即情:如何影影像中行社工程
迎造官【客中心】 www.hackpulse.net
技Telegram:@HackPulse_Central
社工程影像情的合
社工程本上是一心理操控技,目是人行,取得敏感或成入侵行。而影暴露於路,客得的不是即面,而是一整套可以用建立「目模型」的用情。
影像社工技常於:
- 公室入侵攻前期
- 居家控面分析以行勒索或
- 工域情搜集,如、
- 定具值目行人化攻
影面中常的可元素
客一面中提取各索,些索足以反推出使用者的身份、行模式弱。常的察包括:
1. 人制服
- 工穿著制服上有企 LOGO
- 胸卡、上出名字或部
- 作息、上下班律一
- 面部料可以社交平台行身分交叉比
2. 境地址
- 上的急逃生、域地、企
- 窗外街景可合 Google Maps 定位
- IP 源配合面索可推算城市、建位置
- 公室牌、文件堆可辨公司部
3. 幕操作行
- 幕示的程式或操作界面
- 曝光中的文件或窗名
- 使用者(例如同一喝咖啡、打卡、某程式)
- 可推每日例行任高敏感作段
4. 安全
- 禁卡、指辨器、定制位置
- 控主、UPS 源、Wi-Fi 路由器等施
- 有保全人、是否具警系
影像建立完整社工程路
透一段影面,客可依照以下步逐步建立性攻:
步一:定目
面中的制服、文件、言示工於哪家公司。根企性(金融、造、科技等)定是否值得深入透。
步二:充外部料
搭配面中出的姓名、部,前往 LinkedIn、Facebook、Instagram、Telegram 等平台交叉查,大料量。
步三:模入行
分析出路、日常行、禁位置,可模未物理透方式(件、冒充客、快包裹等)
步四:作性容
根面示的程式作系,可定向作含意文件的件或 USB,假冒企部通格提高命中率。
步五:施或社工操作
攻容可能假冒 IT 支援、通知系升、合作邀等形式,藉由影像得知的言格上下造信任。
例情境:面到透的程
假影面中出一名工坐在某公司公室:
- 桌面上有示「U-Cloud ERP System」的面
- 旁的幕角落出「HR_Department.xlsx」
- 工佩戴印有「RiseTech」的卡
- 上有急逃生,位置示「5F Finance Tower」
- 公司位於台北信,透 Google Earth 可比建外
透些影像,客能判:
- 公司使用特定 ERP 系,可作系的攻文件
- 工 HR 部,可假冒 IT 或人同仁行
- 位置具可辨,攻者可部署 Wi-Fi 的近攻
- 依察可定最佳送攻段
影面防控管建
企人若要降低此,注意以下事:
- 所有影有限,避免公面
- 管理角度,避免拍幕、料、面部清晰照
- 避免於拍含地址、、等
- 置隔於部路,定期是否出在 Shodan 等搜平台
- 於面中可能揭露的,建立部控管流程加密遮蔽措施
代社工程早已不只是打或寄信。客在可以坐在千里之外,透一影面,就建立起一人的生活模型、一家公司的部,甚至一系的入侵路。
公的面,等同於公的。每一暴露的器,都是客情搜集的第一站。
若你有趣深入了解影像情攻案例,我可撰下一篇主,例如:
- 影像分析合 OSINT 技行目定位
- 影合 Wi-Fi 三角定位行精攻
- 如何行企部影像的估分管理
#像入侵#Shodan#安#IoT安全#安全#搜引擎透#智能#公漏洞#透#Facebook#Instagram#Twitter#Telegram#TikTok
文章定位:
