![网络侦查实战技巧-溯源社工理论知识]( "网络侦查实战技巧-溯源社工理论知识")
网络侦查研究院
服务全国情报侦查人员,培养网络情报思维,提高网络情报侦查能力。
0x01 社工技巧
社工技巧(一):钓鱼攻击:钓鱼是指向目标发送邮件以便说服其进行某项操作。成功实施钓鱼攻击的关键是个性化。向目标发送特制邮件,如从受信任的邮箱发出邮件,可增加目标阅读或遵循邮件指示的几率。一封内容较少的邮件,如果措辞得体,可能会让人觉得更具可信度
社工技巧(二):假托:假托是只打电话给目标,试图从目标处套取信息(适用于能提供有用信息的非技术人员)。最佳策略是提出一些简单的要求,并给出企业中一些真实员工的名字。一旦双方建立友好关系,便能伺机套取更多信息
社工技巧(三):介质投放:介质投放通常是指在某个显眼的位置(停车场或建筑入口等)放置USB存储设备,一旦这个存储设备被打开便会在客户端发起某种攻击
1. Baidu或Google搜索目标的QQ号,常用ID,电话号码等相关信息,可以得到一些有用信息后在加以扩大搜索范围
2.完成第1步时基本会出现一些有用信息比如:贴吧里可以得到IP地址,毕业学校,出生日期,爱好的游戏,邮件地址等等
3.通过QQ空间,其它交友博客可以得到兴趣爱好或者照片,出生日期,邮件地址,姓名 注意留言板和说说里和目标比较熟悉的人,可以通过第三方人查到对方手机号码 你可以直接用目标朋友,同事,同学关系套出你想知道的 同时也可以通过朋友网查看对方真名等信息 基本从说说和留言板可以找出工作和名字
4. 有了目标基本信息后还可以通过照片去Baidu或Google人肉搜索 同时有的照片还有可能爆出地理位置
5.利用你得到了东西伪装加对方QQ进行游戏,技术等各种交流 可以试着社出二代密保,或者得到对方信任发送木马或者邮箱网马等等 最好你可以用异性QQ去加对方好友
6.同时也可以通过一些数据库查询一下目标QQ,电话,邮箱,身份证号码的泄露密码
7.如果对方有独立站点或者博客,查查网站的WHOIS得到 注册地址,域名商,手机,邮箱等等。也可以用着手中的信息去域名商那里大胆尝社工客户
8.如果对方是做网络销售或者卖什么软件的可以得到支付宝号,银行卡号。当然也可以参考身份证号码知识,同时也可以装着合作等等关系汇款给对方,再利用各种借口套取信息
9.无论在什么时候一定要善用 "忘记密码"这个功能,收集到一定资料,你会发现"找回密码"是多么容易
10.当拿到对方一个帐号和密码时,可以尝试用此帐号登录一些搜索出来更他有关的网站,也可以尝试登录一些知名网站
总评:尽量不要在互联网中展示出个人信息,以防止人肉搜索导致资料外泄
原链接https://twitter.com/Zer0_Knows/status/1236255787359453184?s=20&t=-9eNo0r9CJ-luLJIy6wFtA
总结:社工要想玩的好,心理学少不了,没事了多去和街上算卦的老头唠唠嗑,都是玩心理学的
![网络侦查实战技巧-溯源社工理论知识]( "网络侦查实战技巧-溯源社工理论知识")
![网络侦查实战技巧-溯源社工理论知识]( "网络侦查实战技巧-溯源社工理论知识")
原文始发于微信公众号(网络侦查研究院):网络侦查实战技巧-溯源社工理论知识
评论