利用斯拉夫字母辅助社会工程学攻击思路
这个思路是很早以前在暗组看到的,当时把暗组社会工程学版块的所有帖子都翻了一遍,发现很多都是没什么营养的,但有一篇让我脑洞大开,于是果断保存了下来。
这里用到的是一种特殊字母,叫斯拉夫字母 (也叫西里尔字母),点此查看百度百科。
斯拉夫字母中的个别字母在网页中显示的效果与普通英文字母几乎一模一样,肉眼很难看出区别。
- 大写斯拉夫字母:АВЕКМНОРСТУХЫЬ
- 小写斯拉夫字母:авекмнорстухыь
- 普通英文字母 :
aBekMHopcTyXblb
由于一些网站未限制注册用户使用特殊字符,于是我们可以借助斯拉夫字母和普通英文字母构造出和其他用户极其相似的ID。
例如大部分论坛或网站默认的管理员账户是admin,我们试图注册这个账户时会提示该用户已存在或不允许注册。
但我们可以通过斯拉夫字母构造出аdmin这个账户,看不出来哪里不一样?把它复制粘贴到记事本试试。
以下是已构造好的一些ID。
аdmin bоss lоve nоkia rооt gоd wаp Emаil mаil foxmаil Gmаil
gооgle bаidu sоhu yahоо dоs rооtkit wеbshell shеll sinа microsоft
tencent МSN windоws Ghоst Ыack hаck hаcker crаcker DDоS
粘贴到记事本将现出原形:
我们把构造好的组合粘贴到注册窗口,如果该网站没有对特殊符号进行限制通常会出现一个绿色的对勾告诉我们可以注册。
一旦注册成功我们就可以利用这个ID辅助我们进行社会工程学攻击,比如发送钓鱼的链接给其他用户诱骗其点击,还可以换上管理员的头像提高相似度,管理员账户发送的消息中的链接用户点击的机率会大许多。
这只是个思路,分享出来希望对大家有所帮助。
评论113次
很多年前看过,思路确实很淫荡!
https://unicode-table.com/cn/blocks/cyrillic/ 这里有比较全的表
在浏览器安全一书中有更多类似字符和套路
老哥可否发一下完整的书名??谢谢。
受用,学到一张,社工时用处很大
不错不错
楼主兄弟够猥琐够精
你别说这个admin真的肉眼看不出来,虚心学xi了这个思路,不过用到的地方比较少,太被动了
这个用来钓鱼冒充特定人员的邮箱啥的很不错的
套路不错,极具迷惑性,有点像那些邮箱钓鱼,链接看到的是http://www.baidu.com 然点进去却是钓鱼网站
确实是一个比较好的套路,学xi了
还有这种操作,,,
思路不错~
太套路了 ,不看其他提示什么的会上当。。。。
试了下 在chrome里输入 www.bаidu.com 会变成 www.xn--bidu-53d.com
有意思!
试了下 在chrome里输入 www.bаidu.com 会变成 www.xn--bidu-53d.com
亲测试,但是有些网站字符会限制到30以内,测试不通过,这个应该占字符数太多吧
如果注册域名呢?岂不是一样
在『障眼法』层面利用的点还挺多,不错~
这个套路很深啊,值得一试! 不过还是属于欺骗人眼,没法欺骗电脑。 感谢提供思路。
很厉害啊
又见一淫荡思路,学xi了