江湖黑道中,黑客技术、海盗精神,继续被追捧,虚浮的商业模式永远不如深度技术被重视,“铁甲依旧在”的情怀还在回荡,而地下产业链相关的进步也在不断的深入,并且潜伏起来暗自发展,为了更大的目标和黑暗梦想。
今天的主角是:社工库。
****什么是社工库?****
社工库是社会工程学数据库的简称(Social Engineering Data)。
提到社工库就必须先介绍一下社会工程学(Social Engineering),这个名词最早是在2002年由传奇黑客米特尼克(Kevin David Mitnick)在提出,但其初始目的是让全球的网民们能够懂得网络安全,提高警惕,防止没必要的个人损失。由于米特尼克在黑客界的传奇地位,很快社会工程学就开始被深入研究并且发扬光大。
社会工程学,准确来说是一门艺术和窍门的集合。它利用人性的弱点、心理的缺陷,以顺从意愿、满足欲望的方式,让人们上当,或以此为入口进行攻击。社会工程学的窍门也蕴涵了各式各样的灵活的构思与变化因素,利用人的弱点如人的本能反应、好奇心、信任、贪便宜等弱点进行攻击。它集合了心理学、社会心理学、组织行为学等一系列的学科,由于其非法性和在很多国家地区都被严厉的打击,社会工程学也变成了一个见不得光的学派。
但是在黑客群体中,社会工程学就是他们的第一方法论和必修课。离开了社会工程学,黑客们运用的网络技术几乎都没有用武之地。如果我们用黑客最喜欢的海盗来比喻,各种网络技术可以比作航海、游泳、剑术、而社会工程学即是海盗们的行为准则和创新指引。
那么什么是社会工程学数据库(社工库)呢?即黑客在运用社会工程学进行攻击的时候,积累的各方面数据的结构化数据库。简单的说,社工库是黑客用来记录攻击手段和方法的数据库,这个数据库里面有大量的信息,甚至可以找到每个人各种行为记录(每个人在每个网站上的账号、密码、分享的照片、信用卡记录、订的机票记录、通话记录、短信内容、各种社交软件的聊天等等包罗万象),比如之前有很火爆的查询开房记录的数据库,就是一个典型的极简单的社工库的例子。
社工库真实存在
社工库是真实存在。
并且其恐怖指数远超于你我的想象……
2000万开房数据也就算了,银行流水都能查出来,而且现在交叉推算,普通人的密码对拥有庞大数据库的人来说视若无物。
圈子里有人一直在做网络信息安全方面的事情,有一个怪癖的大神(姑且称之为X)连续十年在完善他的社工库,目前已经有6亿条200多个G的数据,包括姓名、身份证、卡号、密码、住址、联系电话。而我通过和他聊天还知道,还有比他更厉害的大神,社工库比他更完善的大神,收集了差不多中国10亿人口的数据。
我试着在X的社工库搜索自己常用的账号,天涯、QQ、电玩巴士、网易邮箱的密码全部已经被破解成明文在他的社工库里面。然后他告诉我如果他想拿到一个人的账号,比如百度账号,他只需要搜索出这个人的相关资料,然后通过密保问题、找回密码等申诉,因为他的资料准确性很高,所以只要弄,基本上都能获得密码。
是不是细思极恐……
最最关键的是:这些拥有社工库的人数据都存放在国外的服务器上,在国内是无服务器、无备份、无纸化、无U盘,就算警察查水表,也并没有什么卵用,甚至说,实名举报,都无法获得有力的证据。
社工库离我们有多近?
拿我们每天都使用的腾讯举例吧。
我们知道的腾讯公司的产品以即时通讯IM起家,那么已知的有名的人物QQ如下:
马化腾 QQ:10001 腾讯总裁CEO
张志东 QQ:10002 技术总监CTO
曾李青 QQ:10003 高级执行副总裁
由于QQ群的数据库已于2013年底被脱裤,QQ群的社工库里面收录了2013年以前的所有群成员、QQ号、QQ昵称、QQ群关系的数据。
所以呢,我们试着查询一下CEO马化腾的QQ群信息:
没错,我们可以清晰地看到,马化腾截止到2013年年底,参与或拥有过的QQ关系群,而且能从群数据里准确地看到其他群成员的QQ号和昵称资料。
社工库里连马化腾的密码都收录了,你以为你的密码有多安全吗??
这次事件的主角
没多久,网易又再次被爆出了数据库,这已经不是网易第一次被爆了,163邮箱,126邮箱接连被破。
大家肯定有使用过苹果手机的,有人使用了163邮箱作为apple id的注册邮箱。本以为有了牛X的苹果id保护,可以使自己的手机能最大限度地处于自己掌控,但是却没有想到自己的163邮箱却掌握在别人的手中。于是产生了这样的一个行业,他们远程锁定你的iPhone,让你添加QQ多少多少来解锁。这样的事情不在少数。
也有人使用163邮箱来绑定支付宝,绑定微博,绑定淘宝,一旦黑客拿到你的163邮箱,接下来会发生什么,你很难预料到。
图为笔者随意抽取的一条数据,你的微博,百度,淘宝账号还真的属于你自己么?
对于这次数据库的新旧程度也有了证明:
第二个主角就是集合了全国广大学生数据的-学信网。
每当考研季开始的时候,就会有很多考生收到一些垃圾短信,推销答案的,推销资料的等等。你们有没有想过这些骗子是如何精准的联系到你,向你推向相关的产品?
恐怕一部分来源是学校的数据信息系统,更大一部分是来源于学信网。在这个网站你可以查询到学生整个教育历程,学籍信息,身份信息。有了这些,黑客可以做什么?
恐怕玩法很多了吧。
尾巴
写到这里,只是为大家科普一下,这是个裸奔的时代,11年泄露的库都有几亿了,当当网泄露的邮箱,姓名,住址,电话简直让人细思恐极。在这个混乱的互联网我们应该如何保护自己的数据安全,切忌一个密码通吃这样的事情发生。这样才能在数据库频繁被拖库的时候,把自己的损失降到最低。
备注:
[1] QQ群关系查询链接: https://qqgroup.insight-labs.org/
[2] 网易52G数据库查询链接:https://163password.download/
请合理使用以上链接
完整数据(网易+学信网)已经发布
仅供测试