世界第一黑客凯文·米特尼克在《欺骗的艺术》中曾提到,人为因素才是安全的软肋。对于黑客们来说,通过一个用户名、一串数字、一串英文代码,社会工程师就可以通过这么几条的线索,通过社工攻击手段,加以筛选、整理,就能把你的所有个人情况信息、家庭状况、兴趣爱好、婚姻状况、你在网上留下的一切痕迹等个人信息全部掌握得一清二楚。这里我们可以看到信息的重要性。
这一次结合我的一个信息收集社工的案例,来和大家一起交流一下。同时也提醒大家提高自己的信息安全保护意识。
这次事件的开始,是我发现我所在的某个QQ群有了个新增的群友,头像用的是一张父子图片,根据以往的经验,这类的用户可能是突破口,再加上我一直以来想写一下有关信息收集的文章,于是我心血来潮,想试试看能从这个人身上挖到什么。
我首先看这个人的QQ空间,他这里使用的是“回答问题“(提前设置好)来限制访客,他的问题极其简单(这里就不展示了),类似“今天下雨,还是不下雨”这样的问题,而答案,两个都试一下就通过了,而QQ空间访问权限验证是,只要我通过验证,即使我不和他加好友,也依旧可以查看他的空间信息。
我们会看到2017-10-26日的说说,
这个红包就将这个人的姓名,职业,所在地暴露了。我们继续看。
这个人,他在2014年的1月17日的时候,在空间里发出了自己的手机号,百度号码查询得到是山西晋中中国移动的号码,之后用微信查号码,看到头像大同小异,是同一个人。而且,也可以证实他在移动营业厅工作,我们继续往下看。
我们看到他在2013年10月25日的时候,发了一个动态,下面有人回复:上班去。
(这一条说明他至少在2013年10月25日之前就参加工作了)
下面还有人回复:29号到太原,一起去吃饭。(还有一些敏感信息省略)
(这一条说明,他可能在太原上的大学,下面还有佐证)
2013年7月8日
他发表了一张图片:不同专业就业难易程度