关于社会工程学的一些事
  • 2020-06-26


前言

本文仅仅作为一篇怀旧文与知识拓展,我永远不支持也不提倡各位对他人进行人肉搜索,进行非法信息采集,每个人都应该遵守国家制定的各类法律法规。

作者:小北  


之前在白帽一百的内部分享会上,我讲的议题是《社会工程学案例研究》。其实也不是很想讲这个,但是由于干货内容比较少,并且不想重复赘述之前师傅讲过的东西,迫不得已罢了。

但其实是没有讲的很仔细的。因为那段时间忙着去搞白帽一百漏洞库这个项目,PPT也是没有用模板直接拼凑文字的产物。我刚刚修复完博客前端的一些问题,又睡不着,看了几集人民的名义后想着就在这个夜晚,把我的一些想法写在我的博客里。


我刚接触社会工程学的一些事

2014年我刚接触网络安全的时候,还记得带我入门的师傅叫执迷。

当时我在做洛克王国的外挂,在每个小学生群里一直发广告。后来看到有一个人发了个广告,内容是无成本刷湖北宽带钻,本着白嫖的精神我找到了他,他说要付费,我说还能教学其他什么吗,他说网络安全。

于是我拿着我30块钱的零花钱,开始向他学技术。他教会了我很多网络技术,SQL注入、XSS、远控这些都是他教学我的。那段时间其实对远控很感兴趣,毕竟我当时这个小学生唯一的乐趣就是在朋友面前炫技,老子可以黑你电脑也太装逼了草。

当时用的什么软件,忘记了。远控上线后是可以监控摄像头和键盘的。后来逐渐的,运用的比较熟练,但是没有什么实战的地方。直到后来,我的基友和我说他的QQ被一个人盗号了,改了密保问题(当时腾讯体系还不完善,这种有密保问题再修改的基本只能申诉找回),想找我帮帮忙。

现在想想但是的经过也不复杂,无非就是制作木马,发送让他打开,成功上线后摄像头拍照啥的,最后威胁他锁机也好、偷拍照片也罢,最后只要给密保问题就好了。

后来我看了一本书《社会工程学-安全体系中的人性漏洞》,里面解释了这些行为。同时我开始思考隐私对于这个社会的价值与如何合法使用这些未授权信息的方法。但是时至今日我还是觉得那本书很扯淡,如果企业的安保系统能够这么随随便便因为一件工作服就让闲杂人等进入核心系统的话,那也太low了。但也有可能是当时确实这么垃圾吧,毕竟技术强度和时间是成正比的。里面解释的是,通过语言、面部表情等让对方产生一种心理,能够顺应着你的思路进行相应操作,这就是对人性漏洞发起的攻击。也就是说,通过欺骗等手段,我让那个盗号的人打开了我的软件,就算是一种攻击了,只是level很低,容易防范,这下算是对这门学科有了基础轮廓,只是我还停留在想象的阶段。


社工三人组

5ef4e7faf3108.png

后来我加入了一个团队,叫社工三人组,这也是我的黑历史之一,发誓以后一定不要干娱乐圈的事。

15年刚上高中的时候,乌云网还在,补天也刚开始提交漏洞。我的初中同学叫阿寒,现在也是好朋友。他带我进去认识的孤梦,孤梦每天都会去钓鱼客服改url解析,我也加入了进去。

一开始还不怎么会聊天,孤梦和我说无非就是让客服以为你是站长罢了,同时给了我很多骚思路。比如审查元素改邮箱截图、电话任意显、各种诱惑性语言、钓鱼网站制作等等。

逐渐的我也开始适应了这个过程,也参与改了很多网站的解析,然后挂黑页装逼。比如tfboys论坛、社工库论坛、源码之家、各种大黑阔的网站等等。

那段时间装了很多的逼,一度让我开始自我膨胀。只不过我真的不满足于这个,本着进步的内心也不是很想这样下去了。

后来不久就和孤梦吵了架,我退出了这个所谓的社工三人组。直到前几天浏览知乎还看到有人把这个写成了编年史,还是蛮搞笑的。

5ef4e96dd6b38.png

5ef4e98ede2e7.png

这里我真心给每一个想学安全的人说一下吧,娱乐圈真的碰不得,会让你的思维局限在一个很小的地方,提升不了你的技术。

毕竟心浮气躁的人什么都做不好的。

退出这个所谓的团队以后开始不断挖洞赚钱,也不挂黑页了,觉得非常的羞耻。不过我仍然感激那个时候认识的人,也算是一个人一生中的财富吧。


近距离了解社会工程学

2016年我上高二,我姑姑因为被人欺骗,在一个BC网站投入了两万元,说是一定会回本。然后那个所谓的客服就消失了,我姑姑知道我是学网络安全的,于是就打电话给了我。隐约记得那个时候在渗透高中的网站,webshell拿下了就是没有提权。正想办法提权的时候,她给我打了电话。搞清楚事情原委之后,问她要了BC网站地址。

后来也就是进行网站渗透,whois站长邮箱钓鱼等等手段,然后通过当时的公开社工库查到了一些本人信息,还有就是通过老密从各种网站拿到了本人的身份证照片等重要信息。

最后打电话给了他,警告退还了19000元。当然这些东西放在今天,骗子一定是不回还钱的。并且国内的隐私保护做的越来越好了,没有一些自己的资源是不可能拓展信息面的。

那天退还钱之后,我感觉非常愉悦。

第一次用这些技术,让我切身感觉社会工程学的奥妙。它非常讲究思路,因为这是一个顺藤摸瓜的过程,期间可能遇到很多问题和阻碍。当通过自己的想法和思路去越过他们,获取重要信息和情报,这让我觉得自己非常聪明,也很有成就感。

2016年高二,语文老师让同学们每个人上台讲一些最近了解的新闻或者你认为有价值的想法给同学们听,我给大家分享的便是《我对社会工程学的一些思考》。

啊,现在再回想真觉得自己有够傻逼的。但当时我的目的是希望我的演讲让我周围的同学们加强防范,避免电信诈骗等一些我认为很低级的攻击手段。但我的语文老师认为这种学科是江湖骗术,让我非常恼火,于是之后写了5000字的论文给他,最后还真让我老师心服口服。

这间接性提高了我的写作能力,也认识了一位给我人生许多建设性建议的老师。算是不错了吧。


我所理解的社会工程学

大学以后,认识的人更多了。

很多人知道我是学安全之后,都会找我帮忙,在力所能及的范围内我都帮助了几个学姐学妹解决了他们的问题。例如之前遇到的诈骗事件、不雅照片事件等。

一开始我做成了案例发布在公众号上,但我并不是好意的,我把它当作了一种炫耀的资本。后来我非常后悔,明白了,这真的非常愚蠢,所以我删除了所有推文,我也不想做第二个凌云。

5ef4ed3c73a28.png

后来还遇到很多事,例如上面的网恋被骗,还有更多的类似转账失误无法退款、欠钱不还没有信息、被骗子骗了、遇到喷子没办法解决等等。

当然也有一些目的不纯的

我想了解这个人,能给一些信息吗?

能不能帮我查个人,我要给他点教训。

能不能给我一下他的手机号,加个微信?

...........

遇到这些我都直接置之不理,因为那个时候我已经开始真正思考有技术和如何运用技术的正确关系。

我目前掌握着一部分的信息资源,同时在SGKBOT里拥有着很多积分。调查出一个人的详细信息很容易,真的很容易。

虽然今年出台了禁止人肉搜索的一些法律条款,但是这个社会有些黑暗的东西,只有像我和那些在网络安全圈的人才知道。很多人可以通过很多途径,小广告也好网站也罢,都能看到一些接人肉单的贴子和资讯。甚至是上过央视网站的SGKBOT反而打着央视的旗号来推广自己的东西。

这真的非常可怕,我曾经遇到过一些触目惊心的被人肉的案例,那是通过一个小细节调查出非常详细的东西的恐怖过程。

还有就是一些这里不能直接讲的东西,就比如我在sgk里查到过我的高考报名信息(后来被我花了100积分隐藏了)。

数据来源是哪里?我不知道,我也不敢说,也不能说。

社会工程学到底是什么?我认为它不是单纯的人肉搜索,也不是单纯的欺诈技术,他是一种通过各种思维跳跃攻击人性漏洞的一种学问学科。

有正常三观与法律意识的人例如我,可以通过他解决一些无法通过合理法律诉求解决的问题。因为没有一些影响力的电信诈骗案子,警察往往最后都只能不了了之。我这里并不觉得是警察不务正业,确实真的是因为这些在取证、调查方面有很多阻碍,我是理解他们的,没有运营商和软件供应商的技术支持,很难获取一些有用的情报和信息。

而那些试图通过社会工程学技术,达到一些非法目的的人。往往会站在正义的对立面,会从恐吓、威胁的角度达成那些非常卑鄙的手段。

我真心忠告,无论你的技术有多强,或者能够从什么渠道获取信息,都不要拿来明面着公布或者以此为剑要挟他人。我见过很多以人肉搜索为乐的人,公布他人敏感信息和隐私让对方妥协的。这些结局往往都是不好的。


结语

可以发现本文彻头彻尾没有实质性讲技术分析,因为我更愿意以后发文给予一些信息保护的建议,这篇就算是前篇了。

现在在b站、知乎、豆瓣上的一些所谓的技术大咖类的公知非常多,我见过许多都误导了他人的文章,整就一个不懂装懂在那乱讲。有说ZF人员监守自盗的,也有说是什么黑暗地下组织的。

非常扯淡。

每个人都有可能会被信息泄露,我们无法防范,甚至你都不知道你已经被泄露了隐私。

我们能做的只能是通过一些小技巧,缩小你的信息面,避免日后被攻击而无法挽回。

我也建议所有人不要有不单纯的目的,去非法收集他人信息。我看过很多心理学、社会工程学的书,他们给予我的财富是一个更加拓展的视野,而不是通过我的各种技术拿到信息后的愉悦,或者是以此盈利的满足。

算了,不说啦。

这个世界会越来越好的啦。