“开盒”的艺术：黑客是如何人肉到我的？

車馬行拟

本文仅提供学习，切勿进行违法犯罪活动

前言

20年年初，随着新冠疫情的肆虐，线下真人pk得到限制，于是，网络上的pk成了打击键盘侠的方法。其中无论是恶意封号还是网络攻击都是非常热门的，但也有一个“新星”在悄然升起，它就是“开盒”。
什么是开盒？

通俗来讲就是人肉搜索。即通过一定的手段对一些特定人员进行信息探索，开盒，顾名思义，在网络上的我们都是一个个盲盒，而被人肉时，则称之为开盒。
开盒有什么用处？

开盒常常被用于线上pk，对键盘侠的一些威胁，进行一些网络诈骗或者进行精准推销等等
当然，也有一些用于追老赖、打击骗子或者找小三等等
开盒的手段

对于开盒，很多人更好奇：这玩意怎么开？我的个人信息藏得这么好，怎么可能被开盒？开盒有哪些手段？
别急，接下来将会一一讲解
集体性信息泄露

1.寻找“受害者”
从搜索引擎上面获取了解一些企业的经营性质，收集一些必要的信息，根据收集到的信息探索可能存在的漏洞，然后展开攻击。
其中攻击的手段主要为利用xss获取用户信息（一般为存储型xss）、水平越权获取用户信息、爆破API或者账号密码。当然也有通过入侵后台上传shell的攻击手段，这个可以说众所周知。
一般小型公司比较容易遭受攻击，不过大型企业也有遭受攻击的可能
这种恶意获取信息的手段可以说危害非常大，新闻报道的数据泄露事件基本上都是企业所泄露出来的。
企业类型一般为商业型，当然也有公益型企业，甚至是国企也可能遭受攻击。
2.数据恶意爬取
这种方式主要的受害者是政府机关或者教育机构，学校、老人活动中心、股票网站等等
这些组织、机关的敏感数据处理做的比较差，所以很容易有敏感数据泄露、接口爆破等
一般情况下都是利用爬虫对数据进行爬取，然后整合
而且泄露的数据多种多样，例如学校或者教育机构会泄露学生的ID、账号、绑定信息、学籍号等等
政府一些网站在验证本人比较差的时候，也会被人恶意利用
有些时候不需要爬虫进行爬取，只需要利用谷歌语法即可获取一些敏感数据，然后张开扩展。
被爬取的这些信息，被称为料子
3.内部人员泄露、工作人员泄露
工作人员泄露和内部人员泄露也是网络信息泄露的一大难题。即使有权限限制，也阻挡不了发财的梦想。
一个月工资才多少？七八千都不够挥霍，但是一条数据卖多少？可能卖几天就能抵我一个月工资。
于是抱着这种思想，不少人员会把自己的企业管理账号（内网账号）租借给黑产从业者，用以牟利。当然还有不少人员通过技术手段，用垂直越权的方式来进行权限提升，从而获取料子。
工作人员泄露的包括一些内部结构图、快递信息、内部重要资料存放位置等等
当然还有部分银行、电信企业、酒店等等
这也就是为什么能查开房和银行卡的原因了
就类似于在电影上看的一样，在抢劫之前先掌握银行内部情报
这些情报也可以给卑微的工作人员带来不少的收入，但风险也很大。我国也有专门的法律来限制工作人员对信息的泄露。
除此之外，一些商家也会故意留下消费者的信息，然后进行牟利
所以说，赚钱的道，都在刑法里
4.网贷、网赌的恶意贩卖
这个不用说，基本上贷了就等于卖了自己
5.钓鱼网站恶意收集
有一些钓鱼网站通过伪装成官方的登录接口，从而进行信息收集
一般是伪装成国家某某银行、国家某某机关来对用户进行诈骗
然后将收集到的信息进行贩卖
一般情况下是2-10元每条
6.问卷、调查恶意收集
路边那些叫你签个名、扫个码就能领取红包的，基本上都是收集信息的
还有一些餐厅让你评价菜品也是一样
7.通过系统漏洞对个人进行入侵
像之前一些网站经常提到的win7的永恒之蓝漏洞
一些交换机、路由器的漏洞、手机的、电脑的漏洞
都可以被利用
不过这些大多数被利用成为肉鸡
进行DDoS攻击
推荐解决办法：多打补丁
看到了，有人会问：那这些攻击我们普通人也防御不了啊？说这么多有什么用？
别急，接下来所讲述到的，便是精准的人肉搜索（没有涉及手段方法，只有科普）
社会工程学

社会工程学在各种领域的叫法不一样，有些地方沟通技巧，有些地方叫PUA，还有些地方叫厚黑，但归根结底都是在说同一种东西。
社会工程学到底有厉害?网络上的例子可以说数不胜数
具体它是怎么运营的呢？

• QQ、微信社交圈子
  
• 微博帖子
  
• 搜索引擎关键词
  
• 购物软件圈子
  
• 贴吧留记录
  
• 天眼查
  
• reg007
  
• 密码找回
  
• 手机号穷举
  
• 垃圾堆里翻信息
  
• 伪装欺骗企业客服
  
• 短信威胁钓鱼
  
• 利用一些技巧进行欺诈
  
• 利用心理学进行攻击
  
• 黑暗搜索引擎
  
• 求职信息爬取
  
• 网站whios查询
  
• 利用软件登录找回接口查询
  
• 伪装利用朋友欺诈
  
• 伪装公职人员欺诈
  
• 利用数学物理进行定位
  
• 利用嗅探、伪基站手段进行攻击
  
• 邮箱、网站、短信钓鱼
  

等等
这基本上就是我们普通人可以防御的一些攻击，具体是怎么防御呢？
基本上就是那几句老话：多打补丁，不要相信陌生人，不要乱点链接，不要相信天上掉馅饼
最后补上一句：不要把朋友圈给陌生人看！！！
<hr/>结尾

看到这里，可能有些人会感叹当今社会信息泄露的严重，同时也好奇自己的个人信息有没有泄露？
非常好，为了感谢你能阅读到本文，且阅读到了结尾的地方。一定得给各位一些福利
如果你担心自己的个人信息泄露的话且自己不知道怎么检验，可以来私聊找我，我会帮你进行一定的安全检验，并且给你制定一定的解决办法。防止日后更严重的信息泄露问题。

尚微

该账户处于禁言状态???[惊喜][惊喜][惊喜]

静心阁听雨轩

直接晶哥不就好了[酷]

老史

要是国外呢[思考]
原神up被盒讹诈时代（考古？）

随便说书

怎么搞的途径，为什么感觉每个人都会，唯独警察不会

哈哈俺也一样

重要的是少在安全性较低，或者已经遭受大规模脱库的平台引起他人注意，更不要让他人将你的各种平台关联串起来，很多b站之类的平台被开盒的根本原因是因为关联被他人找到，如同id，或者历史发言中留下了带有自己电话或qq的邮箱。这些东西通过某些库的模糊检索可能会检索到与其他泄露的数据，单个数据不可怕，但是当各领域数据达到一定规模并被汇总起来的时候才是可怕的。开盒是一条死路，带来的窥探瘾等很让人愧疚，如果陷的更深一点你会就理解，保护他人信息是更难的，信息泄露是不可逆的，这是很不幸的。

奋斗中的男人

错误的，晶哥里的内鬼就是最原始的信息流出管道[潜水]

力武徐明

最大的社库，就是警察的数据库

新闻调查

现在私人信息早就被卖得渣都不剩了。

海中水

我昨天被饭圈女孩追着骂了63条，就因为我说了一句“这都这么明显了，你理解能力有些差”，直接四个号（不知道是不是一个人）在我说说下面乱彪，每一个下面都又十来条，比过去的大妈们脏话还猛，我直接拉黑了，本来我想骂回去，但我又怕这群人开盒我，骚扰我和我身边人，我父母手机玩的不咋地，真那么搞了他们肯定防不胜防。
所以我现在赶紧来查查怎么防范。我的私人电话不知道卖过多少次了，有点担心。哎，饭圈女孩真是恐怖啊，太猛了，我要是就自己一个人了，我直接回怼了。[发呆]
我在快看漫画遇到的。[流泪]