刚才看了微步社区上 @lidazhi 师傅做的溯源工具,思路还是非常独到的,在膜拜的同时,我也思考了几点不完善的防护方法,注意此方法论仅用于行业内攻防交流,禁止用于非法!!
溯源
我先阐述一下我理解的 @lidazhi 师傅所作工具的思路,我们以一个 ID 为起始作为一次溯源的起点,而从 ID 可以衍生出来其他有效信息,比如 IP 归属、手机号 & 邮箱片段(有些论坛是可以通过用户名找回的)
手机号
知道用来注册平台后的材料后再根据这两点枚举出来所有可能性的手机号,比如我的归属地在北京 手机号前三位是150,那么可以列出所有可能性,并且这个可能性不会像爆破密码那么离谱,都在一个可验证的范围,而且还有接口可以排除掉空号、不存在号,如果有的网站可以给出后面几位手机号,那么其实可挑选的范围是非常小的
后四位知道两位 ===> 20000 条
后四位知道三位 ===> 2000 条
后四位 ===> 200条
如果知道运营商信息还可以进一步缩小,之后再导入微信 QQ等社交平台(搜索手机号加好友、可能认识的人功能)验证 ID,如果有相同 ID 的或者行业相关 ID 即可关联出手机号,如果没关联出也没有关系,还可以去行业内的平台进行验证,这里以情报社区举例:
当我输入一个已经注册此平台的手机号时
当我输入一个没有注册此平台的手机号时
这类现象并不是个例(数字的威胁情报平台也这样),溯源者就可以利用这些“特性”进行溯源,假如某些企业的专用的 IM 上这个手机号有注册记录甚至可以确定目标是XX集团的员工-客户-供应商
邮箱
邮箱这里我经常用的是 Github 上开源的一个OSINT 自动化工具,我自己 Fork 了一个替换成国内常用平台地址的版本,原版都是俄罗斯的常用站点,可用性不高
几点不成熟的建议
-
如果工作建议新开一个手机号,尽量选择虚拟号(阿里小号…),可以去港澳台旅游的时候弄个大湾区的号 -
工作号尽量不注册微信、QQ等主流平台,在 @lidazhi 师傅的工具中就是用微信作为一个免费的空号过滤,虽然严格来说不准确但是可以筛选出大多数目标 -
使用的 ID 尽量大众化,不要有行业特殊性 -
关闭各app中的关联功能(可能认识的人、关联通讯录) -
使用显示 IP 属地的平台的时候不用自己常用的ID注册,不用工作号注册这类平台 -
登录平台尽量不使用手机号登录,邮箱登陆可以使用隐私邮箱(Duck邮箱?…),或者可以选择微信登录,有些平台可以被枚举出手机号是否被注册 -
如平台支持 2FA(双因子验证),建议使用,如果你的身份非常重要,可以考虑购入硬件密钥
未完待续….
原文始发于微信公众号(天禧信安):手机号带来的溯源方法&一些防护建议
