较全的
        61
    kang666   30 天前 via Android
    @uyhyygyug1234 ntrQQ 可以实现 QQ 定位
        62
    wjm2038   30 天前 via Android
    @boseqc35 这个有没有接口我不知道,不过我知道一个验证接口,不过阿里云不知道有没有,我记得我了解过的有已知身份证姓名验证是否对应
        63
    q397064399   30 天前
    @uyhyygyug1234 #38 基本操作而已,这些年 已经不流行搞这个东西了,不知道是我老了还是什么 04 年-08 年的时候 ,那个时候这些技术就已经广泛有人在研究了 windows 注入 反汇编 社工 等等,国内这种事情都已经产业化了,真的要搞一个人完全可以请所谓的安全专家来帮忙搞定,只不过费用有点贵
        64
    Felldeadbird   30 天前
    其实想想挺可怕的。你在不同网站用手机号绑定了。其次你用 QQ 邮箱,或者其他邮箱注册了不同网站帐号。
    这时候,有心人通过 查找密码,手机获取验证码。
    这时候出岔子了,不是每个网站 对手机屏蔽方式是 138 ****8888、138 8888 ****、138 888* ***8。
    一旦某一关键信息被社交到后了,后面就想 堤坝崩溃那样……

    再细一层思考,就算你用的阿里小号这种随丢的东西,该人肉到的还是会人肉到。
        65
    monkey110   29 天前
    @i945 我感觉防社工很简单 账号隔离 个人账号和网络账号全隔离 互相没有任何关联 虚构网络账号 网络账号可以高仿互联网上的其他账号 网络账号信息全部来自真实信息虚构 云短信 /sfz/社工库泄露的邮箱

    反正我网络账号整了几个高仿号 真出事了也找不到我身上
        66
    pxw2002   29 天前 via Android
    百度账号查绑定手机,如果知道对方什么省份的话 ,200 块钱以内很多可以查的,和楼上说的办法一样,就是穷举,
    要是不知道,穷举全国几百万手机号查的话 我知道的 四五百以内就可以
    反正不便宜 一般也没人查这种东西 因为只有一个号码也没啥用 你还得知道其他资料
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   3389 人在线   最高记录 4385   ·  
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.3 · 21ms · UTC 04:35 · PVG 12:35 · LAX 21:35 · JFK 00:35
    ♥ Do have faith in what you're doing.
    沪ICP备16043287号-1