手机
多数人认为,人肉搜索不过是在社工库查询一下罢了。但实际上,当前在Telegram被广泛使用的免费社工库,其数据信息大多是2020年以前的,除了2022年4月泄露的45亿快递信息。社工库中能找到的信息,像
手机号、
QQ或者
微博信息,分别源于2020年
微博泄露的5.3亿数据以及2020年
腾讯泄露的8亿数据。这些数据曝光后,很多人注销了
微博账号,修改了
腾讯号的绑定信息。这表明,似乎人人都能进行社工操作了,毕竟在
百度上一搜索,能搜出大量公网社工库。然而,真正意义上的人肉搜索,主要是利用某公共站点的漏洞,例如csrf + 任意注册漏洞。前几年,社工表面圈子出现的第一个漏洞就是任意注册漏洞。利用他人的
身份证号码和自己的
手机号去注册这类网站,在个人信息页面能够看到该
身份证名下的所有证件,像出生证、户籍页面等信息。后来,这种方法传播开来,使得社工圈子里的从业者都变成了漏洞猎人,只会简单的抓包、任意注册、水平越权等操作,而这些人实际上并没有任何网络安全方面的知识和经验,他们靠的是经验和不断尝试。于是,部分个人信息查询业务的价格降低了。但是这些所谓的接口一旦泄露,访问量骤增,肯定会被流量监测到,然后被修补。国家也逐渐针对这种情况采取应对措施,从添加有效期验证到人脸识别。但对于这些猎人来说,这些防御手段都是可以被绕过的。在GitHub上有一个名为First - Order - Wrapper的项目,这个项目能够根据
照片模拟出人脸轨迹运动,像眨眼、转头等动作。仅有这个可能还不行,还需要配合
Android_virtual_cam
安卓手机虚拟摄像头,这样基本上就能用一台
手机实现对各种人脸认证的破解。除了一些高规格的人脸验证,大多数人脸验证,包括某些
手机品牌的验证,只要达到一定的相似度(比如百分之几)就可以通过。那么假设
手机屏保是自己的
照片,捡到
手机的人确实有可能通过社会工程学技术直接破解
手机,实施窃取行为。所以,在专业人士眼中,人肉一个人其实并不难。只要这个领域还有利益可图,就会一直有人进入这个圈子,去渗透相关网站。补充一点内容。有人说这是二道贩子为了省钱,也有人质疑其真实性。关于真实性问题,我记得针对某公共站点的破解思路在
百度贴吧的某个吧里还能找到原帖,那是最原始的思路。其次,说到省钱的问题,不得不承认,内鬼确实是一股很大的力量,但这是非常敏感的话题。换个说法,这种玩法在两三年前是非常猖獗的。
