電郵密碼破解,gmail密碼破解,hotmail密碼破解,outlook密碼破解,yahoo密碼破解

Facebook确实想要您的电话号码，一加入您就给您一个电话。这并不是一件坏事，因为它可以通过两步验证来帮助保护您的帐户。另一方面，这使得揭露Facebook上几乎所有人的私人电话号码变得容易，包括名人和政客。我们将研究黑客如何做到这一点以及如何保护自己。

许多Facebook用户甚至忘记了自己的私人电话号码，甚至没有意识到他们的私人电话号码已连接到他们的Facebook帐户。Facebook不允许简单地从手机中提取您的电话号码，但是他们可以在每次启动Facebook时反复要求您确认并保存您的电话号码，从而实现我所说的“相当于网络欺凌的应用程序”。

Facebook上的默认隐私设置允许任何人在您添加电话号码后通过您的电话号码对其进行搜索。这不是新问题。比利时研究人员Inti De Ceukelaire收到的一封信显示，距Facebook Graph搜索已有很长时间，但Facebook选择将此问题作为功能。

当然，名人和政客等人比其他人更应该在线关注其私人身份。但是，任何人都可能以网络跟踪者或黑客为目标。一旦黑客有了电话号码和您的名字，他们便可以快速使用我们在Null Byte上介绍的开源情报（OSINT）工具来获取更多的公共数据，例如职业，雇主，配偶，亲戚，任何其他公共信息。

黑客可以通过直接致电您来利用这些信息进一步进行社交工程攻击。想想经典的“ Microsoft技术支持”骗局，只有试图欺骗您的呼叫者知道您的姓名和个人生活的详细信息。有了这些，很容易使目标认为调用方是合法的。

黑客实际上将如何找到您的号码？从理论上讲，如果他们有很多时间，他们可以搜索所有9,999,999,999个潜在数字，直到偶然发现您的数字。显然，这不是很有效，所以让我们来看看正确的方法。对于实践主题，我将使用DC市长Muriel Bowser（2017）作为随机城市官员。在以下示例中，更改了她的电话号码以保护其真实电话号码。

步骤1使用区号

如果您将目标的电话号码视为所有可能的10位美国电话号码之一，则可以很快看到100亿个北美电话号码，它的列表太大了，无法有效地进行搜索。幸运的是，由于有了北美编号计划（NANP），该计划为美国的电话号码制定了指南，因此他可以减少这一损失。

让我们举个例子：234-235-5678。看一下NANP，我们可以看到前三个数字（234）是区号，并且该计划允许第一个数字为2–9，第二个和第三个数字为0-9。那里的信息消除了黑客名单中十亿个可能的数字。

如果黑客知道或可以对您的住所进行有根据的猜测，那么他们也可以快速利用此功能，因为这很容易进行Google搜索。通过这样做，黑客可以从潜在的猜测列表中进一步删除90亿9.9亿个数字。

在我们的示例（235）中，区号后面的三个数字是中心局前缀。同样，该计划要求第一个数字为2–9，第二个和第三个数字为0–9，但有一个警告。

在第二个数字为1的区号中，第三个数字也不能为1。这再次从黑客的列表中删除了大量电话号码。电话号码的最后四位数字是线路号，在这种情况下为5678。

我猜想是DC的市长会有DC的区号，并且黑客还可以查找目标的Facebook帐户，并可能找到目标居住或工作的家乡或当前城市。一些较大的城市（例如洛杉矶）将在其中包含多个区号，但是无论其中有多少个“拆分”区号，它都仍然大大减少了黑客列出的可能数字。

步骤2获取最后的号码

既然我知道我的目标号码是202-???-????，我想尝试删除尽可能多的问号，以便以后更轻松地进行Facebook搜索。值得庆幸的是，在使用区号之后，Facebook支持了我们，这已成为第二个最简单的步骤。为了获得最后两个数字，我们只需要在密码重置过程中走几步即可。

为此，黑客转到Facebook主页，然后单击“忘记帐户”以开始该过程。

接下来，他们输入要记住的目标名称，然后单击“搜索”按钮。

然后向黑客显示一个列表，其中包括一张与每个匹配帐户配对的面部图片，以帮助他们快速识别目标。我们的目标就在最上方！

然后，Facebook会为黑客提供目标号码的最后两位数字，以及有关与其Facebook帐户关联的电子邮件帐户的一些信息，例如首字母和最后一个字母，有时还包括电子邮件域。

这是黑客必须采取的措施。他们实际上并没有重设密码，也不应这样做，以使目标永远不会收到任何提示以提示他们。

步骤3使用外部来源

PayPal和其他服务拥有2.18亿用户，可以帮助增加攻击者迄今为止收集的信息。在这种情况下，如果目标是PayPal用户，则黑客可以获得我们正在寻找的电话号码的另外两位数字。

在上图中，您可能已经注意到，列出的第一封电子邮件是Gmail帐户，该帐户以“ M”开头，以“ R”结尾。

这很有趣，因为我的目标姓氏以“ M”开头，而她的姓氏以“ R”结尾。对于黑客来说，这是“我用我的名字作为电子邮件！”的尖叫声。怀疑是这种情况，我在Gmail上通过输入进行了检查。

Google接受了它，但这并不一定意味着它就是目标的电子邮件。黑客可以通过执行与Facebook相同的密码重置技巧来进行检查。

是的，这个帐户恰好有一个以69结尾的数字。巧合？我想不是。现在，我可以使用电子邮件了，我可以在新标签页中跳至PayPal，然后再次使用相同的密码重置技巧。

这次，当我进入密码重置屏幕时，我不仅获得了行号的所有四位数，而且还获得了区号的第一个数字！

这使我可以合理地确定我在使用区号方面处于正确的轨道，并验证了我先前在查找最后几个数字上所做的工作。这表示到目前为止，我的电话号码是202-???-6969。换句话说，在短短的几分钟内，我的清单就从100亿个选择增加到了大约一千个。

第4步：暴力破解

在这一点上，黑客可能只是开始将数字扔到Facebook搜索栏中，但这仍然没有那么高效。那么，一个懒惰的黑客做什么呢？他们利用了Facebook功能，可让您进行括号搜索。

Facebook允许您以CSV格式上传联系人列表，然后告诉您联系人是否在Facebook上，以便您可以将其添加为朋友。通过构建自己的潜在号码联系人列表，我可以快速排除大量错误号码。

在这种情况下，我知道这个数字必须在202-000-6969到202-999-6969之间。通过将其切成两半并创建一个从202-000-6969到202-500-6969的数字列表，我可以有效地排除列表的一半，因为目标将仅位于创建的两个列表之一中。然后，我可以上传列表，并立即确定它们是否在列表中。

要创建此列表，我转到了Google通讯录，然后点击“导出”以获取一个示例CSV文件以供使用。

Facebook倾向于接受Google CSV格式的列表，因此我从Google联系人中将其保存下来。

从那里，黑客可以在Google Sheets或Excel中打开文件，然后将电话号码的列公式更改为一个将迭代需要检查的号码的公式，如以下示例所示。

在下面的excel公式中，我首先获取最低值的电话号码，在这种情况下为2020006969，然后再添加10,000，以便将第五位数字增加1。该公式将根据需要重复多次。我们这样做的次数不应超过1000次，因为列表中只有一千个数字可供猜测。如果目标客户没有PayPal帐户来帮助我们获得第三和第四位数字，那么我们将加100以增加第三位数字。

=（ROW（）* 10000）+2020006969

从那里，很容易登录一个Facebook帐户并转到Friend Finder功能。点击Gmail徽标，然后点击“查找朋友”。

接下来，滚动到页面底部，并上传包含您想要尝试的电话号码的CSV文件。

上传后，Facebook会向黑客显示“朋友”列表，以从列表中添加。然后，他们将在该列表中搜索目标。我的目标似乎不在这里，所以我知道他们不在我们这一批数字中。

接下来，我没有测试下一个500，而是将下一个500分成两半，然后检查其中的一半。这是因为我已经知道目标将在第二个列表中，因为它们不在上半部分中。黑客可以通过这种方式继续搜索，直到目标出现在电话号码列表中。

从那以后，黑客将测试越来越少的数字，直到他们只需要进行少量测试。当我减少到大约30个数字时，我停了下来。显然，如果黑客开始使用的电话号码其他数字信息较少，这将花费更长的时间，因为他们将设置更大的数字来进行搜索。Facebook每天将黑客的速率限制为五次尝试，但他们可以通过登录另一个帐户来解决此问题。

步骤5测试最后几个数字

一旦该黑客掌握了很少的数字，他们就可以进入Facebook搜索栏，并一一键入。为此，只需在搜索栏中输入没有连字符的数字即可。如果请求进行得太快，或者搜索太多，Facebook将开始使用CAPTCHA对请求进行速率限制。

但是，当黑客只有30个数字要检查时，这并不是什么防御措施。

总共花了我大约30分钟到一个小时的时间才能找到目标的号码，并且将手机连接到Facebook的任何人都可以使用这些相同的步骤。

步骤6保护自己

保护自己的最简单方法是永远不要将手机连接到Facebook。如果您仍然想使用双重身份验证，Facebook允许您使用USB U2F设备，而不必依靠手机。

如果您绝对必须连接手机，请导航至Facebook设置，选择“隐私”，然后选择“谁可以使用您提供的电话号码查找您？” 将此选项设置为“朋友”。不幸的是，Facebook不允许您将其设置为“ Only me”。

在移动设备上，您可以点击三行菜单图标，选择“帐户设置”（iOS用户必须先选择“设置”），然后点击“隐私”。您将在上方看到相同的“谁可以看您”问题，您可以在其中将首选项更改为“朋友”。

尽管这仍然不能提供绝对的保护，但它将使黑客的生活更加困难。