Phenquestions
Människor är den bästa resursen och slutpunkten för säkerhetsproblem någonsin. Social Engineering är en slags attack som riktar sig till mänskligt beteende genom att manipulera och spela med deras förtroende, i syfte att få konfidentiell information, som bankkonto, sociala medier, e-post, till och med tillgång till måldator. Inget system är säkert, eftersom systemet är tillverkat av människor.Den vanligaste attackvektorn som använder socialtekniska attacker är spridning av nätfiske via skräppost via e-post. De riktar sig till ett offer som har ett finansiellt konto som bank- eller kreditkortsinformation.
Socialtekniska attacker bryter inte in i ett system direkt, utan använder mänsklig social interaktion och angriparen hanterar offret direkt.
Kommer du ihåg Kevin Mitnick? Social Engineering-legenden från den gamla eran. I de flesta av sina attackmetoder brukade han lura offer att tro att han innehar systemmyndigheten. Du kanske har sett hans Social Engineering Attack demo-video på YouTube. Titta på det!
I det här inlägget ska jag visa dig det enkla scenariot för hur man implementerar Social Engineering Attack i det dagliga livet. Det är så enkelt, följ bara handledningen noggrant. Jag kommer att förklara scenariot tydligt.
Social Engineering Attack för att få tillgång till e-post
Mål: Få information om e-postinformation
Angripare: Jag
Mål: Min vän. (Verkligen? ja)
Enhet: Dator eller bärbar dator som kör Kali Linux. Och min mobiltelefon!
Miljö: Kontor (på jobbet)
Verktyg: Social Engineering Toolkit (SET)
Så baserat på scenariot ovan kan du föreställa dig att vi inte ens behöver offrets enhet, jag använde min bärbara dator och min telefon. Jag behöver bara hans huvud och förtroende, och dumhet också! För att du vet, mänsklig dumhet kan inte lappas på allvar!
I det här fallet ska vi först ställa in phishing-inloggningssidan för Gmail-kontot i min Kali Linux och använda min telefon för att vara en utlösarenhet. Varför jag använde min telefon? Jag kommer att förklara nedan, senare.
Lyckligtvis kommer vi inte att installera några verktyg, vår Kali Linux-maskin har förinstallerat SET (Social Engineering Toolkit), det är allt vi behöver. Åh ja, om du inte vet vad SET är, kommer jag att ge dig bakgrunden till denna verktygslåda.
Social Engineering Toolkit, är designat för att utföra penetrationstest på människan. UPPSÄTTNING (inom kort) är utvecklat av grundaren av TrustedSec (https: // www.trustedsec.com / social-engineer-toolkit-set /), som är skrivet i Python, och det är öppen källkod.
Okej det var nog, låt oss göra övningen. Innan vi genomför en socialteknisk attack måste vi först ställa in vår phising-sida. Här sätter jag mig på mitt skrivbord, min dator (som kör Kali Linux) är ansluten till internet samma Wi-Fi-nätverk som min mobiltelefon (jag använder Android).
STEG 1. INSTÄLLNING FISISID
Setoolkit använder kommandoradsgränssnittet, så förvänta dig inte "klick-klick" av saker här. Öppna terminalen och skriv:
~ # setoolkitDu kommer att se välkomstsidan högst upp och attackalternativen längst ner, du borde se något liknande.
Ja, naturligtvis, vi ska uppträda Socialtekniska attacker, så välj nummer 1 och tryck ENTER.
Och då kommer du att visas nästa alternativ och välja nummer 2. Webbplatsattackvektorer. Träffa STIGA PÅ.
Därefter väljer vi nummer 3. Credential Harvester Attack Method. Träffa Stiga på.
Ytterligare alternativ är smalare, SET har förformaterad phising-sida med populära webbplatser, som Google, Yahoo, Twitter och Facebook. Välj nu nummer 1. Webbmallar.
För att min Kali Linux-dator och min mobiltelefon var i samma Wi-Fi-nätverk, så skriv bara angriparen (min dator) lokal IP-adress. Och slå STIGA PÅ.
PS: För att kontrollera enhetens IP-adress, skriv: 'ifconfig'
Hittills har vi ställt in vår metod och lyssnarens IP-adress. I de här alternativen listas fördefinierade webb-phising-mallar som jag nämnde ovan. Eftersom vi riktade Google-kontosidan väljer vi nummer 2. Google. Träffa STIGA PÅ.
de
Nu startar SET min Kali Linux-webbserver på port 80 med den falska inloggningssidan för Google-kontot. Vår installation är klar. Nu är jag redo att gå in i mitt vännerrum för att logga in på denna phishing-sida med min mobiltelefon.
STEG 2. JAKTSOFFER
Anledningen till att jag använder mobiltelefon (Android)? Låt se hur sidan visas i min inbyggda Android-webbläsare. Så jag öppnar min Kali Linux-webbserver på 192.168.43.99 i webbläsaren. Och här är sidan:
Ser? Det ser så verkligt ut att det inte finns några säkerhetsproblem på det. URL-fältet som visar titeln istället själva URL: n. Vi vet att de dumma kommer att känna igen detta som den ursprungliga Google-sidan.
Så jag tar med mig min mobiltelefon och går in i min vän och pratar med honom som om jag inte kunde logga in på Google och agera om jag undrar om Google kraschade eller gjorde fel. Jag ger min telefon och ber honom försöka logga in med sitt konto. Han tror inte på mina ord och börjar genast skriva in sin kontoinformation som om inget kommer att hända dåligt här. Haha.
Han har redan skrivit in alla nödvändiga formulär och låt mig klicka på Logga in knapp. Jag klickar på knappen ... Nu laddas den ... Och så har vi Googles huvudsida så här.
PS: När offret klickar på Logga in knappen skickar den autentiseringsinformationen till vår lyssnarmaskin och den loggas.
Ingenting händer, säger jag honom Logga in -knappen finns kvar, men du kunde inte logga in. Och sedan öppnar jag phising-sidan igen, medan en annan vän till den här dumma kommer till oss. Nej, vi har ett annat offer.
Innan jag klippte samtalet, går jag tillbaka till mitt skrivbord och kontrollerar loggen för mitt SET. Och här har vi det,
Goccha ... Jag svarar på dig!!!
Sammanfattningsvis
Jag är inte bra på att berätta (det är poängen), för att sammanfatta attacken hittills är stegen:
- Öppna 'setoolkit'
- Välja 1) Socialtekniska attacker
- Välja 2) Webbplatsattackvektorer
- Välja 3) Credential Harvester Attack Method
- Välja 1) Webbmallar
- Mata in IP-adress
- Välja Google
- Lycklig jakt ^ _ ^
