社会工程学最佳实践 – 社工库

总览

社会工程学应该分成两个部分，其一为非接触信息收集;其二为与人交流的社会工程学。

非接触信息收集

非接触信息收集主要应该收集哪些信息，做到什么程度应该停止（因为越往后需要的成本越高）？
在一次渗透测试中，社会工程学应该处于何种位置，应该与其他常规手段如何配合？这是一个合格的社会工程学实践者应该考虑的。

在我的理解中，非接触信息收集，顾名思义，就是在不物理接触目标的情况下，通过互联网或其他手段，对目标进行信息收集。主要包括以下信息：

1. 姓名
2. 性别
3. 出生日期
4. 身份证号码
5. 身份证家庭住址
6. 快递收货地址
7. 地理位置 （照片EXIF提取;IP地址;附近的人三角定位，三角定位仅为思路）
8. 学历/小初高大各学校 目标履历素描
9. QQ
10. 手机号（曾用与现用）
11. 邮箱
12. 银行卡
13. 电子邮箱
14. 支付宝
15. 各SNS主页 微博，人人网，百度贴吧，网易轻博客等
16. 常用ID
17. 目标性格素描

起点

我们的起始点可能是多样的，可能是一个微博ID，或者QQ号，又或者邮箱。

在我们不断的横向移动的过程中，应当重点关注以里程碑式的节点。
另外应注意邮箱和手机号均可能有多个。

1. 邮箱/QQ邮箱
2. 手机号

因为通过这两个可以迅速关联出大量网络痕迹。
关联方法为:

1. http://www./
2. http:///
3. http://www./
4. http://www./zzg
5. https:///

此处的原理应该是爬虫+无法重复注册。

其他关键点

获取目标的网络痕迹后，要适当筛选。一些较为关键的节点如下：

1. 求职网站->简历
2. 电商网站->现居住地址
3. 域名/站长统计->whois
4. SNS->性格分析

显然如果是专业的社会工程学团队，可以以企业的身份入驻各大求职网站，然后通过简历筛选条件来获取目标简历。（此处仅作为一个思路参考，实现起来未必划算）

SNS 信息采集

SNS信息采集相对是一个比较耗时的工作，而且手法各异。

能获取的信息量要依赖于目标的隐私保护意识。

在阅读目标的SNS时，同时也是对目标个性，性格，隐私保护意识的判断。

如果目标隐私保护意识较高，则不需要浪费过多时间在SNS信息采集上。

常见的SNS包括

即时通讯类 腾讯QQ
论坛类 百度贴吧 -> 有大概率获得邮箱

在这方面我暂时还没有统一解决的思维框架，只能举一些例子。

例一：
观察某目标的微博，目标在微博中提供了淘宝购物记录的截图，评论某件商品。虽然在地址处只露出一半的文字，根据推测+搜索引擎可以判断出目标的物理地址

例二：
某目标的微博，该目标参与了某姓名算命测试，通过分享链接可以获取其真实姓名。

例三：
某目标，在QQ空间中公开”旧号停用，新号为XXXXX….”

如果目标本身的安全意识较高，那么我们可以考虑从他的好友入手，从侧路迂回攻击。当然这样的攻击成本也会更高。

实名制信息关联

1. 支付宝
   利用支付宝转账核实姓名是常用的方法。
2. 银行卡
   利用银行转账核实姓名则是另一种常用方法。
3. 手机号
   某些充值点(报亭超市等)可能存在一部分查看手机号实名制信息的权限。
4. 户籍系统
5. 车牌系统

社工库

比较有价值的公开社工库

1. 某酒店泄漏的2000W条记录
2. QQ群关系

临时获取权限

临时获取权限是一种较为暴露的做法，不到迫不得已，最好不要使用。

申诉

1. 申诉通常需要老密码
2. 需要一些现成的申诉文章

邮箱找回密码

如果有邮箱权限，可以改动很多关联账号的密码。

至于如何获得邮箱权限，可以利用XSS打cookie;物理靠近可以考虑中间人攻击;传统的网页表单克隆钓鱼(配合DNS污染食用风味更佳);总之这需要放飞你的思路。

社工密码字典生成

只对一部分安全意识较弱的人有效。
http://www./

除了web以外，还有很多客户端工具。
当然你也可以手动猜解，只是这样效率比较低，要学会充分发挥自动化工具的优势。

邮件社工

邮件头部伪造

https:///
http://www./zh/

此外Kali 有一个工具叫 Swaks 用于伪造邮件头部信息。

与人交流的社会工程学

与人交流的社会工程学应该是社会工程学中最具魅力与艺术性的部分。
其实这部分在现实中随处可见，并且各领域对它的称呼各不相同，从行走江湖的各路活神仙，大师，仁波切，到传销公司，到p2p金融骗子，到现在各种自媒体的运营，以及巨头们的市场公关部门，到处可以见到它的表演舞台。
除了社会工程学这个名字以外，有人称它为话术，礼仪公司称之为沟通技巧，迷男们管这叫PUA，甚至于某些情报部门…

简而言之，就是在说话的过程中仔细观察对方，揣测他的心理状态，多换位思考，并提出一些诱导性的问题。

不过

Easy to Say, Hard to Do

另外提供两个关于如何防御诱导提问(Elicitation)的科普手册。

FBI
https://www./about-us/investigate/counterintelligence/elicitation-techniques

DHS
http://www.research./sites/default/files/u21/Homeland%20Security%20-%20elicitation-brochure.pdf

除了通过沟通来进行诱导信息以外，还有技术与人性相结合的社会工程学手段，这些剧本前期就需要精心地构造了。在freebuf的《物理攻击？那些年我们忽略的社会工程学手段》中体现得很好。

诱导技巧（机翻）

有许多诱导技术，并且多种技术可在诱导尝试使用。下面是其中一些技术的说明。

假定知识：假装有共同的知识或协会与一个人。 “根据计算机网络家伙我曾经工作……”

包围曝光：为了吸引更具体的数字提供高和低的估计。 “我认为利率将不得不很快就上去了。我猜美元5到15之间“回应：”大概在七块钱。“

你能超过它？告诉一个极端的故事，希望的人将要顶一下。 “听说M公司正在开发一个了不起的新产品，它能够……”

机密诱饵：假装在接收返回的机密信息，希望泄露机密信息。 “只要你和我之间……”“关记录。”

批评：批评的个人或组织在其中的人有希望中的人会辩护过程中披露的信息有兴趣。 “你公司怎么拿到的合同？大家都知道B公司有这种类型的工作更好的工程师“。

故意虚假陈述/显而易见的拒绝：说错了希望，人就会纠正真实信息的声明。 “大家都知道这个过程是行不通的，它只是一个梦DARPA项目，将永远不会离开地面。”

假装无知：假装无知的话题，以利用人的教育倾向。 “我是新来这个领域，可以使用所有帮助我能。”“请问这个事的？”

奉承：用赞美哄人进入并提供信息。 “我打赌你是关键人物在设计这款新产品。”

善于倾听：利用本能通过耐心听取和验证人的情感（无论是正面还是负面的），抱怨或吹嘘。如果一个人觉得自己有一个人来倾诉，他/她可以分享更多的信息。

引导问：请教一个问题这个问题的答案是“是”或“否”，但它至少包含一个假设。 “你与集成系统的测试工作，你离开了那家公司过吗？”（而不是：“什么是你的责任，你之前的工作”）

宏观到微观：开始在宏观层面的对话，然后逐步引导人走向实际利率的话题。开始谈论经济，那么政府支出，那么潜在的削减国防预算，然后“会，如果有预算削减发生什么你的X计划”的时候，一个良好的激发将扭转过程中采取谈话回到宏观主题。

共同兴趣：建议你类似于基于共同的兴趣，爱好或经历的人，以此来获取信息或索取信息之前，建立一个融洽。 “你哥哥在伊拉克战争中担任？所以做我的。哪个单位是你弟弟？“

斜参考：讨论一个题目说可以洞察一个不同的主题。关于作品党的餐饮一个问题，实际上可能是试图了解外部供应商具有对设施的访问类型。

反对党/佯装怀疑：指示以提示一个人提供在他们的立场辩护信息不相信或反对。 “有没有办法，你可以设计和生产这一点，快！”“这是在理论上不错，但是……”

挑衅声明：诱惑的人射向你一个问题，为了建立会话的其余部分。 “我可以踢自己的不采取任何工作机会。”回应：“你为什么不”由于其他人问这个问题，它使得在随后的谈话中你的一部分无害的。

问卷和调查：状态调查良性目的。围绕着你要与其他的逻辑问题，回答了几个问题。或使用调查只是为了让人们同意和你谈谈。

报道引用的事实：真正的参考或虚假的信息，以便人认为，信息位是公共领域。 “你的报道，你的公司正在裁员发表评论？”“你看过分析师预测怎么样……”

鲁塞访谈：有人假装是一个猎头电话，询问关于你的经验，资历，以及最近的项目。

目标局外人：询问该人并不属于一个组织。通常的朋友，家人，供应商，子公司或竞争对手了解的信息，但可能不会致敏什么不能分享。

志愿信息/报偿：在希望的人会回报给的信息。 “我们公司的红外传感器只是在那个距离，时间精确80％。是你好些了吗？“

一句话重复：重复核心词或概念来鼓励一个人在他/她已经说了扩大。 “3000米范围，是吧？ 有趣。”

社会工程学书单

《社会工程：安全体系中的人性漏洞》

凯文 米特尼克系列
《欺骗的艺术》
《入侵的艺术》
《线上幽灵》

《国土安全部：防诱导手册》
《FBI:防诱导手册》

《非安全：黑客社会工程学攻击档案袋》

转载请注明：社工库--嗅密码 ? 社会工程学最佳实践