V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
• 请不要在回答技术问题时复制粘贴 AI 生成的内容
uyhyygyug1234
V2EX  ›  程序员

画了一下某个社会工程学思路的图

  •  4
     
  •   uyhyygyug1234 · 2019-02-16 11:11:48 +08:00 · 14797 次点击
    这是一个创建于 2144 天前的主题,其中的信息可能已经有所发展或是发生改变。
    根据的是这篇文章 : 我人肉了一个用果照威胁女孩的变态 https://paper.seebug.org/810/

    同时也能看到信息是怎么泄露出去的(以及信息之间互相关联)。

    68 条回复    2020-02-10 12:24:43 +08:00
    uyhyygyug1234
        1
    uyhyygyug1234  
    OP
       2019-02-16 11:13:09 +08:00   ❤️ 1
    另外这个作者貌似发了 3 篇都是讲社会工程学的例子,可以一看。
    boseqc35
        2
    boseqc35  
       2019-02-16 11:17:23 +08:00   ❤️ 1
    身份证接口 api 这个我去阿里云找了下,没看到对应的服务。。。
    uyhyygyug1234
        3
    uyhyygyug1234  
    OP
       2019-02-16 11:20:07 +08:00   ❤️ 2
    @boseqc35 作者的第六点,也是齐白石画马,说经过长时间筛选,最终找到了手机号,怎么个找法,我看文章是没理解出来,中间 4 位数有 10000 个号码呢。
    Heyavc
        4
    Heyavc  
       2019-02-16 11:24:44 +08:00
    通过微信能找到这么多信息么...
    coder1
        5
    coder1  
       2019-02-16 11:24:58 +08:00
    微信号怎么得到姓名学校之类的信息的?
    hengzhang
        6
    hengzhang  
       2019-02-16 11:25:34 +08:00 via Android
    @uyhyygyug1234 知道他的地点,可以利用手机号归属地判断中间的四位吧?
    duxiansen
        7
    duxiansen  
       2019-02-16 11:26:08 +08:00
    我也没明白手机号具体怎么找到的,另外,这个图是用啥做的,感觉挺好看的
    Antidictator
        8
    Antidictator  
       2019-02-16 11:26:54 +08:00 via iPhone
    @uyhyygyug1234 我知道这个,用程序生成导入到通讯录,根据通讯录加好友
    Antidictator
        9
    Antidictator  
       2019-02-16 11:27:28 +08:00 via iPhone
    @duxiansen 前提要知道微信号是哪个
    boseqc35
        10
    boseqc35  
       2019-02-16 11:28:42 +08:00
    @uyhyygyug1234 这个我曾经有过一次经历,猜 138****1234 中间的四位数,根据已经社工出的地理位置,找出当地省份对应的所有区号可能,走支付宝转账的 web 接口去遍历尝试,然后做筛选最终成功找出来过。
    AltairT
        11
    AltairT  
       2019-02-16 11:29:38 +08:00
    手机号中间四位数字以前号码段没这么多的时候找过,不过是结合已知的归属地筛选,号码段不多且是小城市的话挺好排除的.
    现在中间四位数号段这么多,暂时没找到更好的思路补全这四位.
    uyhyygyug1234
        12
    uyhyygyug1234  
    OP
       2019-02-16 11:29:55 +08:00
    @duxiansen 就是这种感觉

    afterain
        13
    afterain  
       2019-02-16 11:29:57 +08:00
    @uyhyygyug1234 这个应该是力气活,中间 4 位是归属地,不需要全部遍历,不断向通讯录添加号码,通过 QQ、微信的通讯录好友慢慢定位
    Antidictator
        14
    Antidictator  
       2019-02-16 11:31:00 +08:00 via iPhone
    @afterain 我也是这么觉得的,之前还试过😂😂😂
    lzj307077687
        15
    lzj307077687  
       2019-02-16 11:31:53 +08:00
    手机号没说怎么找出来
    https://help.aliyun.com/document_detail/61362.html?spm=a2c4g.11186623.6.548.46592556Ssa1Tj
    找了下阿里云实人认证的 api 最基础的 RPMin 方案:
    姓名、身份证号、人像照为必要字段
    身份证人像面照片、身份证国徽面照片等字段根据实际业务需要传入。
    问中用阿里云 api 的目的就是查头像,而头像就是必要字段....
    还是我找错服务了?
    afterain
        16
    afterain  
       2019-02-16 11:33:16 +08:00
    社工是需要花时间和耐心的,文章几分钟就读完了,但作者也说耗时长达一周或更多
    duxiansen
        17
    duxiansen  
       2019-02-16 11:33:23 +08:00
    @afterain 这倒是个方法
    Very0ldMan
        18
    Very0ldMan  
       2019-02-16 11:33:41 +08:00   ❤️ 1
    首先,你得百度他的 QQ 号能找到贴吧的信息,而现在百度貌似对多位数字 QQ 号信息做了屏蔽?
    namesc
        19
    namesc  
       2019-02-16 11:34:01 +08:00
    所以说,软件绑定的手机号最好是一个私有的不公开的号码,然后关闭手机号查找,可以躲开很多亲戚和广告,也能躲人肉。
    duxiansen
        20
    duxiansen  
       2019-02-16 11:34:59 +08:00
    @uyhyygyug1234 很形象了 ,另外想问的是这个流程图是用啥软件画的呀
    wongskay
        21
    wongskay  
       2019-02-16 11:35:48 +08:00 via iPhone
    最想知道怎么根据微信号来查询更多信息
    zohar727
        22
    zohar727  
       2019-02-16 11:35:54 +08:00
    微信号 => 身份证号
    这一步很难吧...
    uyhyygyug1234
        23
    uyhyygyug1234  
    OP
       2019-02-16 11:40:55 +08:00
    @Very0ldMan 作者还说通过游戏,登陆 qq,抓包定位。这又怎么做到的?


    @duxiansen visio
    lihongjie0209
        24
    lihongjie0209  
       2019-02-16 11:43:02 +08:00
    ![]( https://pic.superbed.cn/item/5c67868e5f3e509ed993d000)

    想知道怎么在公网抓内网的包并得到对方公网 IP 的
    boseqc35
        25
    boseqc35  
       2019-02-16 11:45:45 +08:00
    @uyhyygyug1234 诱导他登录电脑版 QQ 通过 QQ2009 显 ip 版可以直接获取对方的 ip 然后再定位就行了
    wbrobot
        26
    wbrobot  
       2019-02-16 11:49:23 +08:00
    如何人肉楼主,我提供个思路:
    查看楼主 V2EX 的全部回复,浏览几页没什么有用信息,忽然看到这个回复
    https://www.v2ex.com/t/424406?p=1#r_5238090
    原来用过 img9.top 的服务,刚好这个站我拖过库,里面记录了上传人的 IP 地址。。。
    根据 IP 地址反查一下,就得出楼主所在大概位置。。。

    嗯,我就不深入了,只是提供个思路
    yksoft1ex
        27
    yksoft1ex  
       2019-02-16 11:49:53 +08:00
    @boseqc35 人家如果用外省没开拜访地接入的联通、电信的移动流量上网,就会出现 geoip 完全不准确的现象。
    不少企业办公室虽然管理不严格,但是没有外网。最后就会变成这样。
    boseqc35
        28
    boseqc35  
       2019-02-16 12:00:18 +08:00
    @yksoft1ex 社工这就是一个运气事件 哈哈
    拜访地,geoip get 了
    lawler
        29
    lawler  
       2019-02-16 12:07:56 +08:00
    所以呐,互联网是有记忆的。
    yksoft1ex
        30
    yksoft1ex  
       2019-02-16 12:18:42 +08:00
    最好拥有多个手机号,其中有些是不是自己或自己的亲属实名的。每个社交账号绑定不同手机号。
    oddisland
        31
    oddisland  
       2019-02-16 12:22:50 +08:00 via iPhone   ❤️ 1
    前提是 他也网上冲浪
    lbuzhi
        32
    lbuzhi  
       2019-02-16 12:47:28 +08:00
    前几年通过最最最基本的社工方法,帮一个网友找到骗他的人的资料后,我就尽量把外部暴露的个人信息全处理掉了
    互联网世界还是很可怕的😆
    iAcn
        33
    iAcn  
       2019-02-16 12:49:39 +08:00 via Android   ❤️ 1
    QQ 查 IP 那一个有点离谱了...基本不会这么准
    iAcn
        34
    iAcn  
       2019-02-16 12:51:12 +08:00 via Android   ❤️ 1
    感觉像在演戏...
    lulinux
        35
    lulinux  
       2019-02-16 12:57:26 +08:00
    人肉搜索?给你看个链接
    https://baijiahao.baidu.com/s?id=1589390494012305290&wfr=spider&for=pc
    最后一句话。
    chocolatesir
        36
    chocolatesir  
       2019-02-16 14:03:45 +08:00   ❤️ 3
    @uyhyygyug1234 你肯定同时也要通过邮箱在贴吧搜索,拿到人的贴吧 ID,然后根据他关注的贴吧和发的帖子了解到他生活的城市啊就读的学校啥的,然后用全国号段生成器生成对应城市的号段,去年年初我给学妹找人的时候生成的长沙的手机号段文件大概 280M 左右,然后再匹配下前后的七位号码就剩下 31 个手机号。接着做个 csv 文件,随机生成一些姓名,把手机号放进去,然后通过 qq 同步助手这些联系人同步软件导入手机后,QQ 和微信会给你推荐好友的。微博的话,如果只有邮箱,其实也可以找到微博 ID 的,用 iOS9 添加一个联系人,只写邮箱就可以了,然后微博会自动帮你推荐这个联系人(去年的时候还有效,现在是否有效就未知了)
    chocolatesir
        37
    chocolatesir  
       2019-02-16 14:07:21 +08:00   ❤️ 1
    @iAcn 这个要看 IP 库的精度,以前的百度高精度简直可怕,后面不给用了
    uyhyygyug1234
        38
    uyhyygyug1234  
    OP
       2019-02-16 14:20:59 +08:00
    @chocolatesir 老哥,牛逼。。。。
    masker
        39
    masker  
       2019-02-16 14:23:05 +08:00 via Android
    @iAcn 见识少就多学习。。。
    vicacheung
        40
    vicacheung  
       2019-02-16 14:56:40 +08:00
    @zohar727 腾讯微博找到了身份证号……
    designer
        41
    designer  
       2019-02-16 15:09:22 +08:00 via iPhone
    这是什么流程图工具
    Eiden
        42
    Eiden  
       2019-02-16 15:10:27 +08:00 via Android
    其实知道号码归属地的话还可以在百度账号注册接口穷举,就是需要经常换 ip 加限制请求频率,大概两天出结果
    sdijeenx
        43
    sdijeenx  
       2019-02-16 15:14:30 +08:00
    这图没毛病~我前几天就因为类似的事给站长发邮件结果过了 24 小时没回信然后昨天去 12321 把 V2 举报了\(//∇//)\
    Marstin
        44
    Marstin  
       2019-02-16 15:36:04 +08:00
    现在贴吧早就把 QQ、QQ 邮箱搜索功能给屏蔽了吧
    heylogo
        45
    heylogo  
       2019-02-16 15:57:58 +08:00
    @designer Visio 吧
    tt67wq
        46
    tt67wq  
       2019-02-16 16:09:56 +08:00
    这老哥也太牛皮了吧
    caomu
        47
    caomu  
       2019-02-16 16:14:00 +08:00 via Android
    看了一下,QQ、贴吧、微博信息互相关联是突破口,主要是在社交网络上留下真实邮箱或手机。
    AX5N
        48
    AX5N  
       2019-02-16 17:20:41 +08:00
    虽然这个贼有点傻,留下那么多信息,不过能通过这些信息查到这个贼也真的是好厉害了。
    envylee
        49
    envylee  
       2019-02-16 18:08:25 +08:00   ❤️ 1
    参考 V 站的含傻量,不太看好这类讨论
    vonsdite
        50
    vonsdite  
       2019-02-16 18:44:02 +08:00
    emmmm, 实在忍不住吐槽,00 后可以骗到一个女生果聊。。 佩服佩服。。。
    也感谢提供了这样的社会工程学思路, 有点 6 !!
    luozic
        51
    luozic  
       2019-02-16 19:52:05 +08:00 via iPhone
    搞点钱建个垃圾站,真的可以抽奖,不过数额合适,数量很少,搞出去搜集一下不就行了。 黑一点的就去黑吃喝,黑不合法网站的库。
    x86
        52
    x86  
       2019-02-16 19:54:38 +08:00
    社工看脸啊
    rumu3f
        53
    rumu3f  
       2019-02-16 21:06:14 +08:00
    @lihongjie0209 搭网站,他访问的时候会记录下他的 IP 啊
    zst
        54
    zst  
       2019-02-16 21:20:49 +08:00 via Android
    国政通那个接口那么好申请的吗
    doublleft
        55
    doublleft  
       2019-02-16 21:36:15 +08:00
    就是个人肉搜索,没看出来哪里体现出“工程学”
    E1n
        56
    E1n  
       2019-02-16 21:57:50 +08:00 via Android
    有点玄幻啊,目前工作接触到个人信息数据没什么想法。。
    wzf1
        57
    wzf1  
       2019-02-16 22:03:50 +08:00
    这我也试过,挺有意思的。买服务器被骗了,人肉骗子。
    知乎: https://www.zhihu.com/question/293315890/answer/523802607
    博客: https://blog.shelike.me/index.php/2018/06/14/一次成功的反击 /

    其实骗子完全可以用阿里小号,淘宝买 qq 微信然后换绑阿里小号。
    Fulcrum
        58
    Fulcrum  
       2019-02-16 22:08:55 +08:00 via Android
    我佛了,00 后都能骗到果照了。。。
    jhdxr
        59
    jhdxr  
       2019-02-16 22:32:05 +08:00
    这种文章看看最好。。。里边最核心的一些步骤(一些不是百度一下就能找到的步骤)是不可能这么写出来的,或者会换成一些看上去合理并且容易的方案。。。
    i945
        60
    i945  
       2019-02-16 23:06:42 +08:00
    相应的有人整理出一些防社工的方法吗,比较全的
    kang666
        61
    kang666  
       2019-02-17 03:18:23 +08:00 via Android   ❤️ 1
    @uyhyygyug1234 ntrQQ 可以实现 QQ 定位
    wjm2038
        62
    wjm2038  
       2019-02-17 04:48:48 +08:00 via Android
    @boseqc35 这个有没有接口我不知道,不过我知道一个验证接口,不过阿里云不知道有没有,我记得我了解过的有已知身份证姓名验证是否对应
    q397064399
        63
    q397064399  
       2019-02-17 08:58:08 +08:00
    @uyhyygyug1234 #38 基本操作而已,这些年 已经不流行搞这个东西了,不知道是我老了还是什么 04 年-08 年的时候 ,那个时候这些技术就已经广泛有人在研究了 windows 注入 反汇编 社工 等等,国内这种事情都已经产业化了,真的要搞一个人完全可以请所谓的安全专家来帮忙搞定,只不过费用有点贵
    Felldeadbird
        64
    Felldeadbird  
       2019-02-17 10:22:36 +08:00
    其实想想挺可怕的。你在不同网站用手机号绑定了。其次你用 QQ 邮箱,或者其他邮箱注册了不同网站帐号。
    这时候,有心人通过 查找密码,手机获取验证码。
    这时候出岔子了,不是每个网站 对手机屏蔽方式是 138 ****8888、138 8888 ****、138 888* ***8。
    一旦某一关键信息被社交到后了,后面就想 堤坝崩溃那样……

    再细一层思考,就算你用的阿里小号这种随丢的东西,该人肉到的还是会人肉到。
    monkey110
        65
    monkey110  
       2019-02-17 18:12:59 +08:00
    @i945 我感觉防社工很简单 账号隔离 个人账号和网络账号全隔离 互相没有任何关联 虚构网络账号 网络账号可以高仿互联网上的其他账号 网络账号信息全部来自真实信息虚构 云短信 /sfz/社工库泄露的邮箱

    反正我网络账号整了几个高仿号 真出事了也找不到我身上
    pxw2002
        66
    pxw2002  
       2019-02-17 18:44:06 +08:00 via Android
    百度账号查绑定手机,如果知道对方什么省份的话 ,200 块钱以内很多可以查的,和楼上说的办法一样,就是穷举,
    要是不知道,穷举全国几百万手机号查的话 我知道的 四五百以内就可以
    反正不便宜 一般也没人查这种东西 因为只有一个号码也没啥用 你还得知道其他资料
    uyhyygyug1234
        67
    uyhyygyug1234  
    OP
       2019-11-30 11:45:38 +08:00
    Qualia
        68
    Qualia  
       2020-02-10 12:24:43 +08:00
    @uyhyygyug1234 不行啊,直接用手机号搜不到微信号,只能看见微信昵称没什么用
    直接百度搜手机号也全是数据库的结果还有归属地查询,直接卡在微信号,还是得有脱裤数据
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1024 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 39ms · UTC 22:19 · PVG 06:19 · LAX 14:19 · JFK 17:19
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.