社会工程学之我见
序言这篇东西是朋友让写的,本来不想太招摇,实在推不过,就随手写一点了。
有一些技术宅看不起社工,在他们眼里社工无非就是盗号,骗人等等,毫无技术含量。其实他们的看法也不算错,至少我现在接触的一
些人基本就是这样干的:搜索、查库、关联、申诉、截图、装B。
社会工程学当然不会这么简单,我们现在并没有发现新的攻击技术,一切还和过去一样:SQL注入、XSS、漏洞利用、邮件、木马以及
Webshell等等,还记得田忌赛马吗?当马不能改变时,最重要的是了解你的对手,然后组织你手中的马。
1.社工的核心
社工的核心在于长期、耐心的信息收集,在于对被攻击者的足够了解。以有心算无心,面对这样耐心、执着、冷静的攻击者,谁敢说自
已不会被社呢?
2.社工需要的知识
社工必须掌握大量的相关基础知识,甚至包括哲学。哲学是关习世界观的学说,学了哲学能帮助你更清楚的认识这个世界,增强理解能
力和思辨能力。
--------------------分割线--------------------
3.社工的防范
其实我个人认为,社工是防不了的,今天写这个也很简单,算是抛砖引砖吧。。^L^。。所谓的防范仅仅是针对目前流行的社工盗号。
原理:切断社工库的关联功能
面对处心积虑的对手,我们是没法防范的,我们能做到的仅仅的切断关联。这就象是潜水艇A舱进水了,就关闭A舱,不让他影响到其他
舱。
这里我们需要多找一些QQ,有前瞻性的使用
QQ1: 只加亲人朋友号,不乱加人和群 密码例如gj45%^&y12)5u678
QQ2: 偶尔登录 财付通专用号,不加任何人,尽量不和其他QQ上的人有交接 密码例如ac12#45%6p78
QQ3: 主号(最好绑黑卡手机,只设简单密保,资料全假)交流学习兼装B号,这种号得多找几个备用 密码例如k59dk3d0*(%$2l
QQ4:偶尔登录(不绑手机,只设简单密保,资料全假)不加任何好友,任何群。此号的作用是用来注册登录任何需要QQ号,邮箱号或微博号
登录的流氓网站密码例如:3(*^OI&%^%5tg
这样的话别人就算社到了你的QQ1或QQ3,或QQ4.。也很难把他们关联上。。密码尽量设成乱敲的16位包含字母符号数字的,每天清理历史记
录等
那么现在问题就来了(挖掘机技术哪家强? ),这些随机输的16位的密码记一个主号的还可以,多了咋记啊?
简单方法:
记在纸质的本子上或电脑的记事本上,或者干脆就放云盘上(云盘密码必须是独立的加密规则)。。当然不是直接记录了。。得进行加密,虽
然理论上任何密码都可以破,但一般人还是没那个条件的,所以形式还是必须走一下。。^L^。。(加密的方式有很多,最有效的方法就是建
立自已专属的加密规则。这提供一种简单思路,当然不是我自已用的,如果你能逆向思维,如果你可以混合使用,就可以猜到我的方式了。
过于复杂的加密自已用起来也不方便了),例如(下面这几个因为是举例我就随便输的,没弄成16位的)
原始密码:
gj45%^&y12)5u678
ac12#45%6p78
k59dk3d0*(%$2l
3(*^OI&%^%5tg
现在加密如下
gj?45?%^&?y12)?5u678
ac??12?#4?5%?6p78
k59?dk3?d0*??(?%$2l
3(*?^O?I&%?^%5tg
通过观察就可以发现,我在每个密码中乱序加入了符号“?”(你可以加其他符号字母或数字,加几个随意),这样保存,一般别人就算得
到了也没啥用。这算是加法,如果你学过减法,就有可能猜到我自已用的加密规则。
我还可以提示下你。。我Q号记了五位数,邮箱记了四位数,论坛记了三位数,用户名记了一到两位数,云盘用了另一套加密规则,但是我仍
然有漏洞,这漏洞估计大多数人都会有的,这就是我的临时密码,虽然没重要信息,但有可能被关联上,提供别人装B的机会。
最后,再分享一个QQ小技巧:改QQ年龄(让不懂的人小郁闷下,咋Q龄9年的人,库里没他任何资料呢^L^)
点头像打开编辑资料,找到英文名这一项;在其中输入随便一个你觉得满意的英文,比如admin;然后按空格再输入Q空格龄:12年(QQ运行
才16年左右吧,不建议超出这个数,个人认为最好是设定为6-9年之间),保存退出。然后打开权限设置,把Q龄设为仅自已可见。
本文由逗客安全团队社工版主所写 社工还需要你对人的了解也就像自己是一位心理医生能知道他们心理在想什么,引用找网站漏洞的时候就会猜想和收集资料来了解对方更多的信息。表示可以积少成多。 把密码资料和生活资料完全分开。 就算你知道他的详细资料,但申诉的时候也完全信息不对。这样也是比较保险的方式。
感谢楼主的分享~ 学习学习技术,加油! 支持,看起来不错呢! 学习学习技术,加油! 支持中国红客联盟(ihonker.org) 感谢楼主的分享~