利用一個(gè)泄露的家庭地址毀掉受害者的人生

責(zé)任編輯:editor005

作者:zoey

2016-08-03 15:15:36

摘自:安全牛

Nixxer是澳大利亞技術(shù)最高超的社會(huì)工程師之一,在網(wǎng)絡(luò)上從不使用自己的真實(shí)姓名。Nixxer利用這類網(wǎng)找到了現(xiàn)房主和前房主的姓名,再通過(guò)姓名獲悉了現(xiàn)任房主以前的住址、個(gè)人和工作郵件,還有出生日期。

對(duì)于黑客Nixxer來(lái)說(shuō),僅需一個(gè)家庭住址就可以毀掉你的人生。

Nixxer是澳大利亞技術(shù)最高超的社會(huì)工程師之一,在網(wǎng)絡(luò)上從不使用自己的真實(shí)姓名。在上個(gè)月墨爾本的Unrestcon安全會(huì)議上,他展示了如何利用一個(gè)開源的情報(bào)工具,加上一些收集個(gè)人信息的經(jīng)驗(yàn)和技巧,入侵Facebook上防護(hù)最嚴(yán)密的賬戶,最終進(jìn)入個(gè)人的銀行賬戶。

著手準(zhǔn)備

在黑客常分享信息的網(wǎng)站Pastebin上,Nixxer用“dox”作為關(guān)鍵詞隨機(jī)搜索了一個(gè)家庭住址,但相關(guān)信息并沒(méi)有給出個(gè)人名字,所以無(wú)法確認(rèn)這個(gè)地址是否真實(shí)存在。但很快,通過(guò)谷歌和微軟的在線地圖,Nixxer不只找到了房主的細(xì)節(jié)信息還發(fā)現(xiàn)了前房主的信息,并通過(guò)在公共數(shù)據(jù)庫(kù)的查對(duì),他還知道了房子的市場(chǎng)價(jià)格和現(xiàn)任房主的年收入水平,約為12萬(wàn)美元。

在線地圖顯示一輛車停在房子旁邊的車道上。雖然車牌模糊,但黑客足以獲釋它的制造商、型號(hào),和車牌的所屬州。“從它的顏色、形狀,以及字母和數(shù)字的個(gè)數(shù)來(lái)推斷,它是堪薩斯州的。”

房子后院的一塊不錯(cuò)的活動(dòng)場(chǎng)地,則表明家里有孩子。房子后方的足球場(chǎng)也是很有用的信息。“有一所地方學(xué)校,一個(gè)地方橄欖球隊(duì),都可以用來(lái)構(gòu)造釣魚攻擊。”

收緊套索

在線身份認(rèn)證服務(wù)是隱私權(quán)利保護(hù)者的眼中釘,data.com就是這樣一個(gè)深受社會(huì)工程師們喜愛(ài)的網(wǎng)站。它允許用戶交換個(gè)人信息,并鼓勵(lì)從業(yè)者上傳通訊錄,以訪問(wèn)同樣數(shù)量的其他人上傳到網(wǎng)站服務(wù)器中的信息。

該網(wǎng)站的隱私泄露影響很嚴(yán)重,因?yàn)槟銦o(wú)法知道自己的信息是否會(huì)被別人傳到網(wǎng)站上,并可能被任何人分享。除了data.com,另一個(gè)數(shù)據(jù)收集平臺(tái)wayin曾聲稱,已經(jīng)擁有14分之1美國(guó)人的數(shù)據(jù),而他們的目標(biāo)是7分之一。

Nixxer利用這類網(wǎng)找到了現(xiàn)房主和前房主的姓名,再通過(guò)姓名獲悉了現(xiàn)任房主以前的住址、個(gè)人和工作郵件,還有出生日期。“這些網(wǎng)站到處都是,你只需要付差不多一美元就可以訪問(wèn)任何你想要的信息,這太可怕了!”

Facebook對(duì)于那些看重個(gè)人隱私的人來(lái)說(shuō)堪稱毒藥,即便使用化名,Nixxer也不會(huì)使用這種社交網(wǎng)站。他最有理由不上Facebook,因?yàn)樗_發(fā)過(guò)一款搞定Facebook非默認(rèn)隱私控制的工具。

這款工具是Nixxer在給政府部門干活的時(shí)候開發(fā)的,它可以通過(guò)偽造個(gè)人用戶資料,捕獲目標(biāo)用戶的相關(guān)和熟人鏈接,即便目標(biāo)用戶設(shè)置了最高級(jí)別的隱私保護(hù)。而且,這些偽造的個(gè)人用戶無(wú)需被目標(biāo)用戶加為好友。

通過(guò)這個(gè)工具,Nixxer在Facebook和Linkedin上得到了“受害人”的兄弟姐妹、父母,甚至是表兄妹的身份,還得到了一堆照片和可以印證之前發(fā)現(xiàn)的信息。Nixxer從信息中了解到,“受害人”的兄弟姐妹和孩子都在他們的家族企業(yè)工作,受害人則是企業(yè)的主管。

Facebook是一張非常龐大的人際網(wǎng),可以用來(lái)鎖定目標(biāo)對(duì)象的活動(dòng)軌跡。

Nixxer開始關(guān)注受害人的業(yè)務(wù),并獲取了足以打開或關(guān)閉受害人銀行賬戶的信息。“我可以對(duì)他的銀行賬戶為所欲為。”

下一步是滲透這家家族企業(yè)的業(yè)務(wù)網(wǎng)站。該網(wǎng)站的系統(tǒng)平臺(tái)是Linux的一個(gè)實(shí)例,而且沒(méi)打補(bǔ)?。ixxer很快拿到了網(wǎng)站服務(wù)器的root權(quán)限,掌握了這個(gè)網(wǎng)站之后,他可以隨心所欲地發(fā)動(dòng)各種攻擊了。

如何避免

想避免上面發(fā)生的類似遭遇,Nixxer表示,切斷黑客攻擊鏈的第一步就是不使用Facebook這類的社交網(wǎng)站。

“沒(méi)有任何理由,把你在哪兒長(zhǎng)大的,兄弟姐妹是誰(shuí),或是昨天在哪里買的衣服等等這些事情寫下來(lái)。”

當(dāng)然,即便停用公開的社交網(wǎng)站,也不能完全阻止全球日益龐大且技巧嫻熟的社工黑客大軍獲取足夠的信息,并毀掉受害者的人生。

Nixxer建議,用戶可以使用偽造在線個(gè)人資料的工具,并使用具備攔截廣告、腳本等安全功能的瀏覽工具。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)