信息搜集详说

ouzuhao
28194ouzuhao编程小子
思路技巧 2018-12-11 02:44:51
28194 思路技巧 2018-12-11 02:44:51
黑客话题: 社会工程学
天天听别的大佬说,社工,社工,可是你知道社工是什么吗?或许你接触的社工压根就不是真正意义上的社工!




社会工程学是黑客界常说的用于,最大的漏洞常常出在人的身上,而社工工程学就是利用人来达成目标的方式,我曾在北京大学度过两个季度的心理学(当然我学的是正方向的),人是系统中非常重要的一步,我经常把社会工程学看的非常广阔,我认为不管是诈骗、网络媒体、商业合作都是社会工程学,我还曾开玩笑的说过马蓉是2016最厉害的社会工程学的学者,实际上这些理论也算是社会工程学,因为他们都是通过控制人而去达成目的。


“黑客最重要的不是攻击,而是控制与占领”,如果我们在百度新闻搜“操纵”二字可以找到很多新闻,而那些新闻中有很多控制的都是人心,不过既然是操控人心,那就一定违背了人性道德,除此之外还因为社会工程学的定位模糊导致很多人滥竽充数声称精通社工,也就因此社会工程学的名誉与地位慢慢降低。


社会工程学应该分成两个部分,其一为非接触信息收集;其二为与人交流的社会工程学。


非接触信息收集


非接触信息收集主要应该收集哪些信息,做到什么程度应该停止(因为越往后需要的成本越高)?


在一次渗透测试中,社会工程学应该处于何种位置,应该与其他常规手段如何配合?这是一个合格的社会工程学实践者应该考虑的。


在我的理解中,非接触信息收集,顾名思义,就是在不物理接触目标的情况下,通过互联网或其他手段,对目标进行信息收集。主要包括以下信息:
姓名
性别
出生日期
身份证号码
身份证家庭住址
快递收货地址
地理位置 (照片EXIF提取;IP地址;附近的人三角定位,三角定位仅为思路)
学历/小初高大各学校 目标履历素描
QQ
手机号(曾用与现用)
邮箱
银行卡
电子邮箱
支付宝
各SNS主页 微博,人人网,百度贴吧,网易轻博客等
常用ID
目标性格素描


与人交流的社会工程学


因为技术高超者可以操控被社工的对象,使其跟着我们的思路走,达成我们要达到的攻击目的。
与人交流的社会工程学应该是社会工程学中最具魅力与艺术性的部分。
其实这部分在现实中随处可见,并且各领域对它的称呼各不相同,从行走江湖的各路活神仙,大师,仁波切,到传销公司,到p2p金融骗子,到现在各种自媒体的运营,以及巨头们的市场公关部门,到处可以见到它的表演舞台。
除了社会工程学这个名字以外,有人称它为话术,有人说这是厚黑,培训公司称之为沟通技巧,迷男们管这叫PUA,甚至于某些情报部门…
简而言之,就是在说话的过程中仔细观察对方,揣测他的心理状态,多换位思考,并提出一些诱导性的问题。
社会工程学书单
《社会工程:安全体系中的人性漏洞》
凯文 米特尼克系列
《欺骗的艺术》
《入侵的艺术》
《线上幽灵》
《国土安全部:防诱导手册》
《FBI:防诱导手册》
《非安全:黑客社会工程学攻击档案袋》
渗透测试不是一项攻击,而是一门艺术,在过程中享受者这其中的快感
最后为大家推荐三本书
《社会工程之安全体系中的人性漏洞》
《欺骗的艺术
《入侵的艺术》
一部电影
《我是谁·没有绝对安全的系统》
本文标题:信息搜集详说
本文作者:ouzuhao
本文来自:蚁安黑客官网
转载请注明本文链接:http://www.mayidui.net/t2739-1.html
bug132294
沙发bug132294菜鸟高手 2019-01-04 23:45
好复杂啊
ouzuhao
板凳ouzuhao编程小子 2019-01-05 12:18
bug132294:好复杂啊回到原帖
总群里面慢慢学习吧,其实一点也不复杂
bug132294
地板bug132294菜鸟高手 2019-01-06 11:42
ouzuhao:总群里面慢慢学习吧,其实一点也不复杂回到原帖
总群就是吗
3366599194
4楼3366599194黑客小白 2019-10-30 22:19
bug132294:好复杂啊回到原帖
我可以加入你的总群嘛
游客
登录黑客论坛后才可以回帖,黑客登录 或者 注册黑客
weixin
蚁安黑客

找黑客工具、找黑客教程、找黑客朋友,你想不到的黑客技术这儿都有!

微信号:baiyiwangan