甲乙丙

甲乙丙

记一次低成本简易社工

發布於

前提:此前本人无社会工程学经验,凭记忆记载一次简单实践过程(2020)。

已知:a.姓名 b.性别 c.户籍所在地(精确到市(县))d.QQ号

获得:身份证(照片伪,其他信息为真),手机号码(QQ同学群组,微信号),华为与vivo账户(云相册,手机通讯录,实际定位),院校信息(专业名称,宿舍号码,学号,四六级成绩), 京东账户(购买记录,收货地址)

成本:时间成本+20元(RMB)

过程:

1.猜手机号码-->大致过程是通过QQ号-忘记密码-获得前后几位数字,然后通过reg007此类网站进行分析,将可能性的结果与户籍所在地(或生活工作所在地进行匹配)。再将范围内手机号码一一输入QQ进行验证匹配。

2.猜身份证号码-->

以下转载于网络:

居民身份证格式如:ABCDEFYYYYMMDDXXXR

➀地址码(ABCDEF):表示登记户口时所在地的行政区划代码(省、市、县),如果行政区划进行了重新划分,同一个地方进行户口登记的可能存在地址码不一致的情况。行政区划代码按GB/T2260的规定执行。

➁出生日期码(YYYYMMDD):表示该居民的出生年月日,年4位数字,月和日分别用2位数字表示,如19491001,;出生日期码是按GB/T 7408的规定执行的。

➂顺序码(XXX):表示同一地址码区域内,同年、同月、同日生的人所编订的顺序号,根据自己身份证的顺序码就可以知道:与我们同年同月同日生的同性至少有多少个,且在我们之前登记户籍的有多少人。身份证顺序码的奇数分配给男性,偶数分配给女性。这就是为什么倒数第二位奇数表示男生,偶数表示女生。

➃校验码(R):R之前的17位被称为本体码,R是根据本体码,按照校验码算法(ISO 7064:1983,MOD 11-2校)计算出来的。当我们输入身份号码进行实名认证的时候,根据校验码算法可以初步判断你输入身份证号码格式是否正确。

已知ABCDEF,接下来获取YYYYMMDD。通过手机号码可查出QQ号,微信号,微博账户,抖音号。通过简介等信息获YYYYMMDD(当前微博版本不支持手机号码查找账户,具体方法google).

已知ABCDEFYYYYMMDD,XXX的数量为500;先列出500个号码,然后将500个号码通过校验码算法列出最后一位(R),与已知姓名进行身份证信息验证(注:单个信息同一渠道身份验证次数有限制,本次是通过无意发现的官方系统漏洞进行了几百次验证,因可能不能复现,此处不表)。

3.身份证制作:

通过telegram沟通个人信息贩卖者,提供身份证要求验证身份证地址。得出真实身份证地址。

通过官方四六级成绩找回,得出证件照片。

通过github搜索身份证制作工具,制作出伪身份证(头像不一致,其他信息均一致)。

4.华为手机账户(vivo)获取:

vivo账户获取过程较为简单,此处不表。

华为账户获取过程需要大量的个人信息,凭记忆列出过程:

需要账户注册的大致时间->通过微博发布小尾巴获取

需要常登陆地点->尝试输入户籍所在地和当前居住地

需要选择长登陆wifi名称:此处通过反复刷新(找回密码申请)选项列表,每次列出,可最终筛选出最终结果。

5.京东账户获取

其实支付宝,京东账户此类基本上不可操作(因为牵涉到金融安全,基本使用生物指纹识别方式)

但本次实践,依然获得了京东账户。其实京东账户的验证过程逻辑设计的ok,但是在我提交关键一步资料时(其实我的信息应该是不准确的),人工参与了进来。当时网络卡顿了一下,然后换了一位客服。此位客服潜意识认定我上一步认证已经完成。。最终顺利获得京东账户权限。



总结:其实现代社会个人信息泄漏严重,任何人只要有心便可以社工出很多信息。本次实践时间成本付出多,其实以上信息在telegram也不过1000rmb.

任何普通人花费一定精力或$$可得信息:

姓名,性别,家庭住址(现住地址),实时定位,行动轨迹(海关,机场,高铁,高速),酒店开房记录(永久),银行卡流水,手机相册,疾病历史,生物信息(人脸,声纹,指纹)。

任何vip(指国家权力机构,特工,专业社会工程学人士)可得信息:

搜索记录,实时监控视频或实时语音,实时定位(人脸和替代识别),心理性格模拟分析(行为预测),人际网络关系(家人,同事,同学,朋友或秘密关系),社交app实时聊天记录(输入法,后台(例如微信),间谍软件,网络抓包)

当潮水退去时,大家都在裸泳,无一幸免。

此处推荐一个网站:www.iyouport.org

喜歡我的文章嗎?
別忘了給點支持與讚賞,讓我知道創作的路上有你陪伴。

CC BY-NC-ND 2.0 版權聲明

看不過癮?

一鍵登入,即可加入全球最優質中文創作社區