Oamenii sunt cea mai bună resursă și punctul final al vulnerabilităților de securitate vreodată. Ingineria socială este un fel de atac care vizează comportamentul uman prin manipularea și jucarea cu încrederea lor, cu scopul de a obține informații confidențiale, cum ar fi contul bancar, social media, e-mail, chiar accesul la computerul țintă. Niciun sistem nu este sigur, deoarece sistemul este creat de oameni. Cel mai comun vector de atac care utilizează atacuri de inginerie socială este răspândirea phishingului prin spamul prin e-mail. Aceștia vizează o victimă care are un cont financiar, cum ar fi informații bancare sau de card de credit.
Atacurile de inginerie socială nu intră direct într-un sistem, ci folosesc interacțiunea socială umană, iar atacatorul se ocupă direct de victimă.
Vă amintiți Kevin Mitnick ? Legenda ingineriei sociale a vechii ere. În majoritatea metodelor sale de atac, obișnuia să păcălească victimele să creadă că deține autoritatea sistemului. Este posibil să fi văzut videoclipul său demonstrativ Social Engineering Attack pe YouTube. Uita-te la ea!
În această postare îți voi arăta scenariul simplu al modului în care să implementezi Social Engineering Attack în viața de zi cu zi. Este atât de ușor, trebuie doar să urmați cu atenție tutorialul. Voi explica clar scenariul.
Atac de inginerie socială pentru a avea acces la e-mail
Poartă : Obținerea informațiilor despre contul de acreditare prin e-mail
Atacator : Eu
Ţintă : Prietenul meu. (Sigur da)
Dispozitiv : Computer sau laptop care rulează Kali Linux. Și telefonul meu mobil!
Mediu inconjurator : Birou (la locul de muncă)
Instrument : Set de instrumente pentru inginerie socială (SET)
Deci, pe baza scenariului de mai sus, vă puteți imagina că nici măcar nu avem nevoie de dispozitivul victimei, mi-am folosit laptopul și telefonul. Am nevoie doar de capul și încrederea lui și de prostie! Pentru că, știți, prostia umană nu poate fi reparată, serios!
În acest caz, vom configura mai întâi pagina de conectare a contului Gmail de phishing în Kali Linux și vom folosi telefonul pentru a fi un dispozitiv declanșator. De ce mi-am folosit telefonul? Voi explica mai jos, mai târziu.
Din fericire nu vom instala niciun instrument, mașina noastră Kali Linux are SET preinstalat (Social Engineering Toolkit), de asta avem nevoie doar. Da, dacă nu știți ce este SET, vă voi oferi fundalul acestui set de instrumente.
Social Engineering Toolkit, este proiectat pentru a efectua test de penetrare pe partea umană. A STABILIT ( pe scurt ) este dezvoltat de fondatorul TrustedSec ( https://www.trustedsec.com/social-engineer-toolkit-set/ ) , care este scris în Python și este open source.
Bine, a fost suficient să facem practica. Înainte de a efectua atacul de inginerie socială, trebuie să ne configurăm mai întâi pagina de phising. Aici, stau pe biroul meu, computerul meu (care rulează Kali Linux) este conectat la internet aceeași rețea Wi-Fi ca și telefonul meu mobil (folosesc Android).
PASUL 1. CONFIGURAȚI PAGINA DE FIZICARE
Setoolkit folosește interfața Liniei de comandă, așa că nu vă așteptați la „clic-clic” de lucruri aici. Deschideți terminalul și tastați:
~ # setoolkitVeți vedea pagina de întâmpinare în partea de sus și opțiunile de atac în partea de jos, ar trebui să vedeți așa ceva.
Da, desigur, vom concerta Atacuri de inginerie socială , deci alegeți numărul 1 și apăsați ENTER.
Și apoi veți fi afișate următoarele opțiuni și veți alege numărul 2. Vectori de atac pe site. Lovit INTRODUCE.
Apoi, alegem numărul 3. Metoda de atac a recoltelor . Lovit Introduce.
Alte opțiuni sunt mai restrânse, SET are o pagină de phising pre-formatată a site-urilor web populare, precum Google, Yahoo, Twitter și Facebook. Acum alegeți numărul 1. Șabloane web .
Deoarece computerul meu Kali Linux și telefonul meu mobil se aflau în aceeași rețea Wi-Fi, așa că introduceți atacatorul ( computerul meu ) adresa IP locală. Și lovit INTRODUCE.
PS: Pentru a verifica adresa IP a dispozitivului, tastați: „ifconfig”
Bine până acum, am setat metoda noastră și adresa IP a ascultătorului. În aceste opțiuni enumerate șabloanele de phising web predefinite așa cum am menționat mai sus. Deoarece am vizat pagina contului Google, așa că alegem numărul 2. Google . Lovit INTRODUCE .
theAcum, SET pornește serverul meu Kali Linux pe portul 80, cu pagina falsă de autentificare a contului Google. Configurarea noastră este gata. Acum sunt gata să intru în camera prietenilor mei pentru a mă conecta la această pagină de phishing folosind telefonul meu mobil.
PASUL 2. VINTELE VÂNĂTORII
Motivul pentru care folosesc telefonul mobil (Android)? Să vedem cum se afișează pagina în browserul meu Android încorporat. Așadar, îmi accesez serverul web Kali Linux 192.168.43.99 în browser. Și iată pagina:
Vedea? Pare atât de real, încât nu există probleme de securitate afișate pe acesta. Bara URL care afișează titlul în loc de URL-ul în sine. Știm că proștii vor recunoaște acest lucru drept pagina originală Google.
Așadar, îmi aduc telefonul mobil și mă duc la prietenul meu și vorbesc cu el de parcă nu am reușit să mă conectez la Google și să acționez dacă mă întreb dacă Google sa prăbușit sau a greșit. Îmi dau telefonul și îl rog să încerce să se conecteze folosind contul său. El nu crede cuvintele mele și începe imediat să introducă informațiile contului său de parcă nimic nu se va întâmpla prost aici. Haha.
A tastat deja toate formularele necesare și mi-a permis să fac clic pe Loghează-te buton. Fac clic pe butonul ... Acum se încarcă ... Și apoi avem pagina principală a motorului de căutare Google astfel.
PS: Odată ce victima face clic pe Loghează-te butonul, va trimite informațiile de autentificare la aparatul nostru de ascultare și este înregistrat.
Nu se întâmplă nimic, îi spun, Conectare butonul este încă acolo, totuși nu ați reușit să vă autentificați. Și apoi deschid din nou pagina de phising, în timp ce un alt prieten al acestui prost vine la noi. Nu, avem o altă victimă.
Până când întrerup discuția, mă întorc la biroul meu și verific jurnalul SET-ului meu. Și aici avem,
Goccha ... te pun pe tine !!!
In concluzie
Nu mă pricep la povestiri ( acesta este punctul ), pentru a rezuma atacul până acum pașii sunt:
- Deschis „setoolkit”
- Alege 1) Atacuri de inginerie socială
- Alege 2) Vectori de atac pe site
- Alege 3) Metoda de atac a recoltatorului de acreditări
- Alege 1) Șabloane web
- Introduceți fișierul adresa IP
- Alege Google
- Vânătoare fericită ^ _ ^