一、事情起因
在Q群里一位群友说自己被商家骗了3W块钱的游戏账号(附图p1)
二、社工思路
网友只提供了骗子的淘宝店和一个支付宝的收款码,如何通过仅有的线索完成一次信息收集呢?
1.声明
以下社工过程中未使用任何歪门邪道、公民信息数据,纯手工完成,大家学了也一定会哦!
本教程谨献给被网络诈骗的无助网友
二、过程分享
这次来点纯干货,
1.群友提供的骗子资料
淘宝网店ID:ky36p
支付宝二维码
出于隐私考虑,这里已将其打码(附图p2)
2.淘宝店铺
我们先通过淘宝店铺寻找商家相关线索
输入网店名称查找相关线索
我们可以在这里看到卖家ID:硫克莱姆
卖家地理位置:江苏南通(附图p3)
这里看到这卖家做的还不小,都1个皇冠了,居然还能行骗,看起来有点东西哦!
三、搜索引擎
我们来试一下两块搜索引擎,看看在搜索引擎社工方面有没有区别!
1.百度搜索
搜索ky36p未找到有价值的线索
搜索硫克莱姆有一些资料
看起来被这个人骗的好不少(附图p4)
在第三篇文章中,我们疑似发现了一个小细节
https://club.sanguosha.com/thread-688204-1-1.html
这里居然神奇的搜到了手机号(这里出于隐私考虑已打码)(附图p5)
顿时,我想到了针对手机号社工的几种方式:
支付宝转账
微信搜索手机号
企业微信
先看第一种,支付宝转账,我们可以看到这里显示设置了隐私(附图p6)
我们这时,从支付宝PC端找回密码,你手机号隐藏了,难道官方还能不让你找回密码吗?(附图p7)
这里可以看到一组阿里云的邮箱账户(附图p8/9)
我们这时扫一开始的线索支付宝二维码(附图p10)
邮箱对上了,现在整理我们刚才收集的资料
手机号:171*****952(考虑到隐私,我们这里已经隐藏)
邮箱:yes***@aliyun.com
2.Google搜索
可以说Google搜索是神奇的,但是需要科学上网。我们直接把手机号粘过去。
未完待续
