安全矩阵

 找回密码
 立即注册
搜索
查看: 31|回复: 0

已知邮箱,如何求手机号码?

[复制链接]

96

主题

131

帖子

648

积分

高级会员

Rank: 4

积分
648
发表于 7 天前 | 显示全部楼层 |阅读模式
本帖最后由 gclome 于 2020-5-19 23:19 编辑

原文链接:已知邮箱,如何求手机号码?

已知某人的邮箱地址为zhangsanXXX@sohu.com,如何找到他的手机号码
解:工业和信息化部《电信网编号计划(2017年版)》规定:公众移动网电话号码为11位,物联网网号为13位。理论上11位电话号码有1000亿个。

01.通过“密码找回”获取手机号片段:
一般人都会使用相同的邮箱和手机号注册京东、支付宝、微信、微博、携程、大众点评等应用。以京东为例,在“找回密码”页面输入已知的邮件地址:

输入邮箱地址点击验证后,选择”使用手机短信验证码+身份ID“双重认证,下一页将提示与之关联的手机号码片段。

大部分热门应用的密码重置过程均大致如此,不过有的是显示前2位+后4位,有的是前3位+后2位数字,屏蔽位数完全由企业和开发人员决定。APPLE只显示2位数字,值得表扬;携程给了前3位+后4位,比较大方,也值得“表扬”;支付宝除了部分手机号,还能看到银行卡开户行和卡号后4位。经过上述“密码找回”操作,可得到如下结果。
158-XXXX-8916
11位数字已知7个,未知4个。可能性从1000亿降低到1万

02使用公开数据库筛选:
我国手机号码格式为:3位网号 +4位HLR识别号+4位用户号码,例如:
139-1234-5678
其中139代表运营商(移动),5678是用户号码。1234是HSS/HLR识别码,或者叫地区编码。比如1391234是移动江苏常州、1301234是联通重庆的HLR编号。在网上可找到每月更新的手机归属地数据库,字段包括省份、城市、运营商等信息。158XXXX,上海有210个,成都有170个,西安有108个。

假设张三是北京的手机号,158移动目前北京有230个号段:1580100~1580169,1581000~1581159。待筛选号码剩下230。如果是二级城市,范围就更小。以北京为例,生成158XXXX8916的230条手机号码。

利用网络空号检测平台(广泛应用于短信群发、电话营销、呼叫中心外包、保险代理等行业),筛选手机号码是否为实号,空号,停机,流量卡,沉默号。待筛选号码再次缩小范围为163

03 反查
用待筛选号码反向核对邮箱地址。
方法一:用筛选后的手机号码来重置密码,获取邮件地址片段进行反向验证。以京东为例,入手机号码后,选择“使用E-mail验证码+银行卡信息”。下一页将提示与手机相关联的邮件地址片段。

和已知邮件地址特征匹配,大功告成!

方法二:微信,支付宝反查。将筛选后的手机列表导入手机通讯录,因为现在手机大多都绑定支付宝或微信,导入通讯录后会关联他的微信,通过相关细节可确定手机号。或使用支付宝转账功能反查,通过向手机号或邮箱转账,匹配姓氏,找出可能性接近的进行核实,如果对方没有关闭“通过邮箱找到我”、“通过手机号找到我”,可迅速匹配。

通过上述步骤,可在对方毫无感知的情况下可获取与电子邮件地址关联的完整手机号码。

如果城市未知或其他情况,可通过搜索引擎等其他多种方式进一步进行筛选。如使用某开源情报工具搜索该邮件地址注册的APPLE、领英、Twitter账户和GOOGLE用户ID,部分社交媒体的头像和ID等信息如下。


以上信息均为虚构,
“人肉搜索”不可越界。

建 议
1、分类分级将线上/线下、工作/生活、重要/普通信息身份区分。工作使用企业邮箱,生活使用个人邮箱,不同APP不同重要级别的账户使用不同的用户名和口令,社交媒体尽量不使用相同账号。不同数据库无法撞库,无法形成关联;
2、除非严格要求,尽可能不在网上提供电话号码,如果必须提供,尽可能使用小号,谨慎公开主要号码。更换手机号码要对原来的手机应用进行彻底解绑;
3、应用服务商应进一步完善密码找回功能的安全设置及账户注销、解绑、删除数据等功能。

警 告

【1】中华人民共和国刑法(1997年03月14日发布,1997年10月01日实施,2017年11月04日修订)
第二百五十三条
邮政工作人员私自开拆或者隐匿、毁弃邮件、电报的,处二年以下有期徒刑或者拘役。
犯前款罪而窃取财物的,依照本法第二百六十四条的规定定罪从重处罚。
第二百五十三条之一
违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。
窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。
单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。

【2】《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(2017年5月8日):
(2017年3月20日最高人民法院审判委员会第1712次会议、2017年4月26日最高人民检察院第十二届检察委员会第63次会议通过,自2017年6月1日起施行)
  为依法惩治侵犯公民个人信息犯罪活动,保护公民个人信息安全和合法权益,根据《中华人民共和国刑法》《中华人民共和国刑事诉讼法》的有关规定,现就办理此类刑事案件适用法律的若干问题解释如下:
  第一条 刑法第二百五十三条之一规定的“公民个人信息”,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。
  第二条 违反法律、行政法规、部门规章有关公民个人信息保护的规定的,应当认定为刑法第二百五十三条之一规定的“违反国家有关规定”。
  第三条 向特定人提供公民个人信息,以及通过信息网络或者其他途径发布公民个人信息的,应当认定为刑法第二百五十三条之一规定的“提供公民个人信息”。
  未经被收集者同意,将合法收集的公民个人信息向他人提供的,属于刑法第二百五十三条之一规定的“提供公民个人信息”,但是经过处理无法识别特定个人且不能复原的除外。
  第四条 违反国家有关规定,通过购买、收受、交换等方式获取公民个人信息,或者在履行职责、提供服务过程中收集公民个人信息的,属于刑法第二百五十三条之一第三款规定的“以其他方法非法获取公民个人信息”。
  第五条 非法获取、出售或者提供公民个人信息,具有下列情形之一的,应当认定为刑法第二百五十三条之一规定的“情节严重”:
  (一)出售或者提供行踪轨迹信息,被他人用于犯罪的;
  (二)知道或者应当知道他人利用公民个人信息实施犯罪,向其出售或者提供的;
  (三)非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的;
  (四)非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的;
  (五)非法获取、出售或者提供第三项、第四项规定以外的公民个人信息五千条以上的;
  (六)数量未达到第三项至第五项规定标准,但是按相应比例合计达到有关数量标准的;
  (七)违法所得五千元以上的;
  (八)将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人,数量或者数额达到第三项至第七项规定标准一半以上的;
  (九)曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法获取、出售或者提供公民个人信息的;
  (十)其他情节严重的情形。
  实施前款规定的行为,具有下列情形之一的,应当认定为刑法第二百五十三条之一第一款规定的“情节特别严重”:
  (一)造成被害人死亡、重伤、精神失常或者被绑架等严重后果的;
  (二)造成重大经济损失或者恶劣社会影响的;
  (三)数量或者数额达到前款第三项至第八项规定标准十倍以上的;
  (四)其他情节特别严重的情形。
  第六条 为合法经营活动而非法购买、收受本解释第五条第一款第三项、第四项规定以外的公民个人信息,具有下列情形之一的,应当认定为刑法第二百五十三条之一规定的“情节严重”:
  (一)利用非法购买、收受的公民个人信息获利五万元以上的;
  (二)曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法购买、收受公民个人信息的;
  (三)其他情节严重的情形。
  实施前款规定的行为,将购买、收受的公民个人信息非法出售或者提供的,定罪量刑标准适用本解释第五条的规定。
  第七条 单位犯刑法第二百五十三条之一规定之罪的,依照本解释规定的相应自然人犯罪的定罪量刑标准,对直接负责的主管人员和其他直接责任人员定罪处罚,并对单位判处罚金。
  第八条 设立用于实施非法获取、出售或者提供公民个人信息违法犯罪活动的网站、通讯群组,情节严重的,应当依照刑法第二百八十七条之一的规定,以非法利用信息网络罪定罪处罚;同时构成侵犯公民个人信息罪的,依照侵犯公民个人信息罪定罪处罚。
  第九条 网络服务提供者拒不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,致使用户的公民个人信息泄露,造成严重后果的,应当依照刑法第二百八十六条之一的规定,以拒不履行信息网络安全管理义务罪定罪处罚。
  第十条 实施侵犯公民个人信息犯罪,不属于“情节特别严重”,行为人系初犯,全部退赃,并确有悔罪表现的,可以认定为情节轻微,不起诉或者免予刑事处罚;确有必要判处刑罚的,应当从宽处罚。
  第十一条 非法获取公民个人信息后又出售或者提供的,公民个人信息的条数不重复计算。
  向不同单位或者个人分别出售、提供同一公民个人信息的,公民个人信息的条数累计计算。
  对批量公民个人信息的条数,根据查获的数量直接认定,但是有证据证明信息不真实或者重复的除外。
  第十二条 对于侵犯公民个人信息犯罪,应当综合考虑犯罪的危害程度、犯罪的违法所得数额以及被告人的前科情况、认罪悔罪态度等,依法判处罚金。罚金数额一般在违法所得的一倍以上五倍以下。
  第十三条 本解释自2017年6月1日起施行。


参考:
【2】GB/T 35273-2020 信息安全技术 个人信息安全规范

【3】工业和信息化部关于发布《电信网编号计划(2017年版)》的通告,http://www.miit.gov.cn/n1146295/ ... 623267/content.html
【4】最高人民法院 最高人民检察院 关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释,http://www.spp.gov.cn/xwfbh/wsfbt/201705/t20170509_190088.shtml
【6】https://www.martinvigo.com/



回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2020-5-26 16:46 , Processed in 0.013418 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表