欺骗的艺术——谈谈社会工程学
前言
我这个小小的博客也创建了四个多月了,期间分享内容的时候发到过朋友圈,所以也或多或少有熟人来访过。虽说当作一个树洞,但是却很少在哔哔叨叨里面发牢骚。后来有一位我不认识的朋友来访和评论过几次,却不知道他到底是谁。本来也不好奇的,直到他留下了一条评论:
好家伙,这不得把这位朋友给找出来?
相关信息
邮箱:nba1990xx#xxxx.com
ip地址:183.228.234.xxx , 223.104.248.xxx , 117.136.30.xx (ip中这三个较多)
访问设备:Android 11 手机
浏览器:夸克浏览器
以上部分信息来自百度统计。
信息整合
以上信息能得出什么结论来呢,大致只能为这位朋友描一个简单的画像,至于本人是谁仍不得知。从邮箱名nba1990xx
大致可以推断他应该是一位喜欢看NBA的1990年xx月生的男生;从ip地址可以得知他就是重庆F城的人,通过多个ip对比,推断他的手机和家庭宽带(可能包括我们单位宽带)的运营商都是重庆移动;从他的设备来看,是使用夸克浏览器的安卓手机。但是我有两点疑问:
1.屏幕分辨率360*559,这年头还有这么低分辨率的手机吗?
2.有几次的访问入口页面都是最新发布的日志链接,并且是直接访问,而我并没有把所有的日志都分享出去,没有上游页面,而是直达日志,难道是——Rss?
初次试探
可联系的仅仅有一个邮箱,我感觉想要找出这位朋友陷入了僵局。百度谷歌直接搜这个邮箱找不到任何有用信息,拿去社工库查注册过的网站也没有——难道是假邮箱?很有可能!因为这位朋友评论时候留下的昵称不能关联任何有效信息,网址也没填。
为了确定是否是无效邮箱,我尝试着在他的一条评论中询问:请问你是哪位大神呀?
因为waline会通过邮箱发送博主的回复给访客,只要访客留下了有效的邮箱。
然后就是等待。
叮!过了半个小时左右,我收到了回复,是通过邮件而不是评论区,说明邮件是真实有效的!
并且上方有个”签名由网易邮箱大师定制“,说明这位朋友还有网易邮箱客户端——但是我也不能去找可能的人看手机上是不是用的夸克浏览器和有没有网易邮箱客户端呀!
不如欺骗?
前面说了要找出这位大神,我不能就这样半途而废呀!于是我想到了曾听说的社会工程学著名案例——有一位黑客连续数月翻社工对象的垃圾袋,终于找到了有用的信息。虽然我是要找这人而不是确定了对象是谁,但是丝毫不影响我用社工的思维去找出这位大神。
于是我新注册了一个邮箱cqrlzy#gmail.com
,冒充一个社会机构(不敢说是冒充了gov机构),在某问卷网站创建了一份问卷:
然后用上面的邮箱给他发了一封邮件,内容即为问卷说明,并附上了问卷链接和二维码。
接下来就是等待了。邮件发出去之后我每隔半小时左右刷新一次,三个多小时后,对方终于填写了问卷!
社工结果
看到问卷网站提示有人填写了问卷之后,我长舒一口气,皇天不负有心人!
然后我颤抖着手点燃一支烟,吐出一口之后激动且满怀期待地点开了问卷,看到了如下内容:
这个时候我的状态就是这样:
总结
声明一下,以上部分内容已做脱敏处理,且有一部分内容为虚构创作,我本人也没那么大的胆子敢冒充政府机关去欺骗谁。写这篇日志的初衷是为了纪念一下那天早上一觉醒来,首先冒出的念头是”不如我试试社工一下他“。社会工程学是一个高大上的称谓,但事实上就是精妙的欺骗艺术。希望各位看官能注意保护自己的隐私,同时也要做一个遵纪守法的中国公民。