ヒント: 最初と同じように、後で見て、習慣にしましょう。
序文
私たちのソーシャル エンジニアリングでは、多くのインテリジェンスが OSINT (オープン ソース インテリジェンス) に属しています。
1. OSINTのポイントは?
大きく分けて、ノンテクニカルOSINTとテクニカルOSINTの2種類に分けられます。
1. 非技術 OSINT とは何ですか? 技術 OSINT とは何ですか?
1. 非技術的な OSINT: ソーシャル エンジニアがターゲットと直接対話することを指します。たとえば、ターゲットが Web サイトにログインすると、パスワード、アカウント番号、その他のプライバシーを発見されることなく覗き見ることができます。(観察力という)
2. テクニカル OSINT: コンピューターを介してインターネット上のターゲットに関するオープンソース インテリジェンスを収集し、それらに対して攻撃を開始するソーシャル エンジニアを指します (一般的なツールには、zoomeye、fofa、および Skyeye が含まれます)。
2. OSINT の問題の例
組織の種類 | 尋ねる質問 |
会社 | 会社でのインターネットの使用方法 |
会社 | 会社がソーシャルメディアをどのように使用しているか |
会社 | 会社の支払い方法 |
会社 | 会社はどのように支払われるのか |
会社 | 会社には単一または複数のオフィスがあります |
会社 | その会社には何人のサプライヤーがいますか |
会社 | 会社にはどのようなサプライヤーがいますか |
個人的 | この人はどんな趣味を持っていますか |
個人的 | この人が持っているソーシャル メディア アカウントは何ですか |
個人的 | この人の職業は何ですか |
個人的 | その人の家族に関する情報 |
個人的 | この人は関連するウェブサイトを持っていますか |
個人的 | この人はどんだけ教養あるんだ |
個人的 | この人は普段どこに行くの? |
2. ソーシャル エンジニアリングのシーケンス
OSINT、情報収集---->迷彩デザイン---->攻撃計画---->攻撃開始---->報告
3. OSINT をシミュレートします (図を参照)。
ここでは、誰かの情報を検索します。
qバインディングをクエリすることにより、ターゲットの電話番号と住所が取得されます
すると、ユーザー×ジン×のおおよその名前がZバオボを通じて取得され、元の住所と比較して、この人物が対象者であると判断されました。その後、大きな電話で正確な名前を確認できます。後で深く掘り下げると、より関連性の高い情報を得ることができます。
要約する
この章では、ソーシャル エンジニアリングにおける OSINT (情報収集) について説明しましたが、この章の説明を通じて、ソーシャル エンジニアリングの第一歩を理解することができました。