信息安全 - 如何调查欺诈性电子邮件中的个人信息是从哪里泄露的？ - 吾爱随笔录

如何调查欺诈性电子邮件中的个人信息是从哪里泄露的？

信息安全网络钓鱼电子邮件欺骗敏感数据暴露电子邮件附件

2021-08-12 00:40:28

我看到一封电子邮件，从内容中可以明显看出这是一封网络钓鱼/虚假电子邮件。但是，个人内容非常具有启发性和特定于该个人。我该如何着手调查这些个人数据是如何以及从何处“泄露”的？

内容/文本的示例是：

Dear XXX, Invoice - HWNG6945RYVIZ
NAME SURNAME
1st Line of address
2nd Line of address
County
Postcode
Pass - 1234
I look forward to hearing from you,
Sender's Name

还值得注意的是，电子邮件有一个 zip 附件，因此这是一个巨大的突出不，不，这是狡猾的。但是，如上所述，它们确实包含的信息非常准确。那么他们是从哪里得到的呢？

4个回答

这可能与几乎任何事情有关，个人信息就像暗网上的任何其他“东西”一样出售，甚至是相对合法的实体在“网络”上出售的个人信息，Databrokers就像任何其他东西一样出售个人信息。

除此之外，正如@anon 所说，OSINT 工具可能用于收集有关人员的信息，并且有很多这样的工具（Shodan、Recon-ng、Foca、Maltego ......）。

另一种方式也是以前的数据泄露定义为：

“数据泄露是一种安全事件，其中敏感、受保护或机密数据被未经授权的个人复制、传输、查看、窃取或使用。”

您可以在Have I been pwned使用您的电子邮件检查您是否是先前已知数据泄露的受害者。

希望它有所帮助

检查个人信息的一种方法是使用谷歌。只需插入您要搜索的字符串并用“包围它。例如“NAME SURNAME”。这将显示一些找到该匹配项的网站。您也可以从该邮件中检查其他个人数据。这样您就可以可以接近信息泄露的源头。

有一种称为 Google Dorking 的方法，即使您没有具体目标，您也可以通过使用 google 来获取各种信息。（见：https : //en.wikipedia.org/wiki/Google_hacking）有很多数据库包含了这些傻瓜。（见：https ://www.exploit-db.com/google-hacking-database/ ）

另一件需要深入研究的是 OSINT（开源情报）工具，它从互联网上的各种数据库中收集此类信息。这些工具中的大多数都是公开可用的，并且集成在 Kali Linux 中。（https://www.kali.org）

有些人喜欢过去从公开可用但现已关闭的网络服务器获取此类信息。此信息的一个来源是：https ://archive.org/search.php

而且由于我不知道您的“被黑”人是谁-可能是，有一些公开可用的社交网络，您可以从中获取一些数据（例如 facebook、google+、twitter），甚至是他自己的主页，其中他的信息是在“联系人”部分或使用whois.

还要考虑在“被黑客入侵”的人周围有一些人知道这些信息，只是将它们告诉其他人，而没有使用超级安全的加密技术来保护它们的私密性（或者可能是攻击者本人）。

最后但并非最不重要的一点是，您公司中的某个人可能会泄露这些信息，或者是攻击者本人。

尽管我讨厌想到最后两点，但我仍然认为它们是可能的，而且可能很难被发现。

您的 PI（个人信息）就是您的 PI，在 21 世纪，您无法避免将其传播到各处。这意味着当有人拥有你的 PI 时，很难找出他们可能从哪里得到它。在某些国家/地区，您拥有要求公司告知您的合法权利，但这显然只有在电子邮件的来源易于识别的情况下才有效，而网络钓鱼者和其他犯罪分子通常不会这样做。

我识别 PI 泄露的方法是为我使用的每个网站提供不同的电子邮件地址。如果您注册一个自己的域名，然后将其电子邮件服务器配置为包罗万象，您就可以做到这一点。这样，到达该域的所有电子邮件都会转到一个邮箱，您无需为每个网站创建新的电子邮件帐户。是的，如果您无论如何都不需要带有邮件服务器的域名，这会花钱，但是不必忍受大多数免费电子邮件服务附带的广告和隐私侵权行为就值得单独入场，IMO。

因此，每当有人向我询问我的电子邮件地址时，我都会在表格中给他们一个地址[theirname]@[mydomain]。当有人想向我发送网络钓鱼或垃圾邮件时，他们通常会对数据集随附的电子邮件地址执行此操作，因此，当我突然在仅提供给单个网站的地址上收到垃圾邮件时，我知道是谁丢失或出售了它.

您需要注意此方案的一个缺点是注册域意味着将您的 PI 放入公共 WHOIS 数据库。因此，任何意识到您这样做的人都可以从您的电子邮件地址中找到您的个人信息。但全自动数据挖掘器通常无法连接这些点，因为他们无法确定您是唯一使用该域电子邮件地址的人。但是，如果您想安全，请使用代理注册服务。

如果您担心您注册的网站会泄露您的信息，追踪泄露的一种可能方法是注册每个网站的名称和电子邮件地址略有不同。

最简单的方法是更改您的中间名。因此，您将以 John A. Djuro 的身份注册一个网站，以 John B. Djuro 的身份注册下一个网站，然后以 John C. Djuro 的身份注册，以此类推。这样做的好处是，发送给您的所有邮件仍应送达您，但您会在收到未经请求的邮件或包含您使用的相应名称的电子邮件时看到。

对于电子邮件地址，您可以为注册的每个站点使用单独的地址。这样做的一种可能性是按照@Philip 在另一个答案中的建议注册您自己的域。此外，一些免费邮件提供商允许您修改地址并仍然接收所有邮件。在收到的消息中，您将看到消息发送到的地址。例如，如果您有一个 GMail 帐户，您可以添加一个加号和您想要的任何字符串到您的地址。因此，如果您拥有 djuro@gmail.com，您可以使用 djuro+fishywebservice@gmail.com 注册到某个站点，并且仍然会收到他们的电子邮件。请参阅此处的 GMail 帮助，“使用 Gmail 别名”的底部部分。

然而，一旦你掌握了这些信息，你就没有什么可以做的了。当面对出售您的数据的指控时，没有一家头脑正常的公司会证实他们这样做了，您可能很难找到不利于他们的确凿证据。您唯一能做的就是终止与他们的业务关系，但这仍然不会泄露您的个人信息。

其它你可能感兴趣的问题

上一篇从 XSS 中保护大型、旧的电子商务网站？下一篇Facebook 登录表单是否在 URL 中使用 SSL 而没有 https？