一次人肉搜索的社会工程学实践

congtou 2016-12-27 社会工程学 0 1
作者:xneter      来源:知乎
最近支付宝AR实景红包很火,发布后没多久就被发现可以作弊,用线索图复制一份、去除横条,再错位叠加处理,就几乎可以骗过支付宝的图像识别。我用此法捞了一些红包,有用户加我为好友,问我是否有和他同一款的XX(物品),以为我这样才拿到红包。支付宝通过好友之后,默认可以看到好友的姓名和支付宝账号(支付宝顺着这个优势做实名社交还是可行的)。比如这个用户名是pan***的字母开头加9位数字@qq.com的邮箱,我直觉认为这9位数字就是QQ号。一个念头突然想起,我想再次验证一下从一个用户的单点信息通过网络搜集到全面的个人信息的可行性,以证明大数据时代没有隐私,于是我开始了一步步的探索(图片黑色涂框为本文处理,下同)。

首先,查看该QQ的资料,和支付宝资料吻合,证实猜测。访问QQ空间,没有设防,而且动态不少。最近访问用户一眼就瞄到另一个从头像和昵称判断有可能是同一个主人的QQ。这个访问过去,需要好友权限,小号先记录在案。

翻看说说动态,得到很多有价值的“线索”,主要有:

一、看到一条参加培训课的图片,从上可知公司名称,后面又看见一张有名片的照片,座机、手机、公司地址、工作邮箱都有了。

 

二、看到一个汽车被贴罚单照片,从中可见车牌号码,只差一位辨识不清。

 

再往后看,交新车的照片都有了,动态发表时间就是买车时间,车牌号也确切了。

 

三、看到一张信息比较多的图片,是车辆预选号界面照片,虽然饶有意识地马赛克了大部分信息,但从露出的部分仍然可以读出很多重要的信息:


1、 身份证号露出生年月日及后一位,年龄、生日就出来了;
2、 暂住地址露出了尾部详细的部分,百度一下即得到完整地址;
3、 电子邮箱露出用户名部分,而且其中包含有生日的数字,但服务商不确定。

四、发现一张电脑登陆邮箱的界面照片,可以隐约看到一个用户名为angel加两位字母,后两位虽然分辨不清,但猜测为其姓名首字母。用忘记密码验证用户名存在性,是存在的,应该无误,这样又发现了一个邮箱地址。现在的网易邮箱已不像之前可以通过生日等信息破解密码保护。本文只为个人信息收集,不作破解和获取其他信息,点到为止。

 

五、在一条说说中回复好友,我在宁波的号码是180********,收集到一个手机号。
六、从过年回老家的信息,知道了家乡的市。有条纪录说老家天气的,知道了县名。
七、旅行中,拍过动车票照片——动车票大家知道只是隐藏了生日部分(最早车票出来时都不隐藏呢),该用户手指遮了身份证号开头的部分,但最重要的后四位露出来了。
八、从住家拍楼下及对面的照片,从标志建筑或名称,确定了现住的小区。

根据上面(三)中获取的出生年月日,加上(七)中动车票的尾部四位,于是我们组合得到身份证除了开头表示地区的六位后的部分。然后将姓名拿去2014年泄露的2000W条开房记录的社工库中查询,同名记录很多,但身份证号后部分符号的只有一个。这样几乎可以确定完整的身份证号了,以及从身份证信息中得到家庭地址,与上述(六)中的家乡信息符合。这样就取到了最重要的身份证号信息,该身份证号在百度上并无公开的信息。

  继续挖掘,将相关QQ、手机、邮箱前缀分别输入百度,从一篇帖子发现一些信息,应该是某一份工作经历有关;发现一个贴吧用户,但信息有限;找到一个网易相册,但已加密可见内容为空;看到一个知乎用户,但并不是十分活跃;找到一个微博,留的认证信息是另一个公司,用户信息符合,应也是曾经的一份工作,微博有些动态,但已经不再需要看了。

从QQ空间的时间、内容、地点变化也可以证实工作变动,共确认了三个工作单位。微博上看到了毕业院校,这样可以结合起来去人人网、朋友网搜索,因为我们需要收集的个人信息大都已经齐了,这条方向就略了。如果是为获取工作经历信息,还可以去全国或当地的人才网站上搜索简历尝试。

访问该学校的网站,是使用了一个曾经爆过漏洞的教务系统,本来还想找洞登陆进去看看该生的在校学习情况,但该学校教务系统从外网访问实在太慢了,罢了。

通过老密社工库,可以查询QQ号、用户名或邮箱的曾经被窃取或泄露的密码,有时从密码中也可以发现某些有用的资料,如生日、电话等。该用户有发现一条记录,密码是个手机号(非已获取手机号)。刚才那个不确定后缀的邮箱发现有个@126.com的纪录,密码是323232。登陆进去,居然还可以成功,粗略翻了一下邮件,发现该邮箱主人其实另有其人,应该是黑错了用户。用忘记密码尝试操作一下,该用名@163的也存在(后经用户本人证实就是163的)。

  本来,QQ群用户资料曾经泄露过数据,可以根据QQ号码查询其加入群及群中的用户信息,可用以分析用户的同学、亲友、同事的关系及爱好和日常活动,本次主要是为了验证搜集个人信息的可行性,不作社会关系调查,此方向不继续。

 

至此,随机选择的一个人的重要信息就这样通过一个支付宝账号名开始被我们全方位搜罗完毕,完成了一次完整的人肉搜索,而且只在两个多小时内即完成。获取的主要个人信息整理如下:

将以上内容发送给用户确认,用户在表示惊奇、不可思议之外,询问信息从何而来。殊不知大部分来自其自身有意或无意、直接或间接的泄露,其他信息也是通过公开泄露的信息查询得到,并未使用高深的技术手段或特殊的渠道获取。当然,以上信息的搜集只为研究、学习,证实个人信息安全性存在的普遍问题,具体信息不作其他用途。此致。

转载请注明来自华盟网,本文标题:《一次人肉搜索的社会工程学实践》

喜欢 (1) 发布评论
发表评论