小莫童鞋还在初中的时候,玩过这些社会工程学,盗号啊,黑网站啊……但是基本上都不会删别人数据什么的,纯粹的玩一玩,现在想想真单纯。
那时候就想当个牛逼的黑客,于是在编程的路上,一去不复返……
社会工程学,简称社工,是一种比较普遍的盗取他人信息的攻击行为。
通过人肉,冒充等方式,一点一点的获取你的个人信息,最终达到攻击者目的的过程。
最近啊,碰到几次冒用用户的名义来重置密码,盗取用户信息。除了第一次(用户本人及时告知,没有造成用户的数据损失),之后再也没有“上过当”了。
攻击者一般想通过这样的方式来黑用户的网站,甚至通过这些信息,骗钱用户友人的钱财。
攻击者一般会来跟我们咨询:
我的账户忘记了,能帮我重置下密码吗?
这个是问的最多的。
可是为什么攻击者会知道用户的这个邮箱在比特熊存在的呢?
这算是我们的一个失误:
有时候用户也不知道自己的邮箱账户是哪一个(我也有时候会忘记啊),于是我们的提示会告诉他:邮箱不存在,就会提示“账户不存在”,密码错误 提示“账户或密码错误”。所以我们改了这一点,不管是怎么样,都提示“账户或密码错误”了。
其实初衷是希望用户少点麻烦!
今天就碰到一个社工的攻击者,说自己的账户xxx@qq.com 忘了密码了,能不能帮他重置下密码,因为他的账户卖给别人了。
对于这种情况,我假设该用户是真的卖了qq号,并且咨询者通过了下面的验证,我是可以帮他修改账户的。
一般支付宝的账户验证是非常严格,异地登录的话,都会要求使用手机验证,才能登录,所以支付宝肯定是用户手上的,被偷的概率比较低)
经过这么一个比较复杂的流程下来,基本上我们不会给攻击者盗取用户资料的机会了。
这个是今天的一个攻击者跟我们的部分记录。咱对用户的账户负责吧?!
最后那句,当时夸咱吧。
互联网时代啊,其实个人信息都暴露在网络上的,想要真的隐私,已经几乎不可能了。
厉害了我的哥
@老狼 别人又知道你的email,又知道你的支付宝账户,又知道我给你转了多少金额。我们是不是应该最后再验下他DNA?
@moli 怎么不可能呢?
@老狼 怎么可能呢
那么,我想问,假设,对方瞎蒙,蒙对了呢?
嗯嗯这么厉害,厉害了,我的哥