从一个已知的线索搜索起
搜到 email
获得目标的邮箱后,要深刻挖掘其延伸信息。
大家都会的基础技能——搜索引擎
把 email 放进去,得出结果。
但仅仅如此是不够的,如果搜索不出结果难道就放弃吗?
其实,还是有很多可以挖掘的信息的。
做信息收集就跟做侦探一下,不放过一丝一毫的线索,通过线索挖掘真相。
或者目标姓名:
方法 1:
把 email 放到校内网,如果注册,默认情况下可以搜索出对应的数据。
同样的方法在开心网等同类社交网站存在。不做重复叙述,请自行发掘。
方法 2:
登录 www.alipay.com,输入账号,随便写一个密码,提示不存在,就换方法。提示密码错误,则:
登录一个支付宝,进入付款,然后填入对方 EMAIL,付款。
对方名字出来了。
同样的方法在百度的百付宝有效。
综合以上方法我们还能做什么
通过搜索找到他的百度账号,则百付宝得知姓名,同类漏洞可能在其他支付系统存在未全部测试,大家自由发挥。
用姓名在校内,开心,甚至各种校友网上进一步锁定地区,或生日等信息得知地区后,百度或谷歌搜索关键词简历地名人名,则可能有目标信息(或用其他线索搜索),请用其他已知信息区匹配。
又或者你猜对了他的 EMAIL 密码(通过密码提示问题,163 之类的生日问题可以通过前期的社交网站收集)
进入后看到支付宝信息,则登录支付宝,能看到他的电话,地址===信息。什么?密码错误?你可以发送一封改密码的邮件啊!
假设你知道目标的真实姓名,你可以登录 QQ 校友,输入姓名,通过年龄,或地区,或其他已知信息区筛选,得出的结果里面查看,如果没有隐藏隐私的话,你可以看到很多资料,如:生日,地区,学校,爱好==社工他时绝对用得到。
同时有一个聊天选项,点击,能得到 QQ
如果目标设置了隐私,别灰心。还有希望,注册一个 QQ,然后此 Q 加入目标所在学校班级,有时候默认是同班同学不隐藏的,而管理员审核很松的。
如果有了 QQ,你能做什么?除了社工意外,你可以看他开启的服务,特别是 SOSO 问问,==,能看到他的一些 ID 组合,有的甚至在提问里直接给出个人真实信息。具体细节,自由发挥。
腾讯在隐私方面做的很地道,就算出纰漏绝对是他的默认设置泄露的,而你没有去修改默认的设置。