大多数人都觉得,人肉搜索其实就是社工库查一下,但其实目前在Telegram被广泛使用的免费社工库中,数据信息都普遍来自20年以前,除了今年4月份所泄露的45亿快递信息属于22年10月。
其实能在社工库中找到的信息包括手机号、QQ或者微博,分别来自20年wb泄露的5.3亿数据以及20年企鹅泄露的8亿数据。这些数据在被曝光之后,大多数人选择注销wb,修改企鹅号绑定信息。并且在公共网络中,也就是所谓的公网中,很多引流站点都以查Q绑作为噱头,每天能吸引流量500+
这说明确实达到了人人都会社工了,毕竟在百度一搜,搜出来一大片都是公网社工库。
但是真正所谓的人肉搜索,主要都是来自于企业平台或者其他机构之类的平台的漏洞,包括csrf+任意注册漏洞
早在前几年,在社工表面圈子的第一个漏洞,任意注册漏洞,即利用他人的身份证号码以及自己的手机号去注册某平台网站,在个人信息页面中可以看到该身份证名下所有证件,包括但不限于出生证等等信息
后面这个方法一传十,十传百。把社工圈子内的从业者都打造成漏洞猎人,简单的抓包、任意注册,水平越权等等,但是这群人,确实没有任何网安的知识经验,他们靠的是经验以及尝试。
于是乎,部分个人信息查询业务价格就会降低,但是这些所谓接口一旦泄露,访问的人飞升,肯定会被流量检测到,然后进行修补。
国家也慢慢针对这类情况做出反击,从添加有效期验证到人脸识别,但是对于这群“猎人”而言,这些防御都是可以绕过的。
针对人脸生物验证,在GitHub上有个名为First-Order-Wrapper的项目,该项目可根据照片模拟做出模拟人脸轨迹的运动,包括眨眼、转头等等运动。单有这个可能不行,还需要配合上 android_virtual_cam安卓手机虚拟摄像头,那基本上就是一台手机实现各种人脸认证的破解。除了一些很高规格的人脸验证,其实大多数人脸验证,包括某些手机品牌,只要大概达到百分几就可以通过。那么假设屏保是自己的照片,捡到手机的人,确实可能通过社会工程学技术直接破解你的手机,完成一次窃取。
所以,其实去人肉一个人,在专业的人看来,真不难,只要这个领域还有油水可以捞,就一直有人入圈去做,去渗透这些网站。
且另外一种路线,来自于圈子内的相传,信息传播以及社会工程学的获取。一个圈子内的人,想要获取数据不难
房东之间的群,但凡你还活在这个城市内,那么就有可能会泄露自己的地方。况且现在快递信息泄露也非常严重,所以会导致信息泄露也很正常。#上热门##生活##信息#