0x00序言在现代信息安全中,数据泄露已成为常态。 在日常生活中,各种社交平台和各种网络平台的蓬勃发展吸引了众多网民注册。 其中,SNS和各种跨平台的账户注册基本涉及邮箱、账户、QQ号、手机号、身份证等多项个人敏感信息。 这些信息在网络漏洞出现时广泛传播。 年轻人、用户的个人信息被泄露了; 轻一点,用户经常被销售电话、垃圾邮件骚扰;
此外,一旦被国内非法转账诈骗者获取个人机密信息,还会进行各种精心的诈骗布局。 发布几个相关案例。
1女会计拨打300万成宿迁市历史上最大的转账诈骗案http://js.QQ.com/a/2014 05 25/003218.htm 2为什么能骗百亿人? 台湾转账诈骗嫌疑人曝光幕后黑手3358 tech.QQ.com/a/2016 05 02/007551.htm 3在实际生活中的诈骗还很多,在日常生活中,企业员工经常遭遇各种诈骗。 例如,电话头奖、财务退款、怀疑电话虚假停机等。0x01企业信息安全社工企业在建设发展过程中,通过安全强化手段(WAF、安全狗、主机卫士等)、安全审核)、日志分析、SDL等)、安全检查在这方面,弱密码也引起了漏洞平台的关注。
此外,弱密码问题也是漏洞平台的热点,这意味着漏洞平台经常出现,XXX政府的弱密码getshell泄露了XX百万数据。 XX互联网平台某平台的弱密码可以在内联网上漫游等,当然,由于某企业某管理系统存在弱密码,可以看到企业内部员工的资料。
所以,对于信息安全来说,个人信息安全和企业的信息安全是分不开的。 为什么这么说呢,因为企业个人设定的密码和密码设定规则,在他们进行网络活动的时候一定会泄露出来。 实际情况是QQ号被盗、微信号被盗、银行卡被盗、各种勒索软件、比特币支付。 由于各种情况始终发生在各行各业,信息安全工程师必须做好准备,避免这些情况发生在公司员工身上,减少不必要的损失。
同样,骗子的精心结构技术真的能欺骗很多人(包括企业高管、软件开发工程和运营者)。 因此,作为企业的信息安全人员,必须始终注意信息安全信息。 每当其他企业发生安全事件时,都要从他们的经验中学习,避免公司出现同样的问题。 所以,在企业发生信息安全事件之前,必须提前做好准备。
0x02社工所学的技术手段——即使是社会工程,也通过各种社会关系和信息,收集和利用我们对某人和公司所做的信息。 比如对企业高管进行信息收集,掌握其微博、微信、QQ、工作表现、工作事务等,假冒高管对下属进行诈骗。 或者,在偷了一个同事的QQ后,假冒该员工向其他同事索取公司的资料。 虽然有更多的实际情况,但这里仅限于篇幅,所以不一一介绍。 以下直接进入主题。 俗语说,想做好工作,首先要利其器。
1.QQ/QQ群关系查询https://qqgroup.insight-labs.org/本网站可查看企业人员QQ信息泄露情况。 输入某个QQ会显示很多信息,证明该QQ编号可能会泄漏。 如果什么信息都找不到,恭喜你提高信息安全意识。
这个查询还是很方便的。 为什么? 这对于企业员工的外围信息安全也很重要,因为其结果表明了某个QQ或QQ组的许多相关信息。
题外话:根据一位同事的QQ,可以检查朋友的QQ圈,让你误以为你也认识,再加他。
2 .华西安全网http://cha.hxsec.com/该网站实现了用户名、QQ和Email的输入。 密码没有泄露或者试着用一下,会有体验效果。
网站上的声明很好啊。 为了遵守国家道德法规,查询结果的重要字段用星号隐藏。 请放心。 本站不会记录或发布你的信息所有数据都在华西安全网上整理,提供免费的咨询服务。 数据约4.7亿人,主要是几年前泄露的旧密码,来自几年前公开的云搜索社工库,与身份证等隐私信息无关。
题外话:不搞任何非法黑产谋利,不窃取任何信息! 打击网络犯罪,人人有责,必须伸手抓。
3 .暗月密码泄露查询http://so.moonsec.com/此网站允许您根据帐户和邮箱搜索密码
大黑,大牛
题外话:这个网站的链接有论坛、博客等。 大家点击学习一下新闻技术。 主要是渗透、训练。 当然,还有安全信息、漏洞警报、技术文章、安全测试工具、动画教程、技术讨论等等。
4 .灵查注册http://www.0xreg.com/index.php根据用户输入的邮箱地址或手机号码显示存储、招聘、IDC、社交、生活、金融、门户和其他注册信息
根据企业员工的手机号码和个人邮箱地址,核对他们的注册信息,以免这些网站的注册账户密码和公司系统的账户密码相同。
题外话:在这里,有一个诈骗犯假扮某个企业的老板或领导,加入某个公司的某个员工,骗取金钱的实际案例。
5 .安全宝http://lucky.anquanbao.com/这也还是有点用的。 为什么? 对老员工来说,这里的数据可能有点旧,但旧数据有旧的使用方法,但仍然适用。
虽然简单易用,但覆盖面不同
全。题外话:暂时没有想到,欢迎各位同学补充一下
0x03 墙外的社工库服务器搭建在国外的社工网站也很有必要推荐一下,相信各位有社工经验的同学会经常到下面的网站搜搜,往往会有意外的收获。下面请看!
1.FINDMIMA密码网 https://www.findmima.com/该网站可以查询user、qq、mail、tel这些信息(这些英文挺简单的,我就不翻译了),作为企业信息安全人员,安全审计其他同事的外围信息安全。
点评:该网站的数据挺齐全的,功能也比较多。此外还能查询 QQ老密码、QQ群关系、开房记录、泄密列表、主机状态(findmima 服务器主机)等功能,相当不错!
题外话:作为企业信息安全人员,我们也应对重要的员工(网络管理员、网站负责人、运维同事,看看他们在外是否泄密。
2.http://www.sheyun.org/这个也是很值得推荐的社工网站,里面的东西还是很不错。
点评:该网站有时打得开,有时打不开。所以如果在某个打不开,可以换另外一个时间再来打开试试。
3.https://dazzlepod.com/有时打得开,有时打不开,看你们的运气好不好~
和前面一个网站的使用差不多~~~
0x04 搜索引擎中的社工 1.百度网盘 http://pan.java1234.com/利用百度网盘进行搜索,可以搜到很多资料,例如代码、工具、文档、表格、图片等等,你懂的!哈哈
备用路线1 http://www.bdyunso.com/ # 搜盘备用路线2 http://wowenda.com/ #网盘之家备用路线3 http://www.wangpange.com/ #网盘哥2 搜索引擎1.百度搜索
点评:为啥还要说一下这个昵?因为搜出来的结果还是比较多的,看一下高级搜索。类似googleh
2 搜狗搜索
点评:为啥推荐搜狗搜索昵?因为里面有一个微信搜索,可以搜索一下微信上泄露出来的敏感信息。
0x05 代码泄露中的信息安全 1.SearchCode https://searchcode.com/SearchCode 是一个源码搜索引擎,目前支持从 Github、Bitbucket、Google Code、CodePlex、SourceForge 和 Fedora Project 平台搜索公开的源码。
点评:我们可以对开发者进行一个外围的代码泄露审计,一来可以查看企业内部员工是否泄露公司的代码,二来可以审计代码中存在的泄露信息(例如API、敏感注释、账号)
2.github https://github.com/我们也可以在直接在github搜索相关的敏感代码,或者某个企业员工的github账号,直接查看相关的开源信息,进行信息安全审计。
搜索语法:
邮件信息:
site:Github.com smtp
site:Github.com smtp @qq.com
site:Github.com smtp @126.com
site:Github.com smtp @163.com
site:Github.com smtp @sina.com.cn
site:Github.com smtp password
site:Github.com String password smtp
……
结合厂商域名,灵活运用:
site:Github.com smtp @厂商域名
搜索XX公司内部信息:
site:Github.com corp.xx.com 或者 xx-inc.com
指定邮箱类型:
site:Github.com smtp admin@%.com (webmaster、root、help、service,And so on..)
site:Github.com smtp admin@%.org
site:Github.com smtp admin@%.cn
site:Github.com smtp @%.edu.cn 教育网站
site:Github.com smtp @%.gov.cn 政府门户
数据库信息:
site:Github.com sa password
site:Github.com root password
site:Github.com User ID=’sa’;Password
……
SVN信息:
site:Github.com svn
site:Github.com svn username
site:Github.com svn password
site:Github.com svn username password
……
site:Github.com ftp
site:Github.com ftp user password
3.一些国内流行的代码分享平台可以在以下平台去查看企业内部员工的泄密信息。这个比较费时间!!不过闲着无聊的时候,怀着好奇心去偷窥一下也挺好玩的偷笑
开源中国 http://www.oschina.net/code/list码云 http://git.oschina.net/CSDN https://code.csdn.net/dashboard/index0x06 企业中社工总结说到这里,目前为止,主要的工作还是我们安全人员做的。至于其他方面,我们也可以模拟一下打个电话或者发个短信给一些与信息安全重点相关的对象,进行实战的社工。当然我们也有一些其他方面的手段,例如通过收集一些诈骗示例和诈骗视频定期给员工进行一下安全意识的普及。