世界第一黑客凯文·米特尼克在《欺骗的艺术》中曾提到,人为因素才是安全的软肋。对于黑客们来说,通过一个用户名、一串数字、一串英文代码,社会工程师就可以通过这么几条的线索,通过社工攻击手段,加以筛选、整理,就能把你的所有个人情况信息、家庭状况、兴趣爱好、婚姻状况、你在网上留下的一切痕迹等个人信息全部掌握得一清二楚。这里我们可以看到信息的重要性。
这一次结合我的一个信息收集社工的案例,来和大家一起交流一下。同时也提醒大家提高自己的信息安全保护意识。
这次事件的开始,是我发现我所在的某个QQ群有了个新增的群友,头像用的是一张父子图片,根据以往的经验,这类的用户可能是突破口,再加上我一直以来想写一下有关信息收集的文章,于是我心血来潮,想试试看能从这个人身上挖到什么。
我首先看这个人的QQ空间,他这里使用的是“回答问题“(提前设置好)来限制访客,他的问题极其简单(这里就不展示了),类似“今天下雨,还是不下雨”这样的问题,而答案,两个都试一下就通过了,而QQ空间访问权限验证是,只要我通过验证,即使我不和他加好友,也依旧可以查看他的空间信息。
我们会看到2017-10-26日的说说,
这个红包就将这个人的姓名,职业,所在地暴露了。我们继续看。
这个人,他在2014年的1月17日的时候,在空间里发出了自己的手机号,百度号码查询得到是山西晋中中国移动的号码,之后用微信查号码,看到头像大同小异,是同一个人。而且,也可以证实他在移动营业厅工作,我们继续往下看。
我们看到他在2013年10月25日的时候,发了一个动态,下面有人回复:上班去。
(这一条说明他至少在2013年10月25日之前就参加工作了)
下面还有人回复:29号到太原,一起去吃饭。(还有一些敏感信息省略)
(这一条说明,他可能在太原上的大学,下面还有佐证)
2013年7月8日
他发表了一张图片:不同专业就业难易程度
下面有好友对他说:我是相对困难的,终于还是你垫底了。
这里我们看,垫底的三个专业分别是:通信类,法律类,医学护理类。根据我们之前,看到的信息在移动工作,我们可以推测,他大学可能上的是通信类的专业。(先暂时不考虑不对口工作情况)
下一条,他在2013年7月3日发表说说:***太原很热!
(这个我们可以推断出他可能在2013年7月左右,在太原上大学/工作)
紧接着,2013年6月20日,有人对他说说评论:毕业了?他说:嗯。
(这一条我们可以得知他的毕业时间)
后面我们还发现他曾经用过的一个手机号,187********,号码归属山西太原,这可能是他在大学时用的手机号。(这里可以利用大学同学的身份,进行诈骗)
后面我们在相册发现,他拍的校园一角
我们将图片放到百度识图
进行识别,便可以确定是哪一所大学,如果查不到,也不要灰心,根据之前得知的信息,山西高校,在知乎,百度贴吧,微博问一问,总有知道的人会告诉你。
最后得到了一些信息,不乏一些敏感的信息,我们到此为之。如果只是窥探别人的隐私,来满足自己的好奇心,那么这,就与我当初的想法相去甚远了,我更希望大家能引起注意,提高自己的信息安全保护意识。要知道,你分享的每一个信息汇聚起来,就能准确的刻画出一个人的数字画像,有些时候这个数字画像,精确到你可能都不敢相信。比如这个梁某,我们根据信息收集,知道了他的姓名,QQ号,网名,职业,居住地址,年龄,毕业学校以及毕业时间,现用的手机号以及曾用的手机号,以及是否婚配,有无**。等一系列的信息。有人会问,我把这些,分享给我的好友有什么不对吗,他们本来就应该知道呀。但是,我们每个人都无法保证,这些信息不会流向不法分子的手中,到了那个时候,他们可能会利用这些信息,装成你的一个“熟悉又陌生“的同学,好友,来完成一些他们想要做的事情。
在了解了如何信息收集,以及信息泄露的危害,我们该怎么防御呢?举个例子,我在看过这个人的空间后如法炮制,又看了其他人的空间,发现有些人连访问限制都没有(更危险),有些人是这样的,可以保证自己的信息,是给有看的权限的人看的。像微信可以设置访客权限,可以看近期一定期限的朋友圈。不会像QQ空间这里一样,一看到底。
还有有关手机号,社保号,***号之类的信息,拍照片的时候要注意对关键的信息打码,还有如果遇到换手机号的场景,我们可以提醒好友,我换了新的号吗,可以1个月或3个月(一定的周期),把敏感说说删除。
关于网名,在起名字的时候不要暴露自己太多真实的信息,还有即使收到了大红包,也不要把自己的信息泄露出来,记得打码。
真正的安全,是尽可能把每一个步骤做到尽善尽美,只有步步把关才能真正把安全的软肋变成安全的”肌肉“。
本文作者:worth1
本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/104895.html
必填 您当前尚未登录。 登录? 注册
必填(保密)