玩玩乐

 找回密码
 立即注册
查看: 93|回复: 20

“开盒”的艺术:黑客是如何人肉到我的?

[复制链接]

3

主题

5

帖子

10

积分

新手上路

Rank: 1

积分
10
发表于 2023-6-2 16:07:27 | 显示全部楼层 |阅读模式
本文仅提供学习,切勿进行违法犯罪活动

前言

20年年初,随着新冠疫情的肆虐,线下真人pk得到限制,于是,网络上的pk成了打击键盘侠的方法。其中无论是恶意封号还是网络攻击都是非常热门的,但也有一个“新星”在悄然升起,它就是“开盒”。
什么是开盒?

通俗来讲就是人肉搜索。即通过一定的手段对一些特定人员进行信息探索,开盒,顾名思义,在网络上的我们都是一个个盲盒,而被人肉时,则称之为开盒。
开盒有什么用处?

开盒常常被用于线上pk,对键盘侠的一些威胁,进行一些网络诈骗或者进行精准推销等等
当然,也有一些用于追老赖、打击骗子或者找小三等等
开盒的手段

对于开盒,很多人更好奇:这玩意怎么开?我的个人信息藏得这么好,怎么可能被开盒?开盒有哪些手段?
别急,接下来将会一一讲解
集体性信息泄露

1.寻找“受害者”
从搜索引擎上面获取了解一些企业的经营性质,收集一些必要的信息,根据收集到的信息探索可能存在的漏洞,然后展开攻击。
其中攻击的手段主要为利用xss获取用户信息(一般为存储型xss)、水平越权获取用户信息、爆破API或者账号密码。当然也有通过入侵后台上传shell的攻击手段,这个可以说众所周知。
一般小型公司比较容易遭受攻击,不过大型企业也有遭受攻击的可能
这种恶意获取信息的手段可以说危害非常大,新闻报道的数据泄露事件基本上都是企业所泄露出来的。
企业类型一般为商业型,当然也有公益型企业,甚至是国企也可能遭受攻击。
2.数据恶意爬取
这种方式主要的受害者是政府机关或者教育机构,学校、老人活动中心、股票网站等等
这些组织、机关的敏感数据处理做的比较差,所以很容易有敏感数据泄露、接口爆破等
一般情况下都是利用爬虫对数据进行爬取,然后整合
而且泄露的数据多种多样,例如学校或者教育机构会泄露学生的ID、账号、绑定信息、学籍号等等
政府一些网站在验证本人比较差的时候,也会被人恶意利用
有些时候不需要爬虫进行爬取,只需要利用谷歌语法即可获取一些敏感数据,然后张开扩展。
被爬取的这些信息,被称为料子
3.内部人员泄露、工作人员泄露
工作人员泄露和内部人员泄露也是网络信息泄露的一大难题。即使有权限限制,也阻挡不了发财的梦想。
一个月工资才多少?七八千都不够挥霍,但是一条数据卖多少?可能卖几天就能抵我一个月工资。
于是抱着这种思想,不少人员会把自己的企业管理账号(内网账号)租借给黑产从业者,用以牟利。当然还有不少人员通过技术手段,用垂直越权的方式来进行权限提升,从而获取料子。
工作人员泄露的包括一些内部结构图、快递信息、内部重要资料存放位置等等
当然还有部分银行、电信企业、酒店等等
这也就是为什么能查开房和银行卡的原因了
就类似于在电影上看的一样,在抢劫之前先掌握银行内部情报
这些情报也可以给卑微的工作人员带来不少的收入,但风险也很大。我国也有专门的法律来限制工作人员对信息的泄露。
除此之外,一些商家也会故意留下消费者的信息,然后进行牟利
所以说,赚钱的道,都在刑法里
4.网贷、网赌的恶意贩卖
这个不用说,基本上贷了就等于卖了自己
5.钓鱼网站恶意收集
有一些钓鱼网站通过伪装成官方的登录接口,从而进行信息收集
一般是伪装成国家某某银行、国家某某机关来对用户进行诈骗
然后将收集到的信息进行贩卖
一般情况下是2-10元每条
6.问卷、调查恶意收集
路边那些叫你签个名、扫个码就能领取红包的,基本上都是收集信息的
还有一些餐厅让你评价菜品也是一样
7.通过系统漏洞对个人进行入侵
像之前一些网站经常提到的win7的永恒之蓝漏洞
一些交换机、路由器的漏洞、手机的、电脑的漏洞
都可以被利用
不过这些大多数被利用成为肉鸡
进行DDoS攻击
推荐解决办法:多打补丁
看到了,有人会问:那这些攻击我们普通人也防御不了啊?说这么多有什么用?
别急,接下来所讲述到的,便是精准的人肉搜索(没有涉及手段方法,只有科普)
社会工程学

社会工程学在各种领域的叫法不一样,有些地方沟通技巧,有些地方叫PUA,还有些地方叫厚黑,但归根结底都是在说同一种东西。
社会工程学到底有厉害?网络上的例子可以说数不胜数
具体它是怎么运营的呢?

  • QQ、微信社交圈子
  • 微博帖子
  • 搜索引擎关键词
  • 购物软件圈子
  • 贴吧留记录
  • 天眼查
  • reg007
  • 密码找回
  • 手机号穷举
  • 垃圾堆里翻信息
  • 伪装欺骗企业客服
  • 短信威胁钓鱼
  • 利用一些技巧进行欺诈
  • 利用心理学进行攻击
  • 黑暗搜索引擎
  • 求职信息爬取
  • 网站whios查询
  • 利用软件登录找回接口查询
  • 伪装利用朋友欺诈
  • 伪装公职人员欺诈
  • 利用数学物理进行定位
  • 利用嗅探、伪基站手段进行攻击
  • 邮箱、网站、短信钓鱼
等等
这基本上就是我们普通人可以防御的一些攻击,具体是怎么防御呢?
基本上就是那几句老话:多打补丁,不要相信陌生人,不要乱点链接,不要相信天上掉馅饼
最后补上一句:不要把朋友圈给陌生人看!!!
<hr/>结尾

看到这里,可能有些人会感叹当今社会信息泄露的严重,同时也好奇自己的个人信息有没有泄露?
非常好,为了感谢你能阅读到本文,且阅读到了结尾的地方。一定得给各位一些福利
如果你担心自己的个人信息泄露的话且自己不知道怎么检验,可以来私聊找我,我会帮你进行一定的安全检验,并且给你制定一定的解决办法。防止日后更严重的信息泄露问题。
回复

使用道具 举报

0

主题

5

帖子

0

积分

新手上路

Rank: 1

积分
0
发表于 2023-6-2 16:08:18 | 显示全部楼层
该账户处于禁言状态???[惊喜][惊喜][惊喜]
回复

使用道具 举报

4

主题

7

帖子

13

积分

新手上路

Rank: 1

积分
13
发表于 2023-6-2 16:08:55 | 显示全部楼层
直接晶哥不就好了[酷]
回复

使用道具 举报

1

主题

4

帖子

4

积分

新手上路

Rank: 1

积分
4
发表于 2023-6-2 16:09:33 | 显示全部楼层
要是国外呢[思考]
原神up被盒讹诈时代(考古?)
回复

使用道具 举报

1

主题

6

帖子

10

积分

新手上路

Rank: 1

积分
10
发表于 2023-6-2 16:09:46 | 显示全部楼层
怎么搞的途径,为什么感觉每个人都会,唯独警察不会
回复

使用道具 举报

1

主题

5

帖子

3

积分

新手上路

Rank: 1

积分
3
发表于 2023-6-2 16:10:35 | 显示全部楼层
重要的是少在安全性较低,或者已经遭受大规模脱库的平台引起他人注意,更不要让他人将你的各种平台关联串起来,很多b站之类的平台被开盒的根本原因是因为关联被他人找到,如同id,或者历史发言中留下了带有自己电话或qq的邮箱。这些东西通过某些库的模糊检索可能会检索到与其他泄露的数据,单个数据不可怕,但是当各领域数据达到一定规模并被汇总起来的时候才是可怕的。开盒是一条死路,带来的窥探瘾等很让人愧疚,如果陷的更深一点你会就理解,保护他人信息是更难的,信息泄露是不可逆的,这是很不幸的。
回复

使用道具 举报

0

主题

3

帖子

4

积分

新手上路

Rank: 1

积分
4
发表于 2023-6-2 16:10:55 | 显示全部楼层
错误的,晶哥里的内鬼就是最原始的信息流出管道[潜水]
回复

使用道具 举报

1

主题

2

帖子

3

积分

新手上路

Rank: 1

积分
3
发表于 2023-6-2 16:11:30 | 显示全部楼层
最大的社库,就是警察的数据库
回复

使用道具 举报

2

主题

5

帖子

7

积分

新手上路

Rank: 1

积分
7
发表于 2023-6-2 16:11:50 | 显示全部楼层
现在私人信息早就被卖得渣都不剩了。
回复

使用道具 举报

3

主题

7

帖子

12

积分

新手上路

Rank: 1

积分
12
发表于 2023-6-2 16:12:08 | 显示全部楼层
我昨天被饭圈女孩追着骂了63条,就因为我说了一句“这都这么明显了,你理解能力有些差”,直接四个号(不知道是不是一个人)在我说说下面乱彪,每一个下面都又十来条,比过去的大妈们脏话还猛,我直接拉黑了,本来我想骂回去,但我又怕这群人开盒我,骚扰我和我身边人,我父母手机玩的不咋地,真那么搞了他们肯定防不胜防。
所以我现在赶紧来查查怎么防范。我的私人电话不知道卖过多少次了,有点担心。哎,饭圈女孩真是恐怖啊,太猛了,我要是就自己一个人了,我直接回怼了。[发呆]
我在快看漫画遇到的。[流泪]
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|手机版|小黑屋|玩玩乐

GMT+8, 2025-3-18 19:41 , Processed in 0.432813 second(s), 23 queries .

Powered by Discuz! X3.4

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表