企业信息安全之社工学审计

0x00前言

在现代的信息安全中，数据泄露已成为常态。在日常的生活中，各种社交软件和各种网络平台的盛行强烈地吸引着众多的网民去注册。其中社交软件和各种跨平台账号登录基本上都会涉及到邮箱、账号、QQ号码、手机号码、身份证等多种个人敏感信息。而这些信息又在互联网漏洞出现的时候被广泛传播。轻者，用户的个人信息被泄露；略轻，用户经常被推销电话、垃圾短信骚扰；

更有甚者，一旦被国内不法电信诈骗份子获取到个人敏感信息，甚至实施各种精心的诈骗布局。下面贴出一些相关的案例：

1 女会计被骗300万成宿迁市史上最大电信诈骗案 http://js.qq.com/a/20140525/003218.htm
2 打打电话为何能骗走百亿？台湾电信诈骗嫌犯揭黑幕 http://tech.qq.com/a/20160502/007551.htm
3 实际生活中的诈骗还有很多，在平时日常生活中，企业员工往往都会碰到形形色色的各种诈骗。例如电话中大奖，财务退款，电话虚假涉嫌停机等。

0x01 企业信息安全中社工学

企业在建设发展过程中，除了依赖各种技术手段，如安全加固手段（WAF、安全狗、主机卫士等），安全审计（日志分析、SDL等），安全检查（漏扫、渗透）等等，往往缺乏对企业人员的信息安全意识的培养。在这点上，弱口令也成为漏洞平台的热门焦点。

另外因为弱口令带来的导致的问题也是漏洞平台的热点，可以看到漏洞平台经常播报XXX政府弱口令getshell泄露XX百万数据，XX互联网平台某某平台弱口令可以漫游内网等等，当然也有因为某某企业某管理系统存在弱口令可以查看企业内部员工的资料。

所以说，对于信息安全来说，个人信息安全和企业的信息安全是分不开的。为啥这样说昵，因为企业个人设置的密码和设置密码规律在他们进行网络活动的时候是肯定会泄露出去的。实际的案例是盗QQ号、盗微信号、盗银行卡、各种勒索软件、比特币支付。种种案例无时无刻都在各行各业上演着，所以信息安全工程师应该做好准备，避免这些案例发生在自己所在的公司员工，减少不必要的损失。

同样的道理，骗子的精心构造技术真的可以骗到了不少人（包括企业高管、软件研发工程、运营人员）。所以作为企业信息安全人员，我们必须时刻都得留心信息安全资讯，每当看到其他企业出现安全事件，也要从他们的经验学习，避免公司出现同样的问题。所以我们要在企业出现信息安全事件之前，做好提前准备。

0x02 社工学的技术手段

社工，即使社会工程学，通过各种社交关系和资讯，我们对某个人或者公司进行的信息收藏和利用。例如对企业的高管人员进行信息收集，掌握其微博、微信、QQ、工作作风、工作事务等，然后假冒高管对下属人员进行诈骗。又或者盗取某个同事的QQ后，假冒该员工，向其他同事索取公司资料。还有更多的实际案例，在此限于篇幅，不一一介绍，下面直接进入主题。俗语说，工欲善其事必先利其器。

1.QQ/QQ群关系查询 https://qqgroup.insight-labs.org/

该网站可以查看企业人员的QQ信息泄露情况。如果输入某个QQ，可以查看出很多的信息，证明该QQ号存在泄露的可能。如果查不到任何信息，恭喜你信息安全意识到位。

点评：这个查询还是很方便的，为啥？因为结果中透露某个QQ或者QQ群的很多关联信息，这个对于企业人员的外围信息安全来说也很重要。

题外话：根据一个同事的QQ可以查看他的朋友的QQ圈，让他误以为你也是熟人，然后加他。

2.华西安全网 http://cha.hxsec.com/

该网站实现了输入用户名、QQ、Email..看看你的密码是否泄露，使用起来，体验效果还是不错。

点评：网站声明做得挺不错！！为了遵守国家道德法规，查询结果关键字段，已经用星号隐藏，敬请放心，本站不会记录和传播你的任何信息；所有数据由华西安全网整理，并提供免费查询服务，数据约4.7亿，主要为多年前泄露的老密码，源自几年前已公开的搜云社工库，且不会涉及身份证等隐私信息；

题外话：不做任何违法黑产谋利，不窃取任何信息！！打击网络犯罪，人人有责，伸手要被抓。

3.暗月密码泄漏查询 http://so.moonsec.com/

该网站可以根据账号和邮箱进行搜索密码

点评：大大的黑，大大的牛

题外话：该网站链接有论坛、博客等，大家可以点进去看看新闻学学技术，主要为渗透，培训，当然也有安全资讯、漏洞报警、技术文章、安全测试工具、动画教程、技术讨论等。

4.灵查注册 http://www.0xreg.com/index.php

可以根据用户请输入您的邮箱或者手机号码，查看存储、招聘、IDC、社交、生活、金融、门户、其他等方面的注册信息。

点评：根据企业员工的手机号码和个人邮箱，查看他们相关的注册信息，以防止这些网站的注册账号密码和他们在公司系统的账号密码相同。

题外话：在这里，有个真实案例便是，诈骗人假扮一个企业老板或者领导去加某某公司的某某职员，然后去骗财。

5.安全宝 http://lucky.anquanbao.com/

这个也还是有点用处的，为啥？因为对于老员工来说，这里的数据可能旧了一点，但是旧的数据有旧的用法，但是依然适用。

点评：简单易用，但覆盖面不全。

题外话：暂时没有想到，欢迎各位同学补充一下

0x03 墙外的社工库

服务器搭建在国外的社工网站也很有必要推荐一下，相信各位有社工经验的同学会经常到下面的网站搜搜，往往会有意外的收获。下面请看！

1.FINDMIMA密码网 https://www.findmima.com/

该网站可以查询user、qq、mail、tel这些信息（这些英文挺简单的，我就不翻译了），作为企业信息安全人员，安全审计其他同事的外围信息安全。

点评：该网站的数据挺齐全的，功能也比较多。此外还能查询 QQ老密码、QQ群关系、开房记录、泄密列表、主机状态（findmima 服务器主机）等功能，相当不错！

题外话：作为企业信息安全人员，我们也应对重要的员工（网络管理员、网站负责人、运维同事，看看他们在外是否泄密。

2.http://www.sheyun.org/

这个也是很值得推荐的社工网站，里面的东西还是很不错。

点评：该网站有时打得开，有时打不开。所以如果在某个打不开，可以换另外一个时间再来打开试试。

3.https://dazzlepod.com/

有时打得开，有时打不开，看你们的运气好不好~

和前面一个网站的使用差不多~~~

0x04 搜索引擎中的社工

1.百度网盘 http://pan.java1234.com/

利用百度网盘进行搜索，可以搜到很多资料，例如代码、工具、文档、表格、图片等等，你懂的！哈哈

备用路线1 http://www.bdyunso.com/ # 搜盘
备用路线2 http://wowenda.com/ #网盘之家
备用路线3 http://www.wangpange.com/ #网盘哥

2 搜索引擎

1.百度搜索

点评：为啥还要说一下这个昵？因为搜出来的结果还是比较多的，看一下高级搜索。类似googleh

2 搜狗搜索

点评：为啥推荐搜狗搜索昵？因为里面有一个微信搜索，可以搜索一下微信上泄露出来的敏感信息。

0x05 代码泄露中的信息安全

1.SearchCode https://searchcode.com/

SearchCode 是一个源码搜索引擎，目前支持从 Github、Bitbucket、Google Code、CodePlex、SourceForge 和 Fedora Project 平台搜索公开的源码。

点评：我们可以对开发者进行一个外围的代码泄露审计，一来可以查看企业内部员工是否泄露公司的代码，二来可以审计代码中存在的泄露信息(例如API、敏感注释、账号）

2.github https://github.com/

我们也可以在直接在github搜索相关的敏感代码，或者某个企业员工的github账号，直接查看相关的开源信息，进行信息安全审计。

搜索语法：

邮件信息：

site:Github.com smtp

site:Github.com smtp @qq.com

site:Github.com smtp @126.com

site:Github.com smtp @163.com

site:Github.com smtp @sina.com.cn

site:Github.com smtp password

site:Github.com String password smtp

……

结合厂商域名，灵活运用：

site:Github.com smtp @厂商域名

搜索XX公司内部信息：

site:Github.com corp.xx.com 或者 xx-inc.com

指定邮箱类型：

site:Github.com smtp admin@%.com (webmaster、root、help、service,And so on..)

site:Github.com smtp admin@%.org

site:Github.com smtp admin@%.cn

site:Github.com smtp @%.edu.cn 教育网站

site:Github.com smtp @%.gov.cn 政府门户

数据库信息：

site:Github.com sa password

site:Github.com root password

site:Github.com User ID=’sa’;Password

……

SVN信息：

site:Github.com svn

site:Github.com svn username

site:Github.com svn password

site:Github.com svn username password

……

site:Github.com ftp

site:Github.com ftp user password

3.一些国内流行的代码分享平台

可以在以下平台去查看企业内部员工的泄密信息。这个比较费时间！！不过闲着无聊的时候，怀着好奇心去偷窥一下也挺好玩的偷笑

开源中国 http://www.oschina.net/code/list
码云 http://git.oschina.net/
CSDN https://code.csdn.net/dashboard/index

0x06 企业中社工总结

说到这里，目前为止，主要的工作还是我们安全人员做的。至于其他方面，我们也可以模拟一下打个电话或者发个短信给一些与信息安全重点相关的对象，进行实战的社工。当然我们也有一些其他方面的手段，例如通过收集一些诈骗示例和诈骗视频定期给员工进行一下安全意识的普及。