Az ember a valaha volt legjobb erőforrás és végpontja a biztonsági réseknek. A Social Engineering egyfajta támadás, amely az emberi viselkedést célozza meg a bizalmuk manipulálásával és játékával, azzal a céllal, hogy bizalmas információkat szerezzenek, például bankszámlát, közösségi médiát, e -mailt, vagy akár hozzáférést a célszámítógéphez. Egyik rendszer sem biztonságos, mert a rendszert emberek készítik. A leggyakoribb támadóvektor, a szociális tervezéssel kapcsolatos támadások, az adathalászat e -mail levélszemét útján. Olyan áldozatot céloznak meg, akinek van pénzügyi számlája, például banki vagy hitelkártya -adatai.
A társadalombiztosítási támadások nem közvetlenül törnek be egy rendszerbe, hanem emberi társas interakciót használnak, és a támadó közvetlenül az áldozattal foglalkozik.
Emlékszel Kevin Mitnick ? A régi korszak társadalommérnöki legendája. Támadási módszereinek többségében azt szokta becsapni az áldozatokkal, hogy azt hiszik, ő rendelkezik a rendszer jogosultságával. Lehet, hogy láttad a Social Engineering Attack bemutató videóját a YouTube -on. Nezd meg!
Ebben a bejegyzésben azt az egyszerű forgatókönyvet mutatom be, hogyan lehet a Social Engineering Attack -t a mindennapi életben megvalósítani. Ez olyan egyszerű, csak gondosan kövesse az oktatóanyagot. Világosan elmagyarázom a forgatókönyvet.
Social Engineering Attack e -mail hozzáférés megszerzéséhez
Cél : E -mail hitelesítő adatok adatainak megszerzése
Támadó : Én
Cél : A barátom. (Tényleg? Igen)
Eszköz : Kali Linuxot futtató számítógép vagy laptop. És a mobilom!
Környezet : Iroda (munkahelyen)
Eszköz : Social Engineering Toolkit (SET)
Tehát a fenti forgatókönyv alapján elképzelheti, hogy nincs is szükségünk az áldozat eszközére, én a laptopomat és a telefonomat használtam. Csak a fejére és a bizalmára van szükségem, és a hülyeségre is! Mert tudod, az emberi hülyeséget nem lehet foltozni, komolyan!
Ebben az esetben először beállítjuk az adathalász Gmail -fiók bejelentkezési oldalát a Kali Linux rendszeren, és a telefonomat használom kiváltó eszközként. Miért használtam a telefonomat? Az alábbiakban elmagyarázom, később.
Szerencsére nem telepítünk semmilyen eszközt, a Kali Linux gépünk előre telepített SET (Social Engineering Toolkit) programmal rendelkezik. Igen, ha nem tudja, mi az a SET, megadom az eszközkészlet hátterét.
A Social Engineering Toolkit az emberi oldali penetrációs teszt elvégzésére készült. SET ( hamarosan ) a TrustedSec alapítója fejlesztette ki ( https://www.trustedsec.com/social-engineer-toolkit-set/ ) , amely Python nyelven íródott, és nyílt forráskódú.
Rendben, elég volt, gyakoroljuk. Mielőtt végrehajtanánk a social engineering támadást, először be kell állítanunk phising oldalunkat. Itt ülök az asztalomon, a számítógépem (Kali Linuxot futtatva) ugyanahhoz a Wi-Fi hálózathoz csatlakozik az internethez, mint a mobilom (androidot használok).
1. LÉPÉS A PHISING OLDAL BEÁLLÍTÁSA
A Setoolkit parancssori felületet használ, ezért ne várjon 'kattintó-kattintó' dolgokat itt. Nyissa meg a terminált, és írja be:
~# setoolkitLátni fogja az üdvözlő oldalt felül és a támadási lehetőségeket alul, valami ilyesmit kell látnia.
Igen, természetesen fellépünk Társadalomtechnikai támadások , ezért válassza ki a számot 1 és nyomja meg az ENTER billentyűt.
És akkor megjelenik a következő lehetőségek, és válassza ki a számot 2. Weboldal támadási vektorok. Találat BELÉP.
Ezután a számot választjuk 3. Credential Harvester Attack Method . Találat Belép.
A további lehetőségek szűkebbek, a SET előre formázott phising oldalt tartalmaz népszerű webhelyekről, például Google, Yahoo, Twitter és Facebook. Most válassza ki a számot 1. Web sablonok .
Mivel a Kali Linux számítógépem és a mobiltelefonom ugyanabban a Wi-Fi hálózatban volt, ezért csak írja be a támadót ( a PC -m ) helyi IP -cím. És ütni BELÉP.
PS: Az eszköz IP -címének ellenőrzéséhez írja be: „ifconfig”
Rendben, eddig beállítottuk a módszert és a hallgató IP -címét. Ebben a lehetőségben az előre meghatározott webes adathalász sablonok szerepelnek, amint azt fentebb említettem. Mivel a Google -fiók oldalát céloztuk meg, ezért a számot választjuk 2. Google . Találat BELÉP .
azMost a SET elindítja a Kali Linux webszervert a 80 -as porton, a hamis Google -fiók bejelentkezési oldalával. Beállításunk elkészült. Most készen állok belépni a barátaim szobájába, hogy mobiltelefonommal bejelentkezzek erre az adathalász oldalra.
2. LÉPÉS VADÁZATI ÁLDOZATOK
Miért használok mobiltelefont (android)? Nézzük meg, hogyan jelenik meg az oldal a beépített android böngészőben. Tehát bekapcsolom a Kali Linux webszerveremet 192,168,43,99 a böngészőben. És itt az oldal:
Lát? Olyan valóságosnak tűnik, nincsenek biztonsági problémák megjelenítve rajta. Az URL -címsor, amely a címet mutatja, és maga az URL. Tudjuk, hogy a hülyék fel fogják ismerni ezt az eredeti Google -oldalt.
Szóval, előveszem a mobiltelefonomat, bemegyek a barátomhoz, és úgy beszélek vele, mintha nem sikerült volna bejelentkeznem a Google -ba, és cselekedni kell, ha arra vagyok kíváncsi, hogy a Google összeomlott vagy hibázott -e. Odaadom a telefonomat, és megkérem, hogy próbálja meg bejelentkezni a fiókjával. Nem hiszi a szavaimat, és azonnal elkezdi beírni a fiókadatait, mintha itt semmi rossz nem történne. Haha.
Már beírta az összes szükséges űrlapot, és hagyta, hogy rákattintsak a Bejelentkezés gomb. Rákattintok a gombra ... Most töltődik be ... És akkor megkaptuk a Google keresőmotorjának ilyen főoldalát.
PS: Miután az áldozat rákattint a Bejelentkezés gombot, akkor elküldi a hitelesítési információkat a figyelőgépünknek, és naplózásra kerül.
Semmi sem történik, mondom neki Bejelentkezés gomb még mindig ott van, de nem sikerült bejelentkeznie. És akkor újra megnyitom a phising oldalt, miközben ennek a hülyének egy másik barátja jön hozzánk. Van egy újabb áldozatunk.
Amíg meg nem szakítom a beszédet, visszamegyek az asztalomhoz, és megnézem a SET naplóját. És itt kaptunk,
Goccha… Tww you !!!
Következtetésképpen
Nem vagyok jó mesélni ( ez a lényeg ), összefoglalva a támadást, a következő lépések:
- Nyisd ki 'setoolkit'
- Választ 1) Társadalomtechnikai támadások
- Választ 2) Weboldal támadási vektorok
- Választ 3) Credential Harvester Attack Method
- Választ 1) Web sablonok
- Írja be a IP-cím
- Választ Google
- Boldog vadászatot ^_ ^