企業資訊保安之社工學審計
0x00前言
在現代的資訊保安中,資料洩露已成為常態。在日常的生活中,各種社交軟體和各種網路平臺的盛行強烈地吸引著眾多的網民去註冊。其中社交軟體和各種跨平臺賬號登入基本上都會涉及到郵箱、賬號、QQ號碼、手機號碼、身份證等多種個人敏感資訊。而這些資訊又在網際網路漏洞出現的時候被廣泛傳播。輕者,使用者的個人資訊被洩露;略輕,使用者經常被推銷電話、垃圾簡訊騷擾;
更有甚者,一旦被國內不法電信詐騙份子獲取到個人敏感資訊,甚至實施各種精心的詐騙佈局。下面貼出一些相關的案例:
- 1 女會計被騙300萬成宿遷市史上最大電信詐騙案 http://js.qq.com/a/20140525/003218.htm
- 2 打打電話為何能騙走百億?臺灣電信詐騙嫌犯揭黑幕 http://tech.qq.com/a/20160502/007551.htm
- 3 實際生活中的詐騙還有很多,在平時日常生活中,企業員工往往都會碰到形形色色的各種詐騙。例如電話中大獎,財務退款,電話虛假涉嫌停機等。
0x01 企業資訊保安中社工學
企業在建設發展過程中,除了依賴各種技術手段,如安全加固手段(WAF、安全狗、主機衛士等),安全審計(日誌分析、SDL等),安全檢查(漏掃、滲透)等等,往往缺乏對企業人員的資訊保安意識的培養。在這點上,弱口令也成為漏洞平臺的熱門焦點。
另外因為弱口令帶來的導致的問題也是漏洞平臺的熱點,可以看到漏洞平臺經常播報XXX政府弱口令getshell洩露XX百萬資料,XX網際網路平臺某某平臺弱口令可以漫遊內網等等,當然也有因為某某企業某管理系統存在弱口令可以檢視企業內部員工的資料。
所以說,對於資訊保安來說,個人資訊保安和企業的資訊保安是分不開的。為啥這樣說暱,因為企業個人設定的密碼和設定密碼規律在他們進行網路活動的時候是肯定會洩露出去的。實際的案例是盜QQ號、盜微訊號、盜銀行卡、各種勒索軟體、比特幣支付。種種案例無時無刻都在各行各業上演著,所以資訊保安工程師應該做好準備,避免這些案例發生在自己所在的公司員工,減少不必要的損失。
同樣的道理,騙子的精心構造技術真的可以騙到了不少人(包括企業高管、軟體研發工程、運營人員)。所以作為企業資訊保安人員,我們必須時刻都得留心資訊保安資訊,每當看到其他企業出現安全事件,也要從他們的經驗學習,避免公司出現同樣的問題。所以我們要在企業出現資訊保安事件之前,做好提前準備。
0x02 社工學的技術手段
社工,即使社會工程學,通過各種社交關係和資訊,我們對某個人或者公司進行的資訊收藏和利用。例如對企業的高管人員進行資訊收集,掌握其微博、微信、QQ、工作作風、工作事務等,然後假冒高管對下屬人員進行詐騙。又或者盜取某個同事的QQ後,假冒該員工,向其他同事索取公司資料。還有更多的實際案例,在此限於篇幅,不一一介紹,下面直接進入主題。俗語說,工欲善其事必先利其器。
1.QQ/QQ群關係查詢 https://qqgroup.insight-labs.org/
該網站可以檢視企業人員的QQ資訊洩露情況。如果輸入某個QQ,可以查看出很多的資訊,證明該QQ號存在洩露的可能。如果查不到任何資訊,恭喜你資訊保安意識到位。
點評:這個查詢還是很方便的,為啥?因為結果中透露某個QQ或者QQ群的很多關聯資訊,這個對於企業人員的外圍資訊保安來說也很重要。
題外話:根據一個同事的QQ可以檢視他的朋友的QQ圈,讓他誤以為你也是熟人,然後加他。
2.華西安全網 http://cha.hxsec.com/
該網站實現了 輸入使用者名稱、QQ、Email..看看你的密碼是否洩露,使用起來,體驗效果還是不錯。
點評:網站宣告做得挺不錯!!為了遵守國家道德法規,查詢結果關鍵欄位,已經用星號隱藏,敬請放心,本站不會記錄和傳播你的任何資訊;所有資料由華西安全網整理,並提供免費查詢服務,資料約4.7億,主要為多年前洩露的老密碼,源自幾年前已公開的搜雲社工庫,且不會涉及身份證等隱私資訊;
題外話:不做任何違法黑產謀利,不竊取任何資訊!!打擊網路犯罪,人人有責,伸手要被抓。
3.暗月密碼洩漏查詢 http://so.moonsec.com/
該網站可以根據賬號和郵箱進行搜尋密碼
點評:大大的黑,大大的牛
題外話:該網站連結有論壇、部落格等,大家可以點進去看看新聞學學技術,主要為滲透,培訓,當然也有安全資訊、漏洞報警、技術文章、安全測試工具、動畫教程、技術討論等。
4.靈查註冊 http://www.0xreg.com/index.php
可以根據使用者請輸入您的郵箱或者手機號碼,檢視儲存、招聘、IDC、社交、生活、金融、門戶、其他等方面的註冊資訊。
點評:根據企業員工的手機號碼和個人郵箱,檢視他們相關的註冊資訊,以防止這些網站的註冊賬號密碼和他們在公司系統的賬號密碼相同。
題外話:在這裡,有個真實案例便是,詐騙人假扮一個企業老闆或者領導去加某某公司的某某職員,然後去騙財。
5.安全寶 http://lucky.anquanbao.com/
這個也還是有點用處的,為啥?因為對於老員工來說,這裡的資料可能舊了一點,但是舊的資料有舊的用法,但是依然適用。
點評:簡單易用,但覆蓋面不全。
題外話:暫時沒有想到,歡迎各位同學補充一下
0x03 牆外的社工庫
伺服器搭建在國外的社工網站也很有必要推薦一下,相信各位有社工經驗的同學會經常到下面的網站搜搜,往往會有意外的收穫。下面請看!
1.FINDMIMA密碼網 https://www.findmima.com/
該網站可以查詢user、qq、mail、tel這些資訊(這些英文挺簡單的,我就不翻譯了),作為企業資訊保安人員,安全審計其他同事的外圍資訊保安。
點評:該網站的資料挺齊全的,功能也比較多。此外還能查詢 QQ老密碼、QQ群關係、開房記錄、洩密列表、主機狀態(findmima 伺服器主機)等功能,相當不錯!
題外話:作為企業資訊保安人員,我們也應對重要的員工(網路管理員、網站負責人、運維同事,看看他們在外是否洩密。
2.http://www.sheyun.org/
這個也是很值得推薦的社工網站,裡面的東西還是很不錯。
點評:該網站有時打得開,有時打不開。所以如果在某個打不開,可以換另外一個時間再來開啟試試。
3.https://dazzlepod.com/
有時打得開,有時打不開,看你們的運氣好不好~
和前面一個網站的使用差不多~~~
0x04 搜尋引擎中的社工
1.百度網盤 http://pan.java1234.com/
利用百度網盤進行搜尋,可以搜到很多資料,例如程式碼、工具、文件、表格、圖片等等,你懂的!哈哈
- 備用路線1 http://www.bdyunso.com/ # 搜盤
- 備用路線2 http://wowenda.com/ #網盤之家
- 備用路線3 http://www.wangpange.com/ #網盤哥
2 搜尋引擎
1.百度搜索
點評:為啥還要說一下這個暱?因為搜出來的結果還是比較多的,看一下高階搜尋。類似googleh
2 搜狗搜尋
點評:為啥推薦搜狗搜尋暱?因為裡面有一個微信搜尋,可以搜尋一下微信上洩露出來的敏感資訊。
0x05 程式碼洩露中的資訊保安
1.SearchCode https://searchcode.com/
SearchCode 是一個原始碼搜尋引擎,目前支援從 Github、Bitbucket、Google Code、CodePlex、SourceForge 和 Fedora Project 平臺搜尋公開的原始碼。
點評:我們可以對開發者進行一個外圍的程式碼洩露審計,一來可以檢視企業內部員工是否洩露公司的程式碼,二來可以審計程式碼中存在的洩露資訊(例如API、敏感註釋、賬號)
2.github https://github.com/
我們也可以在直接在github搜尋相關的敏感程式碼,或者某個企業員工的github賬號,直接檢視相關的開源資訊,進行資訊保安審計。
搜尋語法:
郵件資訊:
site:Github.com smtp
site:Github.com smtp @qq.com
site:Github.com smtp @126.com
site:Github.com smtp @163.com
site:Github.com smtp @sina.com.cn
site:Github.com smtp password
site:Github.com String password smtp
……
結合廠商域名,靈活運用:
site:Github.com smtp @廠商域名
搜尋XX公司內部資訊:
site:Github.com corp.xx.com 或者 xx-inc.com
指定郵箱型別:
site:Github.com smtp [email protected]%.com (webmaster、root、help、service,And so on..)
site:Github.com smtp [email protected]%.org
site:Github.com smtp [email protected]%.cn
site:Github.com smtp @%.edu.cn 教育網站
site:Github.com smtp @%.gov.cn 政府門戶
資料庫資訊:
site:Github.com sa password
site:Github.com root password
site:Github.com User ID=’sa’;Password
……
SVN資訊:
site:Github.com svn
site:Github.com svn username
site:Github.com svn password
site:Github.com svn username password
……
site:Github.com ftp
site:Github.com ftp user password
3.一些國內流行的程式碼分享平臺
可以在以下平臺去檢視企業內部員工的洩密資訊。這個比較費時間!!不過閒著無聊的時候,懷著好奇心去偷窺一下也挺好玩的偷笑
- 開源中國 http://www.oschina.net/code/list
- 碼雲 http://git.oschina.net/
- CSDN https://code.csdn.net/dashboard/index
0x06 企業中社工總結
說到這裡,目前為止,主要的工作還是我們安全人員做的。至於其他方面,我們也可以模擬一下打個電話或者發個簡訊給一些與資訊保安重點相關的物件,進行實戰的社工。當然我們也有一些其他方面的手段,例如通過收集一些詐騙示例和詐騙視訊定期給員工進行一下安全意識的普及。