前言
本文主要介绍一些入门程度的隐私保护技巧。作者也是门外汉,无法提供专业的建议。本文在内行看来应该是绝对纯属胡扯。
这可能会稍微提高一点点防人肉能力,但不多,也许能防一些小白。但也就顶多只会稍微增加调查的成本而已。对于体系化的社工库团队而言,拿下普通人这种事基本上是轻而易举的,你通常防了也没用。
其实,这也不绝对,一套合理的防护手段和身份隔离可以显著增加调查成本,至少是严重拖延调查的时间。但是,要做到真正意义上的滴水不漏是不可能的。
本文不打算配图,不太好。可能,看起来会有点枯燥,抱歉。
减少信息检索机会
信息检索是调查一个人的基本手段,它是合法的。
普通网民也可以通过信息检索挖掘出一个人的部分个人信息来。
其主要利用的问题在于——利用不同平台之间互相搜索的关系来放大某一条线索。
示例
举个例子,拿到一条QQ号,普通人可以怎么查?
一个常见的做法是直接在微信上搜索这个QQ号。如果没有关闭微信的QQ号搜索功能的话,微信号会被确认。
而常见的微信号格式(偷懒的话)可能会包含手机号、姓名首字母缩写、生日、QQ主号等关键信息。这很容易暴露更多信息。
另一个常见的做法就是直接在搜索引擎上搜索这个QQ号。
此时可以如何拓宽线索呢?例如之前在某个贴吧交流的时候,你发帖留下了一个QQ号作为联系方式,没删。
或者,你干脆是个文援什么的,在推特上把自己的QQ号一挂——门牌xxxxxxxxxx。那么,别人直接就搜出来了,推特账号。
建议
删除发言
对自己曾经留下互联网足迹,但已经不常用的平台,注意检查一下有没有留过敏感信息,可以自搜一下。
有的话,可以选择删掉。这会稍微增加一点调查的难度。
销号跑路
对于微博一类的数据泄露和开盒重灾区,如果曾经使用,但现在已经不用,或者是没必要用。建议在尽量删除自己的言论后销号跑路。
这能减少攻击者利用微博上的信息、发帖和线索来进一步拓宽调查面,稍微增加难度和拖延时间。
使用小号 / 买号
使用QQ进行交流时,如果对方是陌生人,可以考虑使用小号。
小号的捆绑信息和检索价值相对而言会更少一点,稍微增加调查难度。
混淆昵称 / 头像
如果你在意隐私保护,不要在一堆平台上使用十分类似或者干脆是完全一样的昵称和头像。尤其是昵称和ID,这个是容易被检索锁定的。
为了追求个性,可以稍微增加一点变化。但最好不要在昵称、ID当中添加自己的个人真实信息,例如生日,姓名缩写,出生年份等。
注意隐私设置
在有必要和自己能接受的范围内,尽可能地隐藏自己的个人信息,减少平台间关联。多隐藏一点,查的难度就多一分,不过也就是一分。
尤其应该避免直接泄露的包括手机号,真实姓名,身份证号。这三者如果直接泄露,那么开盒将会是非常轻松的一件事情。
谨慎分享敏感信息
典型的包括录取通知书,机票,火车票等。不要以为对一些地方打码就能高枕无忧,不是这样的。虽然确实会好得多,但通常还是会暴露一些信息。
最好还是,控制一下分享的欲望。想要分享的话,可以直接发给信任的朋友,而最好不要直接在帖子、推文、空间之类的地方往那一挂,也不删,长时间就挂在那。
谨慎分享摄影作品
不要以为图片定位很困难,不是这样的。
减少检索机会
关闭微信的QQ号搜索,微信的手机号搜索,支付宝的手机号搜索,QQ的手机号搜索,Telegram的手机号展示,以及各种平台的通讯录功能。
这会稍微增加一点调查难度。
使用强加密邮箱
强加密邮箱通常采用端到端加密技术,相对而言是更加可控,它的安全性通常是不可妥协的。
但也有不方便的一点——主密钥丢失以后,通常还挺难恢复的,可能直接炸了。注意一下。
推荐两个:
减少撞库机会
稍微解释一下什么是撞库。
撞库
比如说,攻击者通过某种手段获取了一条账密信息——Bob@gmail.com, BobLoveAlice1314520。
他可以尝试,在不同的平台去利用这条账密信息尝试登录。有些平台会触发2FA(国内通常是手机,国外可以是手机、邮件、OTP等),这倒是还能防住,但是有些平台(特别是邮箱和一些小网站)是很容易直接账密登录的。
一旦撞库成功一次,就可以获取大量的个人信息,直接用于检索,钓鱼,甚至可以说是结案了。
这种攻击的可行性通常来自于用户的一种常见的坏习惯——在一堆平台使用几近相同甚至是完全相同的密码。
预防撞库
显然,在每个平台上使用完全不同的密码是很费劲的一件事,也不好记忆,不太方便。
这里推荐几种稍微增加安全性的方式。
异地登录保护
这东西很多平台都有,有的记得打开(当然很多是自带的)。可以稍微增加一点撞库难度。
稍微差异化的密码
如果你懒得用什么技术手段保管密码,又懒得记很复杂的密码,那就对每个平台的密码稍加差异化。
这可以稍微增加撞库的成本,或许可以触发尝试次数警告,冻结账户,拖延时间甚至是挫败撞库什么的。
手机验证码2FA
对于重要的平台,最好别嫌麻烦,加个手机验证码2FA是有助于防止撞库爆破这种情况的,特别是你密码习惯不太好的话。
邮件验证码2fA
这邮件验证码其实比手机稍弱一些,甚至有时候会帮倒忙(所以说邮件安全要注意的)。
但其实,这个也看你的邮箱。至少,它也会给攻击者制造麻烦,并且会造成通知、警示的效果。
Authenticator / OTP应用
Microsoft Authenticator, Google Authenticator之类的应用能根据一个PSK和时间戳生成一个动态变更的OTP。它让撞库攻击变得很困难——除非你的手机被入侵,或认证被某种方式绕过。
密钥管理应用
1Pass,Bitwarden这样的应用只需要记忆一个主密钥,就可以自动化管理多平台账密,通常具有多端同步、自动填充、密钥生成等功能。
如果你想要使用多平台不同的随机长密钥,这是很好的选择。这能显著增加撞库的难度。
如果你的每个平台都使用了至少12字节的随机密钥,且互不相同,那么撞库的威胁对你而言是比较小的。
生物识别
指纹、虹膜、掌纹(不推荐人脸和声音)是目前绕过成本较高的生物识别技术,采用这种方式进行登录可以免除管理密码的麻烦,也能增加撞库的困难。
硬件密钥
硬件密钥显然是几乎无法绕过的,但也是很麻烦的。
注意支付手段
支付手段可能会暴露你的一些个人信息。
微信和支付宝
微信收款码和支付宝收款码会暴露你真实姓名的最后一个字。
如果你想要避免这一点,请尝试使用赞赏码和口令红包。
支付宝账号被搜索确定将会暴露你的性别、部分手机号和真实姓名的最后一个字。
PayPal和虚拟信用卡
这种通常都要好一些,但我也不太了解,太菜了。
加密货币
只要你不直接提现到人民币,加密货币一般不会出什么大事。用加密货币支付服务通常具有较高的匿名性,特别是对于一些开不了口,上不了台面,见不得光的交易而言。
如果硬要提现,可以提现到境外的银行卡,信用卡,虚拟信用卡,再把钱转回来之类的。虽然吃点手续费,但是出事的概率更低。黑转灰,灰洗白。
仅仅作为支付手段的话,USDT,USDC和TRX是很不错的。
当然如果提现,最好找个靠谱的C2C商家,千万注意对方的身份和支付信息,如果和标注的不一致,请不要收款。如果收到黑钱,可能会被卷入很麻烦的事情。
快递信息
这没什么好说的,数据泄露重灾区。最多要做的就是,注意自己销毁一下信息标签,还有就是填个化名吧。
用个不常用的手机号也挺好的。
基本的网络安全防范意识
这个东西简直是……可能耳朵都要听出茧子来了吧?但还是稍微讲讲。
钓鱼链接
借贷、赌博、涉黄、钓鱼的短信、邮件链接不要乱点,看清楚再点。
不要以为反正点进去不输信息就没事(当然你输信息就,对吧,不用看了),有时候会被定位之类的,情况复杂得很,注意一下。
深度伪造
音视频AI伪造很发达,总之熟人的一些请求也是需要找他们本人再三确认的,不要直接相信了。
虚拟身份证明
用SMS代收发这种服务来绕过你不太信任的一些平台的注册。
底线意识
不涉三就是不涉三,底线卡死,不要什么软磨硬泡的给个联系方式,给点什么信息,收个礼物什么的,甚至去搞线下。
不明物品
比如说你是个V,收了一堆礼物,请务必仔细检查一下,到底有没有定位器、录音器、针孔摄像头一类的东西。网络上再怎么熟络,交情再怎么深的人,也不是完全可信的。
一些简单的自查手段
这些东西,可以用来自查。可以看看自己哪些账号信息泄露了,这样可以提前做防范,有个心理预期。
可以尝试对自己进行几次调查看看,难度会不会很高。就用之前的那点,简单方法。
当然,你也可以用这种东西去查别人。技术就在那里,看你怎么用了。
REG007 —— 账号绑定关联等,仅用于自查
Q绑查询-HeikeBook —— QQ数据泄露,LoL数据泄露等
Have I Been Pwned? —— 一个简单的自查系统
Privacy | 个人数据泄漏检测 (aiuys.com) —— 简单的查询系统,数据不少
查隐藏QQ_QQ号码查询分析工具 (ouotool.com) —— 隐藏QQ查询
身份证查询 (ip138.com) —— 身份证号信息分析工具
手机号归属地查询 (ip138.com) —— 手机号信息分析工具
IP地址查询 (ip138.com) —— IP地址信息分析工具
万年历查询 (ip138.com) —— 阴阳历转换 用于锁定生日等
社工库
简单解释一下社工库。
什么是社工库?
社工库是一个灰产/黑产数据库,其中包含了大量来自于互联网数据泄露事件、隐私暴露事件、信息安全事件、内鬼泄露、数据贩卖等灰色、黑色链条输入的数据。个人信息在这种数据库上关联起来,用于检索和定位。
其中最主要的信息泄露事件和领域包括:
新浪微博,腾讯QQ,顺丰快递,超星学习通,英雄联盟,网贷平台等。
通常而言,以下几条信息是容易被关联在一起:
QQ号,微博号,LoL用户名,LoL大区,曾用密码MD5,真实姓名,手机号,身份证号,家庭住址,学号。
社工库通常以Telegram Bot的方式提供服务。
免费用一般是可以的,签到送额度。用户通常可以免费检索,但是额度不高。要想自由使用,通常要付费。
付费通常会解锁一个较大的检索额度,并且会增加一些额外的模式,例如猎魔(类似于盲搜)——给出一定的范围,例如部分姓名,籍贯,出生日期范围/生日,性别,随后社工库返还数十条记录,用于参考和大致锁定范围。
最有效的手段是雇佣社工库的专业团队,对某个人进行调查。这个服务一般会比较贵,但绝大多数个人都可以被完全调查出来,包括个人真实信息,开房记录,借贷记录,征信体系,犯罪历史,三网定位等等。这里就可能会超出一般的信息检索范畴,会用到一些……内部的帮助。这个我也不是很清楚。
推荐几个社工库?
可以用来自查,也可以拿去查别人。
总之,还是那句话,技术就在那里,看你怎么用了。
这种东西,互联网上很多,可以自己去找。反正也是付费交易。你把钱付给他们,他们把你想要的东西交给你。
Q:用社工库违法吗?A:没错,但不太好抓,一般睁一只眼闭一只眼,不要宣扬和传播。
Q:没有风险吗?A:有的,求别人办事最好说话客气点,少废话,直接给钱。还有不要用动漫头像。
Q:能查敏感人物吗?A:不一定,有的要加钱,有的干脆不能,建议是不要,反正一般也用不着。
一些忠告
简单写写。
避免节奏
作为普通人,而非信息安全专家,想要保护自己免于网络暴力和开盒,最好的办法之一就是保持低调。
少带节奏,少和别人起冲突。看了就行,自己心里有个判断,有个态度,可以了。
喜欢说,可能会有人来找你麻烦,警察可能也会找你麻烦。
少说点,没什么人会注意到你,警察也睁一只眼闭一只眼。
不要以为就自己可以去开别人,别人同样也可以开你——网络暴力是相互的。
不要以为代理或者VPN的开关打开了,就是谁也抓不到你。公安基本照抓不误,除非你人在国外。
哪些事情,可能相对会比较危险?个人认为,饭圈,键政,对喷,乐子,VTuber,文援等。
不是说不能做这些事情,当然是可以的,这是你自己的自由。就是要特别注意一些。
客气一些
找社工库人工查人的时候最好态度好一点,简单明白说清楚自己的目的和需求,让你给钱就给钱,不要话多。
就算自己被讹,或者对方查不出来,也是纯纯活该,直接认了。这种财产,法律是不保护的。
不要以为自己一个TG,“匿名性”上来就可以为所欲为,人家查你,可能也是照查不误的。
等下直接被盒,挂在人工频道上,那就好玩了。
结语
本文简单介绍了一些个人隐私保护、信息安全方面的内容。包括隐私保护手段,自查工具、建议行为准则等等。
写得非常外行,内行肯定是见笑的,抱歉。
本文到此结束。
