欢迎来到知识点栏目! 本章节的主题是:社交工程攻防,并嵌入了过往提供的相关知识列表,方便您的查找。进攻和防守是一码事,如果您能知道如何进攻,就能做到最有效的防守,反之亦然。
本系列的五个知识点是这样的:
有缺陷的代码和软件漏洞都不难修补,但是,社交工程欺诈是非常难以预防的,因为人性弱点无法修补。即使是最精明的人也可能被欺骗……那么该怎么办?《拯救人性的 Bug》
搏击俱乐部规定第一条:不要谈论搏击俱乐部!《击败骗局 - 9个防御技巧》
足迹可以向攻击者暴露形成组织安全状态的整体概况。攻击者通常通过哪些步骤来获得目标的情报《你的足迹非常危险》
很多噩梦只是由于你曾经在社交网络上说得太多了。这绝不是危言耸听。我们警告过政府当局如何利用社交媒体上人们下意识透露的信息针对性地进行间谍活动,于是您应该知道《哪些话你不应该在社交媒体上说》
搜索记录是很可怕的东西,你需要了解至少是《如何删除您的 Google 搜索记录》
*1
【拯救人性的 Bug】#SocialEngineering 您是否知道每天都有1000个犯罪分子在线瞄准你?虽然勒索软件攻击和数据安全漏洞往往成为大多数新闻的头条,但是,对于所有人来说,最常见的漏洞就是人类自己。
社交工程学欺诈利用了人性的弱点,使人们无法察觉到自己正在被心理操控。
社交工程学欺诈诱使您在手机上提供个人详细信息、在不知不觉中转移资产;利用您的员工/亲朋好友,并鼓励他们透露您最致命的私密相信;你的祖母也许正在被骗子诱使着付出一生的储蓄 ……
社交工程欺诈是骗子的头号必备技能。它利用了人类的紧迫感、心理脆弱性、损失厌恶冲动和对细节缺乏关注等各种人性弱点。
有缺陷的代码和软件漏洞都不难修补,但是,社交工程欺诈是非常难以预防的,因为人性弱点无法修补。即使是最精明的人也可能被欺骗。就像 Podesta 那样的人,曾为奥巴马政府撰写过关于网络安全的报告,但是他自己也遭受了损失惨重的钓鱼攻击。
你可能觉得自己很精明,我也这么觉得,但是我们都是人类,是人类就有天然的弱点,当我们情绪波动时这些弱点就会暴露出来,而社交工程的手段很大程度上就是激发我们的情绪波动。
目前已经有越来越多的政府当局利用社交工程伎俩,针对政治异议、反对派活动家和政敌。IYP以前的文章曾经多次介绍过这一问题。
我们该如何保护自己的财产和人身安全?
最简单的说法就是:研究历史。
社交工程骗局通常遵循特定的行为模式。无论是传销骗子还是试图访问您的计算机的政府特工,社交工程欺诈都有很长的历史,您可以从中学习到丰富的经验和教训。
伟大的埃菲尔铁塔诈骗
出生于匈牙利居住在美国的著名骗子维克多·卢斯蒂格(Victor Lustig)以卖掉埃菲尔铁塔(Eiffel Tower)的重大骗局而闻名。这么荒唐的事他是怎么做到的?根据美国特勤局特工 James Johnson 的回忆录,Lustig 于1925年夏天抵达巴黎,并立即开始筹备他最大的骗局。
首先他伪造了一份证书来证明自己的可信性,证书还弄上了法国政府的官方印章。然后,他将自己安排在一个富丽堂皇的酒店里,让自己看起来就像政府内部的官员。随后 Lustig 向废弃金属行业的领导人发出了邀请,邀请他们参加会议。
他告诉他们铁塔维护费用高昂,法国政府不想再继续修护,决定要拆除埃菲尔铁塔,7000吨钢材卖给他们,让他们分别报个价。
他向商人们保证,“卖掉这些材料能赚一大笔钱”之类的鬼话,然后故意神秘地告诉他们:政府不想让公众知道这件事。因为一旦民众听说心爱的埃菲尔铁塔要被拆除,定会引发轩然大波,故而必须保密。Lustig 以他高雅的举止和语言很快赢得了收购商的信任。
没有哪位宾客对他有所质疑。Lustig 更是懂得阿谀奉承之道,他解释,政府选择邀请了他们,是出于对他们声望的敬仰等等。说得让收购商们对此深信不疑。之后 Lustig 还邀请他们坐上敞篷小轿车去参观埃菲尔铁塔。
Lustig 向营业窗的工作人员展示了假的政府工作证,以便带着收购商们越过等待登塔的长长的队伍。这是至关重要的一刻,工作人员没有发现不妥并向他示意,让他和他的收购商队通过。
Lustig 故意让他们感觉铁塔的状况已经非常差,政府把它卖掉,是不可避免的。为了拿到这笔大单,他们争先恐后向这位“大人物”行贿。等到他们发现这是场骗局时,Lustig 早已不知去向。
擅自买卖国有财产是个不小的罪名,而且受骗的大商人们又碍于面子,所以他们既没有报警,也没有向报界披露。Lustig 在躲避了一段时间后,发现此事没有见诸报端,就重新潜回巴黎,如法炮制,居然把埃菲尔铁塔又卖了一次。可是这次对方报了警。Lustig 再次金蝉脱壳,逃到了美国。
这位国际著名骗子 Victor Lustig 有同样著名的“十诫”,我们在曾经的社交工程攻防演示中都有介绍,大致就是下面这样:
永远耐心地倾听对方诉说
永远生气勃勃
让对方先表明政治倾向,然后附和
让对方先表明宗教立场,然后附和
轻微地暗示性话题,但不要发挥,除非对方表现出强烈的兴趣
不要谈论任何疾病,除非对方特别关注
不要打听对方的私人情况,因为最终他自己会说
永远不要自吹自擂,自然明确地显示你的分量
永远衣冠整洁
永远不要喝醉
庞氏骗局
「庞兹骗局」称谓源自美国一名意大利移民查尔斯·庞兹(Charles Ponzi),他于1919年开始策划一个阴谋,成立一空壳公司骗人向这个事实上子虚乌有的企业投资,许诺投资者将在三个月内得到 40% 的利润回报,然后庞兹把新投资者的钱作为快速盈利付给最初投资的人,以诱使更多的人上当。由于前期投资的人回报丰厚,Ponzi 成功地在七个月内吸引了三万名投资者,这场阴谋持续了一年之久才被戳破。
Charles Ponzi 在1903年移民到美国,从事过各种工作,包括油漆工等粗工。他曾于加拿大因伪造文书罪入狱,在美国亚特兰大因人口贩卖而服刑。Ponzi 发现最快速赚钱的方法就是金融工具,于是从1919年起,Ponzi 隐瞒了自己的过去,并抵达麻州波士顿,设计了一个投资计划向当地人兜售。
投资计划为投资某样商品便可获得高额回报,但 Ponzi 刻意将计划化简为繁,让一般人难以摸清。1919年,第一次世界大战刚结束,世界经济体系混乱,Ponzi 便趁混乱放出消息。他宣称购买欧洲的某种邮政票券,再转卖回美国便可以赚钱。
国家之间由于政策和汇率等等因素,很多经济行为一般人难以得知实况。然而 Ponzi 宣称,所有的投资在45天之内都可以获得50%的回报,且他给最初的一批「投资者」于规定时间内拿到了承诺的回报,于是后面的「投资者」大量跟进。
在一年左右的时间里,差不多有四万多名波士顿市民变成庞氏的投资者,而且大部分是怀抱发财梦想的穷人,Ponzi 共收到约1500万美元的小额投资,平均每人「投资」几百美元,当时的Ponzi 被一些不明就里的美国人称为与哥伦布和马可尼(在当时被认为是无线电的发明者,但现在普遍认为是尼古拉·特斯拉发明的无线电)齐名的最伟大的三个意大利人之一。
Ponzi 买下有20个房间的别墅,买了100多套昂贵的西装,并配上专门的皮鞋,拥有数十根镶黄金的拐杖,还给他的情人购买了无数昂贵的首饰,连烟斗都镶嵌着钻石。当某个金融专家揭露庞氏的投资骗术时,Ponzi 还在报纸上发表文章反驳。
庞氏骗局的运作模式为参与者要先付一笔钱作为入会代价,这与一般的证券基金会社的会员并无区别,但在 Ponzi 骗局中,所赚的钱是来自其他新加入的参加者,而非公司本身透过业务所赚的钱,即所谓“拆东墙补西墙”。
投资者通过不断吸引新的投资者加入付钱,以支付上线投资者的投资与利润,初期通常在短时间内获得回报以利于推行,再逐渐拉长还款时间。
随着更多人加入,资金流入不足支出,当现金总量庞大时尚不足以崩溃,甚至也可以正常投资事业来持续运作,但直到骗局泡沫爆破时,最下线的大量投资者便会蒙受金钱损失。
银行工作
我们在关于<伪装>的演示中介绍过这个案子。Stanley Mark Rifkin 是加利福尼亚银行的计算机顾问。当地最大的银行里有一个电汇室,允许通过每日更改的授权码将钱从一个银行转移到另一个银行。
Rifkin 利用他作为顾问的职位,以检查故障为借口进入电汇室。他趁机记住了贴在墙上的授权码,他离开房间后打电话给银行,冒充该银行国际部门的员工。他要求将1000万美元转入离岸账户。
这是美国历史上最大的银行抢劫案。您可以通过上面链接看到完全的故事,以及我们对这一案件中关于身份伪装的分析 —— 此案之所以成功其中最强大的部分就是社交工程学的伪装。
当今的社交工程
今天的社交工程欺诈者已经完全采用了高科技现代化手段。商业电子邮件妥协(BEC)诈骗是他们最喜欢的骗取中小企业来之不易的现金的方法之一。根据诺顿的数据,平均每天有400家企业受到 BEC 诈骗的打击。
在 BEC 骗局中,诈骗者伪装成公司的首席执行官或医学博士,并要求紧急转移资金。通常情况下,电子邮件将附带一个无害的主题行,并将从一个伪造的地址发送给目标,该地址与真实地址之间可能只有一个字母的差异。
这封钓鱼邮件看似合法,但必需经过仔细调查才能了解它真正的目的。 2016年,奥地利航空航天公司 FACC 就遭到了 BEC 骗局,损失高达 4700 万美元。该公司迅速解雇了授权该交易的 CFO。
当然,也许所有社交工程骗局中最常见的是网络钓鱼骗局。攻击者模仿公司的品牌,以创建网站并发送看似来自合法来源的令人信服的电子邮件。这些电子邮件诈骗通常会欺骗用户点击链接,然后通过在狡猾的地方安装恶意软件,攻击者可以访问甚至完全控制目标的计算机。
让您的软件和安全程序保持最新是保护您免受恶意软件和社交工程攻击的第一步。对员工和组织成员进行安全教育也至关重要,尤其是渗透测试,将能够更好地发现你所处的团队是否存在安全漏洞。
应制定网络安全计划,以降低企业和组织面临的风险,并指出如果他们认为自己会遭到攻击可以采取哪些措施预先保护。
—— 我们将在后面的文章中详细介绍如何防御,并演示更多的常见攻击形式 ——
因为这一问题真的非常重要。社交工程伎俩正在被越来越多的政府当局用来打击异议人士、活动家和记者,详见一个简要的报道《大规模网络钓鱼、监视和在线攻击成为活动家不得不面对的危险》在中国,所有关心政治的人都应该非常注意。这就是为什么我们持续强调这件事。
以下是一个不完整列表,关于社交工程攻防技术知识 —— 请注意是“攻防”,而不是简单的防御,或者说,最好的防御是进攻……
未完待续……
反抗需要很多技巧,从在线到线下,从数字技术到心理学和社会学,掌握得越多您的行动就会越顺利和安全。最后,还是那句话:重在练习。
*2
【击败骗局 - 9个防御技巧】#SocialEngineering #Tech 我见过的社交工程中一个比较令人难忘的例子是这样,见视频:https://youtu.be/lc7scxvKQOo
在这段视频中,攻击者播放婴儿哭声的录音,同时打电话给手机公司,以便获得一个完全陌生的人的帐户。
因为她假装自己是陌生人的新婚妻子,带着一个哭闹的婴儿,整体伪装为匆忙而混乱,这是为刺激对方的同情心。结果,手机公司不仅允许她访问帐户上的电子邮件,而且还允许她更改该人的密码!
所以现在,那个受害人甚至无法访问自己的帐户。
有了这些信息,攻击者现在可以在线访问受害人的帐户并查看他所有的个人私密信息。
让我们面对现实,我们中大多数人都会在手机上保留一些非常私人的信息。攻击者可以访问目标人的照片、帐户信息、位置等等一切最致命的东西,这无疑是相当危险的。
渗透测试人员就是使用这些方法向易受害的目标个人或群体展示这些攻击的破坏程度。测试人员被这些群体和个人聘用,以测试通过社交工程攻击获取最致命信息的难度。
那么,抵抗那些真实的攻击有多难?社交工程攻击有数千种变化。
以下是一些简要的防止陷入社交工程陷阱的方法:大多数犯罪分子利用人类的善意、使用分心术、以及高超的伪装术,进行渗透。
9 种避免社交工程攻击的方法
1.)怀疑任何未经请求的消息或服务人员。
如果电子邮件/电话/人 看起来像是来自与您相关的公司,请仔细甄别。
使用搜索引擎转到真实公司的站点或电话目录以查找其电话号码。
如果一个不知名的人声称来自合法组织,请尝试直接与该公司核实他或她的身份。弄到一个假徽章或假身份证非常简单,所以,不要被“看起来”合法的人所欺骗。
如果是电子邮件,请谨慎点击其中的链接和附件 —— 这点似乎目前在中国普及的非常好。但是,如果您拒绝点击一切链接和附件,肯定会耽误正常的工作和交流。IYP 已经遇到了多次由于不敢点击链接而失去接受我们的服务的读者,这是很遗憾的。
事实上您完全可以随意点击任何链接,而不必担心被恶意伤害,我们介绍过这一方法,它操作起来很简单,详见《系统被攻击、用 Tor 被钓鱼、好奇害死猫,怎么办?- 把危险隔离出去》
2.)慢下来。
注意周围环境。诈骗者最希望的就是你先行动而后思考。
如果有人传达紧迫感、或使用高压销售策略,请持怀疑态度;永远不要让他们宣传的紧迫感影响你的仔细审查。
3.)拒绝帮助或提供帮助的请求。
合法的公司和组织一般不会主动与您联系以提供帮助。如果您没有特别要求发件人提供帮助,请考虑“帮助”的可靠性如何,比如房产再融资、回答问题、检查打印机、寻找白蚁等等,其中有可能隐藏欺诈行为。
同样,如果您收到与您没有关系的慈善机构或组织发送的帮助请求,请将其删除。
4.)删除或忽略任何关于财务信息或密码的请求。
如果您被要求回复包含个人信息的邮件,那就是骗局。
5.)不提供信息。
除非您确定某人拥有获知该信息的权限,否则请勿提供有关组织的个人信息,也包括组织结构或网络。即使是看起来非常平凡的信息也不一定那么简单,我们在攻防演示中进行过这类展示。详见上述列表中的文章。
另一个很好的例子就是当你打电话给银行(或其他重要组织)时,他们会问你:“你还住在****吗?不要回答这样的提问。
6.)在检查网站安全性之前,请勿通过互联网发送敏感信息。
注意网站的 URL!恶意网站可能看起来与合法网站相同,但网址可能会使用拼写或其他域名的变体(例如 .com与.net)。
⚠️我们曾经介绍过针对异议人士的邪恶攻击,其中就利用了变体 URL,详见《⚠️ 大型网络钓鱼攻击活动专门针对注重隐私的用户,成功绕过双因素身份验证》
7.)不要过在社交媒体上发送关于个人和组织的任何信息!
在社交媒体上分享过多信息很可能会使攻击者通过您的帖子猜测到密码、或提取个人或公司的机密信息。
如果你说的太多,就会给发送着提供更多的弹药。假设我能找到某人正在休产假的消息,我就可以制作各种其他细节,以使我的社交工程攻击看起来更合法。
所以,搏击俱乐部规定第一条:不要谈论搏击俱乐部!
8.)安装和维护防病毒软件、防火墙和电子邮件过滤器,以减少在线的部分流量。
使用安全产品非常重要!详见我们汇总的安全知识和技术《安全手册:这里是你需要的几乎所有安全上网工具》
9.)小心你的信任
人们天生就倾向于信任并乐于助人,人们很愿意相信你告诉他们的一切。这对人们来说很好,会很舒适,但是,当我意识到自己也是同样的方式时,我会感到害怕。我们需要善意待人,但也要努力甄别是否存在恶意。
这些提示适用于商业和个人生活领域。事实是,人们需要接受培训,因为人是任何安全应用中最薄弱的环节。
公司应该至少采用面向每个用户组(最终用户,IT员工,经理等)的双年度培训,以便每个人都能了解最新的攻击形式。毕竟,这些攻击并非针对“技术”员工,而是任何员工 —— 包括清洁工,因为垃圾中有重要的未被处理干净的有用信息,有些可以是致命的。攻击者明白最薄弱的环节是受教育程度最低的人。
员工也应该通过外部聚会(如BHIS的优秀测试人员)进行社交工程攻防测试。这些类型的测试有助于让员工保持警惕,能更好地避免商业和个人生活中的攻击。
IYP 提供的知识详见我们在上面文章中给出的列表。
*3
【你的足迹非常危险】#SocialEngineering 想想看,如果你正在挑选一所大学或者一家公司准备应聘,那么你现在要做的是什么呢?没错,搜索他们,充分地利用一切你可以找到的信息来了解那所大学或公司的状况。
充分了解 —— 事实上这就是攻击者首先要做的事,攻击者会尽可能搜集与你有关的一切信息,仔细分析这些信息,以便从中构建针对你最有效的攻击模式。
足迹可以向攻击者暴露形成组织安全状态的整体概况,如系统设计、network blocks 和网络上公开的信息等。攻击者通常通过以下一系列步骤获得目标的情报:
开源足迹 - 攻击者采取的第一步就是潜在目标的网站。然后,查找管理员的联系信息,这可能有助于猜测密码或进行社交工程攻击设计。
网络枚举 - 这是获取攻击者试图识别目标网络的域名和 network blocks 的信息的下一步。
扫描 - 一旦知道了 network blocks ,接下来就是监视目标网络上的活动 IP 地址。Internet 控制报文协议(ICMP)是识别活动IP地址的另一种选择。
搜索历史
在所有热门搜索引擎以及流行的社交网络平台上,每天都有数百万或数十亿的搜索。这些人究竟在寻找什么是我们关注的问题。有一些平台或工具可用于确定人们在这些搜索引擎上搜索的内容。
我们演示过浏览历史记录有多致命,详见《⚠️ 浏览历史记录曝光你的内心全景图:#OSINT 开源调查演示》
Pipl
当您访问 Pipl 时,您会发现这个搜索引擎不只是搜索这个web,而是搜索被称为隐形网络的区域。互联网上有一些隐藏的资源,普通搜索引擎因各种原因根本无法访问。其中一些包含个人信息,包含该信息的站点选择不被公共搜索引擎索引。
Pipl 则是不同的,因为它确实可以索引这些信息。
您可以添加的内容将决定搜索结果的准确程度。如果您只有一个名字,您可以获得有关该名字的任何人的任何信息;如果您可以添加更多内容,例如国家地区,则可以获得更具体的结果。所以,现在您知道实名制和诚实简介的可怕程度了?
Wink
Wink 使用常规搜索引擎以及社交社区、在线个人资料等搜索,您会发现重要的内容。Wink 只搜索已知信息,因此您输入的任何关键字必须是事实,例如您可以确定的生日或出生城市。
它不使用可能性。可能性只会混淆和限制您的结果。出于这个原因,Wink 对于那些了解他们想要找到的人的基本个人信息的攻击者特别有用。
—— Virtual box for hacking ——
这里是通过建立一个实验室来练习你的攻击技术的最简单、最快捷的方法,然后将它们带入现实世界,任何漏洞都可能是毁灭性的。
VMware Workstation 或 Box - 下载
练习攻击的最佳方式是在虚拟环境中。从本质上讲,您设置了一个黑客系统,如 Kali Linux,以及一些可以利用的受害者。理想情况下,您需要多个操作系统(Windows XP,Vista,7和8,以及 Linux / Unix)和应用程序,以便您可以尝试各种黑客攻击。
虚拟机和虚拟网络是建立黑客实验室的最佳和最安全的方式。有几种虚拟化系统,包括 Citrix,Oracle 的 Virtual Box,KVM,Microsoft 的 Virtual PC 和 Hyper-V,VMware 的工作站,VMware Box 和 ESXi。对于实验室环境,我强烈推荐 VMware 的工作站或 Box。
下载 Kali VMware Images —— 下载并安装虚拟化系统后,下一步是下载 Offensive Security 提供的 Kali VMware Images,您不必创建虚拟机,只需从 Workstation 或 Box 运行即可 - 这意味着一旦您下载了 Kali 的 VM,您就可以在 Workstation 或 Box 中使用它,而无需实际安装新的操作系统。
使用 VMware 打开 —— 解压缩所有文件后,下一步就是打开这个新虚拟机。记下解压缩虚拟机映像的位置。然后,转到 VMware Workstation 或 Box,然后转到文件>创建新计算机>分配RAM和HDD空间>选择 ISO 文件并在 VMware 中安装新操作系统。
下载并安装目标 —— 下一步,您需要下载并安装目标系统。当然,您可以使用主机 Windows 7或8系统,但由于这是练习,您可能希望使用较旧的,更容易破解的系统。此外,黑入您的系统可能会使其不稳定和损坏。
我建议安装 Windows XP,Vista,Server 2003 或旧版 Linux。这些系统有许多已知的安全漏洞,您可以用来练习,然后当您熟练掌握黑客攻击时,您就可以升级到 Windows 7和8以及更新版本的 Linux。
如果您或您的朋友没有这些旧操作系统的副本,您可以在互联网上的许多地方以非常便宜的价格购买它们。当然,您也可以在许多 torrent 网站上免费获得这些操作系统,但请注意..您可能不仅仅是下载了操作系统。很多时候,这些免费下载包括在您打开文件时嵌入系统的 rootkit。
下载旧应用程序 —— 一旦安装了操作系统,通常需要在这些旧版本的 Windows 和 Linux 操作系统上运行应用程序。您可能需要浏览器,Office,Adobe 产品等。这些旧产品具有众所周知的安全漏洞,您可以磨练自己的技能。
Facebook 是世界上最大的社交网络之一,每天在这个平台上有数亿人活动,使用 Facebook 作为一个非常有用的在线人物搜索工具是有道理的。
这个平台被世界上数十亿人使用,但只有少数人知道如何使用它。 你甚至可以通过它监视人们,找到作为艺术家、歌手、专业人士等职业的人,并带着你的目的联系他们。
Peekyou
PeekYou 是个很棒的体验,它允许您搜索各种社交网络中的用户名。 PeekYou 认为自己是“最聪明人的在线搜索”。这是一个将来自世界各地的人们聚集在一起的网站。任何拥有 PeekYou profile 的人都可以帮助其他人找到他们的网站、照片、社交网页或他们在线提供过的任何其他联系信息。
LinkedIn 是完全免费的,虽然它们有专业版,可以为您提供更多功能,比如可以看到曾经检查过您的个人资料的所有人,免费版本只显示最近的五个。但通常,如果您刚刚开始,免费版本就是您的最佳选择。如果你知道如何定位人们,LinkedIn可以成为你的金矿。
我们强调过在线简历有多可怕,最近有两亿中国人的简历在网上被泄漏,详见《别在网上找工作》;此外我们还演示过如何仅仅通过 Linkedin 开源信息挖掘政治旋转门,详见《深层政治:Facebook金字塔的人形肌理》,因为它真的非常有用。
请注意这不是在培养攻击者!因为只有您了解如何攻击,才能真正了解如何防御。所以,我们真的建议您体验一把做坏蛋的感觉。
*4
Things You Should Never Post On Social Media: The goal is to make a hacker’s job difficult. Don’t post things on social media that are sensitive or lead to sensitive data!
【你不应该在社交媒体上说的话】很多噩梦只是由于你曾经在社交网络上说得太多了。这绝不是危言耸听。我们警告过政府当局如何利用社交媒体上人们下意识透露的信息针对性地进行间谍活动,详见《社交媒体情报》,于是,现在梳理一下:你确实不应该在社交媒体上说的话。
有关您的一切细节信息,您都不应该在社交媒体或其他任何其他网站上发布。
Instagram,Facebook,Snapchat 和 Twitter 等社交媒体网站经常以提高帐户安全性为幌子邀请你提供更多信息。如果您忘记登录凭据,该信息可用于恢复您的社交媒体帐户(比如苹果ID的问答:您出生在哪个城市等等)。 Facebook 要求用户使用他们的平台的最低年龄,声称为了阻止不合适的内容而要求您透露自己的年龄。
但是,提供此类个人信息确实存在危险,特别是在与您生活的宏伟计划无关的社交媒体网站上。从社交媒体上要求提供的大部分信息都被用作从信用卡到股票交易账户等等各种常见密码重置问题。
于是社交媒体是社交工程攻击的最常见入口。攻击者收集有关受害者或一组受害者的信息 - 比如所有公司员工 - 并建立一个关于他们的信息数据库。目标可能是攻破整个团体或其中某些关键个人。通常,社交工程攻击用于获取关于公司中某个高级别人员的足够个人信息,就可以获取大笔金钱或公司的致命机密。
出生日期 ——
您的出生日期永远不要在社交媒体上发布!有些网站要求提供出生日期,那就说谎吧!我有一个标准的假生日,我在所有非必要的网站上使用它。这意味着除非需要知道我的真实生日,比如我的护照续签,此外一概输入假生日。
顺便再提一句我们介绍过的在线身份伪装《伪装+擦除 — — 在线隐身的重要步骤(少数派玩家)》
记住!输入您的真实生日并更改隐私设置仅对您自己可见是不够的!黑客完全可以获得这些数据。
出生日期是黑客打开欺诈性银行账户、侵入您当前的财务信息、以及进行其他身份盗用所需的重要信息。就数据盗窃而言,出生日期对应名字就如金条一般。
你出生的城市 ——
再一次,你出生的城市是一个常见的密码重置问题;这也是 Facebook 用户喜欢在他们的个人资料上自动显示的东西,这是真的非常傻。
从银行户头到贷款人的所有都使用您的家乡来识别个人。如果您申请信用卡并且银行向您询问一些个人问题,您就会看到“之前住过的地方”这样的问题出现在其中。虽然您无法将其从信用报告中删除,但是,请不要将其提供给每个人都可以看到它的社交媒体网站。攻击者可以使用它以您的名义开立帐户。
如果您公开说出了您出生的日期和城市,攻击者就可以使用这些信息来破解您的社会安全号、身份证号。您应该知道社会安全号的第一个数字与你出生的地方有关。这些关键证件号可用于完全的身份盗用。
当你在度假时请注意 ——
很多人都喜欢在线分享度假照片。但是,当你不在家时,千万不要这样做!如果您在自己的个人资料中发布家乡并在社交媒体上分享度假照片,窃贼就可以使用它来了解何时是您闯入家中的好时机。
分享您的家庭住址不仅可以为身份窃贼提供重要的拼图,还可以让窃贼找到您的家。
真的太想分享照片的话,等旅行回来到家后再分享。
宠物的名字 ——
你最喜欢的宠物的名字是什么?这个问题听起来很熟悉吗?肯定的。这是另一个常见的密码重置问题。我不是故意避免在 Instagram 上张贴可爱的小狗照片。从另一个角度看这个问题。
当被问及您最喜欢的宠物名字作为密码重置问题时,请使用您孩子的宠物或其他动物的名字 - 例如您最喜欢的马。不要让黑客很容易收集到有关您的信息。
您驾驶执照上的照片 ——
不要在线发布许可证、驾驶执照或护照上使用的照片!这是另一个信息宝库。如果黑客可以将名字与作为数据金矿的照片相匹配,添加地址和出生日期,这就是完全成熟的身份盗窃。
如果你的孩子决定张贴他们的学生证在社交网络,就等于给攻击者交上了老底。借此可以实现各种惊奇的社交工程攻击。
银行信息 ——
也许这点不需要多说?但是也不一定,有些人一高兴就什么都忘了,拼命想要马上晒出来,比如闪亮的新信用卡的照片,你能在网上看到一大堆。这是非常危险的。
其他常见的密码重置问题包括你结婚的地方、你父亲的名字、你母亲的婚前姓等等。很多这些都可以从公共记录中获得,但这可能需要更多的挖掘才能找到答案。
我们能见到的99%被当局追踪迫害的异议人士都是由于在社交媒体上放了太多个人信息。不仅政府和警察,任何恶意者都可以因此瞄准你。
你的目标是让攻击者的工作变得足够困难。所以,不要在敏感的或诱使敏感数据的社交媒体上发布这些内容!
如果你还关心政治类的信息,就需要做到这样:《使用社交媒体时你必须注意什么? — — 🔐 更安全的抵抗》
*5
How to Delete Your Google Search History? Remember, this is not the complete way to wipe out all traces of what you've been doing online.
【如何删除您的 Google 搜索记录】我们在前面讲述了搜索记录有多可怕。
Google 会跨多个应用和服务跟踪您的搜索活动。谷歌拥有多个互联网资产,如 YouTube,谷歌地图,Chrome 网络浏览器,谷歌 Play 商店等。所有这些都用于跟踪用户活动。
收集的数据就是 Google 的主要收入来源,因为广告客户会使用您的数据。Google 通过收集有关个人的数据并将这些信息出售给广告商来赚钱。还包括其他莫名其妙的数据中间商,你根本不知道是谁的家伙。
您的“搜索活动”就是您在任何 Google 产品中输入的字词和词组,用于在网络上查找内容。即使您使用谷歌地图,您的搜索历史记录 例如 您搜索或访问过的所有餐馆,都会被 Google 跟踪到。详见我们仅仅使用历史记录实现的侵入性挖掘《浏览历史记录曝光你的内心全景图》
用户可以控制和删除搜索活动。如果您不希望使用您设备的其他人看到您在网络搜寻内容,那么您需要清理搜索记录。
请记住,此信息在所有已登录的设备中共享。
这意味着,如果您通过智能手机在Google.com上搜索了某些内容并在其他位置登录到同一个 Google 帐户,这些历史就会显示在其他设备上。例如,同样登录到同一 Google 帐户的家庭计算机也包含相同的搜索记录。它是实时的。
如何查看我过去的网页搜索记录?
要查看过去的搜索活动,请在网络浏览器中访问https://myactivity.google.com/privacyadvisor/search。
您不必使用 Chrome,但如果您想查看和管理 Google 搜索记录,则必须登录 Google。虽然我几乎只使用 Firefox,而 Chrome 则用于编程工作,但我的活动也是被 Google 记录的。
即便您没有登录 Google 帐户,您仍然会向 Google 提供数据,但您无法控制它。当您登录 Google 帐户(Gmail,YouTube,Google Analytics或其他帐户)时,您可以从浏览器中删除搜索记录。
如果您还没有登录 Google 帐户,请访问https://myactivity.google.com/privacyadvisor/search。从那里,您只能查看自己的 Google 活动 - 即在Google.com和上述其他媒体资源上的搜索。要查看仅限 Google 的活动,请选择“仅限 Google”。如果您想查看所有搜索活动(Google 正在监控并保存的东西),请选择左侧按钮选择“所有搜索活动”。
要删除所有搜索记录,请从活动页面开始,然后点击删除搜索活动按钮。您可以选择全部擦除或仅删除搜索历史记录的最后一小时。
这会删除您的活动数据,例如您搜索的字词以及您选择的链接。
请记住,这并不是消除您的在线行为所有痕迹的完整方式。要真正清理它,您必须确保清理所有Internet 临时文件。如果您登录网站进行购买或查看某些内容,那么该登录历史记录也会与您保存的密码一起保存在用户名下的 Windows 系统文件中。您还需要删除Google 时间线并调整隐私设置。
谷歌是个强大的数据黑洞,对于社交工程攻击者来说非常重要,最简单的详见《高级运算符辅助开源调查:巧用搜索引擎挖掘情报 #OSINT》,如果您是一位不想被抓住把柄的社交工程师或开源调查研究人士,那么最好使用单独的账户、单独设备,并及时清理足迹。⚫️
感谢帮助 iYouPort!
PayPal 捐赠渠道已开通 https://paypal.me/iyouport