【分享】利用斯拉夫字母辅助社会工程学攻击思路

in 社会工程学 with 0 comment

wallhaven-616442.jpg
之前就看到个比较骚的套路,用到的是一种特殊字母,叫斯拉夫字母 (也叫西里尔字母)。
斯拉夫字母中的个别字母在网页中显示的效果与普通英文字母几乎一模一样,肉眼很难看出区别。

大写斯拉夫字母:АВЕКМНОРСТУХЫЬ
小写斯拉夫字母:авекмнорстухыь
普通英文字母 :
aBekMHopcTyXblb

由于一些网站未限制注册用户使用特殊字符,于是我们可以借助斯拉夫字母和普通英文字母构造出和其他用户极其相似的ID。

例如大部分论坛或网站默认的管理员账户是admin,我们试图注册这个账户时会提示该用户已存在或不允许注册。

但我们可以通过斯拉夫字母构造出аdmin这个账户,看不出来哪里不一样?把它复制粘贴到记事本试试。

以下是已构造好的一些ID。

аdmin bоss lоve nоkia rооt gоd wаp Emаil mаil foxmаil Gmаil

gооgle bаidu sоhu yahоо dоs rооtkit wеbshell shеll sinа microsоft

tencent МSN windоws Ghоst Ыack hаck hаcker crаcker DDоS

粘贴到记事本将现出原型
特殊字符.txt

我们把构造好的组合粘贴到注册窗口,一旦注册成功我们就可以利用这个ID辅助我们进行社会工程学攻击,比如发送钓鱼的链接给其他用户诱骗其点击,还可以换上管理员的头像提高相似度,管理员账户发送的消息中的链接用户点击的机率会大许多。

Responses