Människor är den bästa resursen och slutpunkten för säkerhetsproblem. Social Engineering är en slags attack riktad mot mänskligt beteende genom att manipulera och leka med deras förtroende, i syfte att få konfidentiell information, till exempel bankkonto, sociala medier, e -post, till och med tillgång till måldator. Inget system är säkert, eftersom systemet är skapat av människor. Den vanligaste attackvektorn som använder sociala tekniska attacker sprids nätfiske via e -postskräp. De riktar sig till ett offer som har ett finansiellt konto som bank- eller kreditkortsinformation.
Socialtekniska attacker bryter inte direkt in i ett system, det använder istället mänsklig social interaktion och angriparen hanterar offret direkt.
Kommer du ihåg Kevin Mitnick ? Social Engineering -legenden om den gamla eran. I de flesta av sina attackmetoder brukade han lura offren att tro att han innehar systemmyndigheten. Du kanske har sett hans demo -video från Social Engineering Attack på YouTube. Titta på det!
I det här inlägget ska jag visa dig det enkla scenariot för hur du implementerar Social Engineering Attack i det dagliga livet. Det är så enkelt, följ bara handledningen noggrant. Jag kommer att förklara scenariot tydligt.
Social Engineering Attack för att få tillgång till e -post
Mål : Få kontouppgifter för e -postadress
Angripare : Jag
Mål : Min vän. (Verkligen, ja)
Enhet : Dator eller bärbar dator som kör Kali Linux. Och min mobiltelefon!
Miljö : Kontor (på jobbet)
Verktyg : Social Engineering Toolkit (SET)
Så, baserat på scenariot ovan kan du föreställa dig att vi inte ens behöver offrets enhet, jag använde min bärbara dator och min telefon. Jag behöver bara hans huvud och förtroende, och dumhet också! För, du vet, mänsklig dumhet kan inte lappas, seriöst!
I det här fallet kommer vi först att konfigurera inloggningssidan för phishing -Gmail -konto i mitt Kali Linux och använda min telefon för att vara en trigger -enhet. Varför använde jag min telefon? Jag kommer att förklara nedan, senare.
Lyckligtvis kommer vi inte att installera några verktyg, vår Kali Linux-maskin har förinstallerat SET (Social Engineering Toolkit), det är allt vi behöver. Åh ja, om du inte vet vad SET är, kommer jag att ge dig bakgrunden till denna verktygssats.
Social Engineering Toolkit, är designad för att utföra penetrationstest på människosidan. UPPSÄTTNING ( inom kort ) är utvecklad av grundaren av TrustedSec ( https://www.trustedsec.com/social-engineer-toolkit-set/ ) , som är skrivet i Python, och det är öppen källkod.
Okej det var nog, låt oss öva. Innan vi genomför attacken med social engineering måste vi först skapa vår phising -sida. Här sitter jag på mitt skrivbord, min dator (som kör Kali Linux) är ansluten till internet samma Wi-Fi-nätverk som min mobiltelefon (jag använder android).
STEG 1. SETUP PHISING SIDE
Setoolkit använder kommandoradsgränssnittet, så förvänta dig inte 'clicky-clicky' av saker här. Öppna terminalen och skriv:
~# setoolkitDu kommer att se välkomstsidan högst upp och attackalternativen längst ner, du borde se något liknande.
Ja, naturligtvis, vi kommer att uppträda Socialtekniska attacker , så välj nummer 1 och tryck på RETUR.
Och sedan visas nästa alternativ och väljer nummer 2. Webbplatsattackvektorer. Träffa STIGA PÅ.
Därefter väljer vi nummer 3. Credential Harvester Attack Method . Träffa Stiga på.
Ytterligare alternativ är smalare, SET har förformaterad phising-sida på populära webbplatser, till exempel Google, Yahoo, Twitter och Facebook. Välj nu nummer 1. Webbmallar .
Eftersom min Kali Linux-dator och min mobiltelefon fanns i samma Wi-Fi-nätverk, så skriv bara in angriparen ( min dator ) lokal IP -adress. Och slog STIGA PÅ.
PS: För att kontrollera enhetens IP -adress, skriv: 'ifconfig'
Okej hittills, vi har ställt in vår metod och lyssnarens IP -adress. I dessa alternativ listas fördefinierade webb phising-mallar som jag nämnde ovan. Eftersom vi riktade Google -kontosidan, så vi väljer nummer 2. Google . Träffa STIGA PÅ .
deNu startar SET min Kali Linux -webbserver på port 80, med den falska inloggningssidan för Google -kontot. Vår installation är klar. Nu är jag redo att gå in i mina vänner rum för att logga in på denna nätfiske sida med min mobiltelefon.
STEG 2. JAGTSVÄND
Anledningen till att jag använder mobiltelefon (android)? Låt oss se hur sidan visas i min inbyggda Android-webbläsare. Så jag öppnar min Kali Linux -webbserver på 192.168.43.99 i webbläsaren. Och här är sidan:
Ser? Det ser så verkligt ut, det finns inga säkerhetsproblem som visas på det. URL -fältet som visar titeln istället själva URL: en. Vi vet att de dumma kommer att känna igen detta som den ursprungliga Google -sidan.
Så jag tar med mig min mobiltelefon och går in i min vän och pratar med honom som om jag inte kunde logga in på Google och agera om jag undrar om Google kraschade eller gjorde fel. Jag ger min telefon och ber honom att försöka logga in med sitt konto. Han tror inte på mina ord och börjar genast skriva in sin kontoinformation som om ingenting kommer att hända illa här. Haha.
Han skrev redan alla nödvändiga formulär och lät mig klicka på Logga in knapp. Jag klickar på knappen ... Nu laddas den ... Och så fick vi Googles sökmotors huvudsida så här.
PS: När offret klickar på Logga in knappen, skickar den autentiseringsinformationen till vår lyssnarmaskin och den loggas.
Ingenting händer, säger jag till honom Logga in knappen finns kvar, men du kunde inte logga in. Och så öppnar jag igen phising -sidan, medan en annan vän till denna dumma kommer till oss. Nä, vi har ett annat offer.
Tills jag slutar prata, går jag tillbaka till mitt skrivbord och kollar loggen för mitt SET. Och här fick vi,
Goccha ... Jag sviker dig !!!
Sammanfattningsvis
Jag är inte bra på att berätta ( det är poängen ), för att sammanfatta attacken så långt är stegen:
- Öppen 'setoolkit'
- Välja 1) Socialtekniska attacker
- Välja 2) Webbplatsattackvektorer
- Välja 3) Credential Harvester Attack Method
- Välja 1) Webbmallar
- Mata in IP-adress
- Välja Google
- Glad jakt ^_ ^