| 2022史上最全的社工思路分享 | 您所在的位置:网站首页 › 快手褚海涛 › 2022史上最全的社工思路分享 |
2022史上最全的社工思路分享
|
声明
本教程仅献给网络安全专业领域、热爱社工的朋友们、被网络欺骗的无助群体 请不要用于违法用途,阅读以下内容代表您认同并愿意承担由此可能带来的一切法律责任 导读费罗伊德认为:人类是生来就存在好奇心的,窥探他人隐私是人的天性,这源于童年时对自己身世的追问与好奇,也是个人成长的需要。 但是人们在窥探他人隐私的同时,又害怕被他人窥探到自己的隐私…… 李彦宏曾说过:中国人更加开放,或者说对于隐私问题没有那么敏感。如果说他们愿意用隐私来交换便捷性或者效率,很多情况下他们是愿意这么做的。 因此,我们的隐私泄露大多数是与自己的生活习惯相关、或者是与企业过度的收集信息相关。 我想,你应该遇到过这样的场景? 为了薅羊毛(免费领取XXXX)而不惜输入自己的手机号为了蝇头小利帮助坏人辅助验证自己的手机号、出租自己的微信账户这些都是你自己的帐户泄露产生的根源,当然,偶尔也会因为企业信息管理的不善,导致一些信息被黑客导出的情况,前者是可以减小风险发生概率的,而后者是不可避免的。 法律在阅读下文前,还是要强调下法律的重要性。我想,你搜索到这一篇文章,一定是因为被骗了但找不到解决方案,你可能心里会比较焦急,但我们还是要先简单说一下法律的条文规定。针对公民个人信息这一块,现在法律还是比较严格的,侵犯公民个人信息需要负刑事责任,普通信息5000条就可以判3年以下了,超过50000条就要判3-7年了。 因此,如果不是专业领域(譬如国家级hvv、网络攻防演习或者其他授权场景,请不要轻易使用公民个人信息) 裁判文书网你可以在上面的裁判文书网中,搜索侵犯公民个人信息获取有关的案件 社工思维导图以下思路主要基于OSINT开源情报框架 
Osint Framework开源情报查询框架汉化版 在线工具
  11个月前19191.9W+139
![图片[1]-2022史上最全的社工思路分享-FancyPig's blog](https://static.iculture.cc/wp-content/uploads/2021/05/%E7%A4%BE%E5%B7%A5%E4%BF%A1%E6%81%AF%E6%94%B6%E9%9B%86%E6%80%9D%E8%B7%AF-watermark-980x1024.png?x-oss-process=image/auto-orient,1/format,webp/watermark,image_cHVibGljL2xvZ28ucG5nP3gtb3NzLXByb2Nlc3M9aW1hZ2UvcmVzaXplLFBfMTA,x_10,y_10)
信息收集的几个概念
我们推荐大家尽可能使用被动信息收集的方式,不与目标产生直接交互
被动信息收集
被动信息收集指的是通过公开渠道可获得的信息,与目标不产生直接交互 比方说通过猪头汉堡店或者其他在线社工库进行信息收集 
【零基础学渗透】被动信息收集
 10个月前7891.2W+41
主动信息收集
与目标进行直接交互 
【零基础学渗透】主动信息收集
10个月前413846530
比方说发钓鱼链接、发钓鱼文件 再比方说与目标的朋友套近乎,“他是我一个之前某某某游戏认识的,您能给我一下他的微信吗,好久没跟他聊了” 从而拿到目标信息。 合理规避风险,防止被溯源、水表
如何隐藏自己的真实IP地址 防止被溯源/恶意钓鱼
2年前10572.3W+107
其他阅读
《史上最全面的红队侦察技巧分享(含信息收集)》 常见问题常见问题,其实也是一个社工的常见步骤,可以供各位参考 TOP1:如何通过QQ、微博获取用户的手机号下方是一些常见的开源工具或是搜索引擎,均来自互联网,请合理合法使用 原猪头汉堡店(代码开源地址)奇安信Hunter搜索引擎查询【社工库】关键词搜索Q绑(必应搜索引擎)PhoneInfoga开源引擎搜集手机号信息为了不误伤到无辜的网友,如何验证结果是准确的?您可以尝试通过将手机号导入通讯录,然后在QQ添加好友列表里,就能看到这个手机号对应的QQ号,你可以通过校验头像是否一致,来确认结果是否准确。 👉获取校验方法详细步骤 校验手机号和QQ是否对应的方法首先,在手机通讯录中新建联系人,添加上手机号 ![图片[2]-2022史上最全的社工思路分享-FancyPig's blog](https://static.iculture.cc/wp-content/uploads/2022/04/20220425015249253.png?x-oss-process=image/auto-orient,1/format,webp/watermark,image_cHVibGljL2xvZ28ucG5nP3gtb3NzLXByb2Nlc3M9aW1hZ2UvcmVzaXplLFBfMTA,x_10,y_10) 通讯录导入
然后打开QQ,在QQ中添加好友,选择添加手机联系人 ![图片[3]-2022史上最全的社工思路分享-FancyPig's blog](https://static.iculture.cc/wp-content/uploads/2022/04/20220425015505622.png?x-oss-process=image/auto-orient,1/format,webp/watermark,image_cHVibGljL2xvZ28ucG5nP3gtb3NzLXByb2Nlc3M9aW1hZ2UvcmVzaXplLFBfMTA,x_10,y_10) QQ>右上角+好友/群>添加手机联系人
允许QQ访问通讯录 ![图片[4]-2022史上最全的社工思路分享-FancyPig's blog](https://static.iculture.cc/wp-content/uploads/2022/04/20220425015610688.png?x-oss-process=image/auto-orient,1/format,webp/watermark,image_cHVibGljL2xvZ28ucG5nP3gtb3NzLXByb2Nlc3M9aW1hZ2UvcmVzaXplLFBfMTA,x_10,y_10)
然后在列表里就能看到了,我们找到刚才设置的昵称为猪的,发现头像和QQ号是一致的,因此可以一定程度上推断该手机号是正确的 ![图片[5]-2022史上最全的社工思路分享-FancyPig's blog](https://static.iculture.cc/wp-content/uploads/2022/04/20220425015723954.png?x-oss-process=image/auto-orient,1/format,webp/watermark,image_cHVibGljL2xvZ28ucG5nP3gtb3NzLXByb2Nlc3M9aW1hZ2UvcmVzaXplLFBfMTA,x_10,y_10)
如何更好的保护自己的隐私呢?需要大家一定要牢记 用自己手机号注册过的任何账户不要出售给任何人,否则结果要么是账户被坏人拿走做了违法的业务,要么就是会被一些网友通过上述搜集手段找到是你,然后你就被网友们误伤了……在QQ及其他社交平台上禁止他人通过手机号搜索,👉详细操作步骤 社交平台上如何设置禁止他人通过手机号搜索在设置>隐私中 ![图片[6]-2022史上最全的社工思路分享-FancyPig's blog](https://static.iculture.cc/wp-content/uploads/2022/04/20220425020251488.png?x-oss-process=image/auto-orient,1/format,webp/watermark,image_cHVibGljL2xvZ28ucG5nP3gtb3NzLXByb2Nlc3M9aW1hZ2UvcmVzaXplLFBfMTA,x_10,y_10)
点击发现我的方式 ![图片[7]-2022史上最全的社工思路分享-FancyPig's blog](https://static.iculture.cc/wp-content/uploads/2022/04/20220425020324855.png?x-oss-process=image/auto-orient,1/format,webp/watermark,image_cHVibGljL2xvZ28ucG5nP3gtb3NzLXByb2Nlc3M9aW1hZ2UvcmVzaXplLFBfMTA,x_10,y_10)
手机号选项去掉 ![图片[8]-2022史上最全的社工思路分享-FancyPig's blog](https://static.iculture.cc/wp-content/uploads/2022/04/20220425020350399.png?x-oss-process=image/auto-orient,1/format,webp/watermark,image_cHVibGljL2xvZ28ucG5nP3gtb3NzLXByb2Nlc3M9aW1hZ2UvcmVzaXplLFBfMTA,x_10,y_10)
TOP2:如何通过手机号获取全名?
1.如果你不想被对方发现,建议使用转账验证姓氏的方式,可以参考百家姓中出现频率最高的几个 常见的姓氏王、李、张、刘、陈、杨、黄、赵、吴、周、徐、孙、马、朱、胡、郭、何、林、高 2.如果你不介意被对方发现,你可以直接通过支付宝转账,使用银行卡付款。 然后在你的银行卡客户端查询订单,订单详情的支付场所:XXX,会显示对方的全名 普通银行卡客户端,支付宝已将【支付场所:真实姓名】改为【特约商户】但您仍可以通过使用【云闪付】付款查询到姓名
为什么支付宝会收到别人的转账?我的信息是泄露了吗?
2年前18122.2W+348
3.我们还可以通过以下两种方法 通过淘宝或者支付宝找回密码,使用人脸验证,可以看到名字中的后2个字![图片[9]-2022史上最全的社工思路分享-FancyPig's blog](https://static.iculture.cc/wp-content/uploads/2021/09/20210908024628837.png?x-oss-process=image/auto-orient,1/format,webp/watermark,image_cHVibGljL2xvZ28ucG5nP3gtb3NzLXByb2Nlc3M9aW1hZ2UvcmVzaXplLFBfMTA,x_10,y_10)
通过微信中的添加企业联系人,输入手机号
![图片[10]-2022史上最全的社工思路分享-FancyPig's blog](https://static.iculture.cc/wp-content/uploads/2021/09/20210908024758574.png?x-oss-process=image/auto-orient,1/format,webp/watermark,image_cHVibGljL2xvZ28ucG5nP3gtb3NzLXByb2Nlc3M9aW1hZ2UvcmVzaXplLFBfMTA,x_10,y_10)
这里我们可以查找到该用户对应的公司地址,完成溯源 ![图片[11]-2022史上最全的社工思路分享-FancyPig's blog](https://static.iculture.cc/wp-content/uploads/2021/09/20210908024841919.png?x-oss-process=image/auto-orient,1/format,webp/watermark,image_cHVibGljL2xvZ28ucG5nP3gtb3NzLXByb2Nlc3M9aW1hZ2UvcmVzaXplLFBfMTA,x_10,y_10)
参考文章
如何通过手机号溯源到实名
7个月前282W+53
TOP3:有了全名可以查到什么?地址?身份证?
爱企查
根据企业法人、高管的姓名可以查到一些公开的信息 爱企查入口
【活动】白嫖爱企查3年会员
2年前923875976
进阶教程
如何校验一个人的信息是否属实,可以参考下面的教程 
 会员专属【社工进阶】由实名三要素引出的高级社工
 1年前4061.9W+78
TOP4:如果社工库里都没有,怎么办?
传统社工手段
整体思路请参考本文最开始的思维导图 抖音/快手/美拍的ID一般跟微信号一样,昵称一般跟微博用户名一样通过reg007查询手机号注册的一些社交网站,然后在到社交平台里收集信息微博/网易云音乐等社交平台如果存在唯一关注、唯一粉丝,可以一定程度上判断是该账户的小号或者大号通过领英职场平台可以寻找到一些有价值的信息不登陆平台就可以查询用户的方法 此处内容已隐藏,请评论后刷新页面查看. 使用Google Hacking收集有关用户ID、昵称相关的信息
常见搜索引擎Google Hacking语法整理
2年前9082.4W+297
使用图片查询微博Po主
【小技巧分享】如何通过微博图片进行社工Po主
 2年前14022.3W+44
除了以上方法,国外还有一些开源的OSINT框架可供学习(现已汉化) ![图片[12]-2022史上最全的社工思路分享-FancyPig's blog](https://static.iculture.cc/wp-content/uploads/2021/05/image-57-1024x788.png?x-oss-process=image/auto-orient,1/format,webp/watermark,image_cHVibGljL2xvZ28ucG5nP3gtb3NzLXByb2Nlc3M9aW1hZ2UvcmVzaXplLFBfMTA,x_10,y_10)
TOP5:怎么查询某个人的定位/地理位置?
社交软件
通过Wireshark工具获取对方IP 
【Wireshark教程】如何通过语音获取对方IP 支持钉钉/QQ/WX
10个月前201.9W+52
通过XML卡片获取对方IP 参考社区教程《QQ如何通过一条消息获取对方IP及手机型号》 钓鱼工具
IP定位工具与威胁情报在线查询
2年前175.8W+92
钓鱼教程
史上最全的钓鱼对方IP方法
2年前386W+360
TOP6:后续是否考虑做一个互助的社区?
后续可能会考虑给本网站的用户提供一个互助交流的社区,已于2021年12月5日上线 社区入口防骗课堂 |
【本文地址】