日志样式
通过网络帐号猜出手机号(一种居于网络开源情报
只知道一个人的网络帐号或是电子邮件,能否知道他/她的手机号码呢?从理论上说,完全是可能做到的。
一种居于网络开源情报搜集的纯理论
当我们畅游在各种社交媒体、网络购物等平台,忘记一些密码而不得不选择“取回”的时候,经常会看到这样的验证身份选项:
-
回答提示问题(自己预设的问题与答案);
-
接收一封带验证链接的电子邮件;
-
接收带有六位数随机码的短信;
因为追求用户“极致体验”,现在第一种方式现在已经不多见了,通常是第二、三种。
让用户通过接收手机短信验证码的方式来重置密码最为简便,在移动互联网时代,讨用户欢心确实很重要。
所以我们今天要讨论的,也就是通过“短信验证码”这第三种方式。
当你选择“忘记密码”时,几乎所有平台的界面上都会有类似的界面提示:
不管你是不是真正这个账户的主人,这个时候平台已经告诉你 5/11 的手机号码了。
不同平台进行提示的位数不一样,我们稍微收集了一下,就有所差异发现:
从理论上来说,如果对方同时拥有淘宝和新浪平台帐号,你已经可以将猜出手机号的6/11,比如:
此时,你应该祈祷还有其它某些平台,可能还会再多提示一位号码,比如说淘宝之前曾经就是提示后4位号码的 —— 如果你在其它平台得到了,那么概率就剩万分之一了。
如果你不辞劳苦的话,碰撞支付宝转账也好,微信ID也好,最多1万次,总有一个是正确的。
但是成功不能总只依赖运气,就算是碰一千次,纯手工也是很不明智的方式。
比如你对这个帐号有所了解,知道地方所在城市,那么你可以通过运营商的号段分配表,从很大程度上缩小号码中间4个数字的取值范围。
然后接下来,你还有其它组合碰撞的方式可以尝试,这里我们就不继续往下讨论了。
最后顺便提一下,国外甚至已经出现了专门的工具(比如Ransombile),可以对常见的网络平台进行批量自动取回动作,主要支持的都是一些热门的站点,相信国内也是有的,不过这些在实际操作中,应当都是不合法的行为。
以上仅作为技术讨论,实际中操作中受到各种制约的因素当然也不少,因为是纯理论我们就暂且忽略不计。
匆忙之余所写,难免有所差池,希望大家多多提出批评指正。
