博客已经成功切换为 Wordpress! My blog has been switched to Wordpress!

社工利器:支付宝和百付宝及一些社交网站

技术分享 edwardfang 6年前 (2012-12-16) 73次浏览 0个评论

从一个已知的线索搜索起

搜到 email

获得目标的邮箱后,要深刻挖掘其延伸信息。
大家都会的基础技能——搜索引擎
把 email 放进去,得出结果。

但仅仅如此是不够的,如果搜索不出结果难道就放弃吗?
其实,还是有很多可以挖掘的信息的。
做信息收集就跟做侦探一下,不放过一丝一毫的线索,通过线索挖掘真相。

或者目标姓名:
方法 1:
把 email 放到校内网,如果注册,默认情况下可以搜索出对应的数据。
同样的方法在开心网等同类社交网站存在。不做重复叙述,请自行发掘。

方法 2:
登录 www.alipay.com,输入账号,随便写一个密码,提示不存在,就换方法。提示密码错误,则:
登录一个支付宝,进入付款,然后填入对方 EMAIL,付款。
对方名字出来了。
同样的方法在百度的百付宝有效。

综合以上方法我们还能做什么

通过搜索找到他的百度账号,则百付宝得知姓名,同类漏洞可能在其他支付系统存在未全部测试,大家自由发挥。
用姓名在校内,开心,甚至各种校友网上进一步锁定地区,或生日等信息得知地区后,百度或谷歌搜索关键词简历地名人名,则可能有目标信息(或用其他线索搜索),请用其他已知信息区匹配。

又或者你猜对了他的 EMAIL 密码(通过密码提示问题,163 之类的生日问题可以通过前期的社交网站收集)
进入后看到支付宝信息,则登录支付宝,能看到他的电话,地址===信息。什么?密码错误?你可以发送一封改密码的邮件啊!

假设你知道目标的真实姓名,你可以登录 QQ 校友,输入姓名,通过年龄,或地区,或其他已知信息区筛选,得出的结果里面查看,如果没有隐藏隐私的话,你可以看到很多资料,如:生日,地区,学校,爱好==社工他时绝对用得到。
同时有一个聊天选项,点击,能得到 QQ
如果目标设置了隐私,别灰心。还有希望,注册一个 QQ,然后此 Q 加入目标所在学校班级,有时候默认是同班同学不隐藏的,而管理员审核很松的。

如果有了 QQ,你能做什么?除了社工意外,你可以看他开启的服务,特别是 SOSO 问问,==,能看到他的一些 ID 组合,有的甚至在提问里直接给出个人真实信息。具体细节,自由发挥。

腾讯在隐私方面做的很地道,就算出纰漏绝对是他的默认设置泄露的,而你没有去修改默认的设置。


回味依旧 , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明原文链接:社工利器:支付宝和百付宝及一些社交网站
喜欢 (0)
发表我的评论
取消评论

表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址