作者: moli 发布时间: (2016-11-14 22:30:01) 阅读次数: 1279

社会工程学

小莫童鞋还在初中的时候,玩过这些社会工程学,盗号啊,黑网站啊……但是基本上都不会删别人数据什么的,纯粹的玩一玩,现在想想真单纯。

那时候就想当个牛逼的黑客,于是在编程的路上,一去不复返……

社会工程学,简称社工,是一种比较普遍的盗取他人信息的攻击行为。

通过人肉,冒充等方式,一点一点的获取你的个人信息,最终达到攻击者目的的过程。

以前的遭遇

最近啊,碰到几次冒用用户的名义来重置密码,盗取用户信息。除了第一次(用户本人及时告知,没有造成用户的数据损失),之后再也没有“上过当”了。

攻击者一般想通过这样的方式来黑用户的网站,甚至通过这些信息,骗钱用户友人的钱财。

攻击者一般会来跟我们咨询:

我的账户忘记了,能帮我重置下密码吗?

这个是问的最多的。

可是为什么攻击者会知道用户的这个邮箱在比特熊存在的呢?

这算是我们的一个失误:

有时候用户也不知道自己的邮箱账户是哪一个(我也有时候会忘记啊),于是我们的提示会告诉他:邮箱不存在,就会提示“账户不存在”,密码错误 提示“账户或密码错误”。所以我们改了这一点,不管是怎么样,都提示“账户或密码错误”了。

其实初衷是希望用户少点麻烦!

今天的钓鱼者

今天就碰到一个社工的攻击者,说自己的账户xxx@qq.com 忘了密码了,能不能帮他重置下密码,因为他的账户卖给别人了。

对于这种情况,我假设该用户是真的卖了qq号,并且咨询者通过了下面的验证,我是可以帮他修改账户的。

如何验证:

  1. 如果咨询者没有在比特熊有过消费(这种账户一般也没人偷),我会要求用户重新注册账户
  2. 如果咨询者有过消费,我会要求用户提供曾经充值过的支付宝
  3. 如果咨询者知道他的支付宝,我会给他的支付宝转一定金额的钱,然后要求用户登录这个支付宝账户,告诉我们转的钱的金额。如果属实,就能确认这个账号是属于该咨询者的
  4. 如果咨询者无法告诉我们支付宝,或者无法告诉我们转的金额,那么我就会认为这个人是钓鱼的了

一般支付宝的账户验证是非常严格,异地登录的话,都会要求使用手机验证,才能登录,所以支付宝肯定是用户手上的,被偷的概率比较低)

经过这么一个比较复杂的流程下来,基本上我们不会给攻击者盗取用户资料的机会了。

这个是今天的一个攻击者跟我们的部分记录。咱对用户的账户负责吧?!

最后那句,当时夸咱吧。

 

最后说一句

互联网时代啊,其实个人信息都暴露在网络上的,想要真的隐私,已经几乎不可能了。

 

评论 6条评论 回复
登陆后才可以评论。 登陆
fengran · 回复

厉害了我的哥

moli · 回复

@老狼  别人又知道你的email,又知道你的支付宝账户,又知道我给你转了多少金额。我们是不是应该最后再验下他DNA?

老狼 · 回复

@moli  怎么不可能呢?

moli · 回复

@老狼  怎么可能呢

老狼 · 回复

那么,我想问,假设,对方瞎蒙,蒙对了呢?

王少凯 · 回复

嗯嗯这么厉害,厉害了,我的哥