Social Engineering Attacks (fra hackingperspektivet) ligner ret meget på at udføre et magisk show. Forskellen er, i Social Engineering Attacks, at det er et magisk trick, hvor resultatet er en bankkonto, sociale medier, e -mail, endda adgang til en målcomputer. Hvem skabte systemet? ET Menneske. At lave Social Engineering Attack er let, tro mig, det er virkelig let. Intet system er sikkert. Mennesker er den bedste ressource og slutpunktet for sikkerhedssårbarheder nogensinde.
I den sidste artikel lavede jeg en demo af målretning mod Google -konti, Kali Linux: Social Engineering Toolkit , dette er en anden lektion for dig.
Har vi brug for et bestemt Penetration Testing OS til at lave Social Engineering Attack? Faktisk ikke, Social Engineering Attack er fleksibelt, værktøjerne, f.eks. Kali Linux, er bare værktøjer. Hovedpunktet i Social Engineering Attack handler om at designe angrebsstrømmen.
I den sidste artikel om Social Engineering Attack lærte vi Social Engineering Attack ved hjælp af TRUST. Og i denne artikel lærer vi om OBS. Jeg fik denne lektion fra en tyvekonge Apollo Robbins . Hans baggrund er dygtig tryllekunstner, gadekunstner. Du kunne se hans show på YouTube. Han forklarede engang i en TED Talk om, hvordan man stjæler ting. Hans evne er hovedsageligt at lege med offerets opmærksomhed på at lommetyver deres ting, sådanne ure, tegnebog, penge, kort, alt i ofrenes lomme, uden anerkendelse. Jeg vil vise dig, hvordan du udfører Social Engineering Attack for at hacke en andens Facebook -konto ved hjælp af TRUST and ATTENTION. Nøglen med OBS er at blive ved med at tale hurtigt og stille spørgsmål. Du er samtalens pilot.
Socialt angrebsscenario
Dette scenario involverer 2 skuespillere, John som angriber og Bima som offer. John vil sætte Bima som mål. Målet med Social Engineering Attack her er at få adgang til offerets Facebook -konto. Angrebsstrømmen vil bruge en anden tilgang og metode. John og Bima er venner, de mødes ofte i kantinen ved frokosttid i hviletiden på deres kontor. John og Bima arbejder i forskellige afdelinger, den eneste lejlighed, de møder, er, når de spiser frokost i kantinen. De mødes ofte og taler med hinanden, indtil nu er de makker.
En dag, John bad guy, er fast besluttet på at praktisere Social Engineering Attack ved hjælp af ATTENTION -spil, som jeg nævnte tidligere, blev han inspireret af The King of Thieves Apollo Robbins. I en af sine præsentationer sagde Robbins, at vi har to øjne, men vores hjerne kan kun fokusere på én ting. Vi kan udføre multitasking, men det gør ikke de forskellige opgaver sammen på samme tid, i stedet skifter vi hurtigt vores opmærksomhed til hver opgave.
I begyndelsen af dagen, på mandag, på kontoret, som sædvanlig John er i sit værelse sidder ved sit skrivebord. Han planlægger at få strategien til at hacke sin vens facebook -konto. Han burde være klar inden frokost. Han tænker og undrer sig, mens han sidder ved sit skrivebord.
Så tager han et ark papir, sætter sig i sin stol, som vender ud mod hans computer. Han besøger Facebook -siden for at finde en måde at hacke nogens konto på.
TRIN 1: FIND STARTER WINDOW a.k.a HOLE
På loggen på skærmen bemærker han et link med navnet glemt konto, Her vil John bruge fordelen af glemt konto ( adgangskodegendannelse). Facebook har allerede betjent vores startvindue på: https://www.facebook.com/login/identify?ctx=recover.
Siden skal se sådan ud:
I marken Find din konto sektion, er der en sætning, der siger, Indtast venligst din e -mail -adresse eller telefonnummer for at søge efter din konto . Herfra får vi endnu et sæt vinduer: e -mail -adresse refererer til Email konto og telefonnummer refererer til Mobil telefon . Så John har en hypotese om, at hvis han havde offerets e -mail -konto eller mobiltelefon, så vil han have adgang til offerets Facebook -konto.
TRIN 2: Udfyld formularen til identifikation af kontoen
Okay, herfra begynder John at tænke dybt. Han ved ikke, hvad der er Bimas e-mail-adresse, men han gemte Bimas telefonnummer på sin mobiltelefon. Han tager derefter sin telefon og leder efter Bimas telefonnummer. Og der går han, han fandt det. Han begynder at skrive Bimas telefonnummer i dette felt. Herefter trykker han på knappen Søg. Billedet skal se sådan ud:
Han fik det, han fandt ud af, at Bimas telefonnummer er forbundet til hans Facebook -konto. Herfra holder han bare, og trykker ikke på Blive ved knap. For nu har han bare sørget for, at dette telefonnummer er forbundet til offerets Facebook -konto, så det kommer tættere på hans hypotese.
Hvad John faktisk gjorde, gør rekognoscering eller informationsindsamling om offeret. Herfra har John nok information og er klar til at udføre. Men, John vil møde Bima i kantinen, det er umuligt for John at bringe sin computer, ikke? Intet problem, han har en praktisk løsning, som er hans egen mobiltelefon. Så før han møder Bima, gentager han TRIN 1 og 2 på Chrome -browseren i sin Android -mobiltelefon. Det ville se sådan ud:
TRIN 3: MØD VICTIM
Okay, nu er alt sat op og klar. Alt, hvad John skal gøre, er at tage fat i Bimas telefon, klikke på Blive ved -knappen på sin telefon, læs SMS -indbakke sendt af Facebook (nulstillingskoden) på Bimas telefon, husk den og slet beskeden på en enkelt brøkdel af tiden, hurtigt.
Denne plan stikker ind i hans hoved, mens han nu går til kantinen. John lagde sin telefon i lommen. Han kom ind i kantineområdet og ledte efter Bima. Han drejede hovedet fra venstre mod højre for at finde ud af, hvor pokker er Bima. Som sædvanlig er han på hjørnesædet og viftede med hånden til John, han var klar med sit måltid.
John tager straks en lille portion måltid i middag, og kommer tæt på bordet med Bima. Han siger hej til Bima, og så spiser de sammen. Mens han spiser, ser John sig omkring, og han bemærker, at Bimas telefon ligger på bordet.
Når de er færdige med frokosten, taler de om hinandens dag. Som sædvanlig, indtil John på et tidspunkt åbnede et nyt emne om telefoner. John fortæller ham, at John har brug for en ny telefon, og John har brug for hans råd om, hvilken telefon der passer til John. Derefter spurgte han om Bimas telefon, han spurgte alt, modellen, specifikationerne, alt. Og så beder John ham om at prøve sin telefon, John virker som om han virkelig er en kunde på udkig efter en telefon. Johns venstre hånd griber hans telefon med hans tilladelse, mens hans højre hånd er under bordet og forbereder sig på at åbne sin egen telefon. John lægger sin opmærksomhed på sin venstre hånd, sin telefon, John talte så meget om sin telefon, dens vægt, dens hastighed og så videre.
Nu begynder John angrebet med at slukke Bimas lydstyrke for telefonens ringetone til nul for at forhindre ham i at genkende, hvis der kommer en ny meddelelse. Johns venstre hånd har stadig sin opmærksomhed, mens hans højre hånd faktisk trykker på Blive ved knap. Så snart John trykkede på knappen, kommer beskeden ind.
Ding .. Ingen lyde. Bima har ikke genkendt den indgående besked, fordi skærmen vender mod John. John åbner straks meddelelsen, læser og husker 6 cifret stift i SMS'en, og derefter slettes den snart. Nu er han færdig med Bimas telefon, John giver Bimas telefon tilbage til ham, mens Johns højre hånd tager sin egen telefon ud og begynder straks at skrive 6 cifret stift han huskede bare.
Så presser John Blive ved. Den nye side vises, den spurgte, om han vil oprette et nyt kodeord eller ej.
John vil ikke ændre adgangskoden, fordi han ikke er ond. Men han har nu Bimas facebook -konto. Og han er lykkedes med sin mission.
Som du kan se, virker scenariet så simpelt, men hey, hvor let kan du få fat i og låne dine venners telefon? Hvis du korrelerer med hypotesen ved at have dine venners telefon, kan du få alt, hvad du vil, dårligt.