Mennesker er den bedste ressource og slutpunkt for sikkerhedssårbarheder nogensinde. Social Engineering er en slags angreb rettet mod menneskelig adfærd ved at manipulere og lege med deres tillid med det formål at få fortrolige oplysninger, såsom bankkonto, sociale medier, e -mail, endda adgang til målcomputer. Intet system er sikkert, fordi systemet er lavet af mennesker. Den mest almindelige angrebsvektor ved hjælp af social engineering -angreb spredes phishing via e -mail -spam. De retter sig mod et offer, der har en finansiel konto, f.eks. Bank- eller kreditkortoplysninger.
Socialtekniske angreb bryder ikke ind i et system direkte, i stedet bruger det menneskelig social interaktion, og angriberen håndterer offeret direkte.
Kan du huske Kevin Mitnick ? Social Engineering -legenden om den gamle æra. I de fleste af sine angrebsmetoder plejede han at narre ofre til at tro, at han besidder systemautoriteten. Du har måske set hans demo -video af Social Engineering Attack på YouTube. Se på det!
I dette indlæg vil jeg vise dig det enkle scenario for, hvordan du implementerer Social Engineering Attack i dagligdagen. Det er så let, bare følg vejledningen omhyggeligt. Jeg vil forklare scenariet klart.
Social Engineering Attack for at få adgang til e -mail
Mål : Få kontooplysninger til e -mail -legitimationsoplysninger
Angriber : I
Mål : Min ven. (Virkelig? Ja)
Enhed : Computer eller bærbar computer, der kører Kali Linux. Og min mobiltelefon!
Miljø : Kontor (på arbejde)
Værktøj : Social Engineering Toolkit (SET)
Så baseret på scenariet ovenfor kan du forestille dig, at vi ikke engang har brug for offerets enhed, jeg brugte min bærbare computer og min telefon. Jeg har kun brug for hans hoved og tillid, og også dumhed! Fordi, du ved, menneskelig dumhed kan ikke lappes, seriøst!
I dette tilfælde vil vi først konfigurere login -siden til phishing -Gmail -konto i mit Kali Linux og bruge min telefon til at være en triggerenhed. Hvorfor brugte jeg min telefon? Jeg vil forklare nedenfor, senere.
Heldigvis vil vi ikke installere nogen værktøjer, vores Kali Linux-maskine har forudinstalleret SET (Social Engineering Toolkit), det er alt, hvad vi har brug for. Åh ja, hvis du ikke ved, hvad SET er, vil jeg give dig baggrunden for dette værktøjskasse.
Social Engineering Toolkit, er designet til at udføre penetrationstest på menneskers side. SET ( om lidt ) er udviklet af grundlæggeren af TrustedSec ( https://www.trustedsec.com/social-engineer-toolkit-set/ ) , som er skrevet i Python, og det er open source.
Okay, det var nok, lad os gøre øvelsen. Inden vi udfører social engineering -angrebet, skal vi først oprette vores phising -side. Her sidder jeg på mit skrivebord, min computer (kører Kali Linux) er forbundet til internettet med det samme Wi-Fi-netværk som min mobiltelefon (jeg bruger android).
TRIN 1. OPSÆTNING PHISING SIDE
Setoolkit bruger kommandolinjegrænsefladen, så forvent ikke 'klik-klik' af tingene her. Åbn terminal og skriv:
~# setoolkitDu vil se velkomstsiden øverst og angrebsmulighederne nederst, du skal se sådan noget.
Ja, selvfølgelig skal vi optræde Socialtekniske angreb , så vælg nummer 1 og tryk på ENTER.
Og så vil du blive vist de næste muligheder, og vælge nummer 2. Website angrebsvektorer. Hit GÅ IND.
Dernæst vælger vi nummer 3. Credential Harvester Attack Method . Hit Gå ind.
Yderligere muligheder er smallere, SET har præformateret phising-side på populære websteder, f.eks. Google, Yahoo, Twitter og Facebook. Vælg nu nummer 1. Webskabeloner .
Fordi min Kali Linux-pc og min mobiltelefon var i det samme Wi-Fi-netværk, så indtast bare angriberen ( min pc ) lokal IP -adresse. Og slå GÅ IND.
PS: For at kontrollere din enheds IP -adresse skal du skrive: 'ifconfig'
Okay indtil videre har vi indstillet vores metode og lytterens IP -adresse. I disse muligheder er angivet foruddefinerede web phising-skabeloner som jeg nævnte ovenfor. Fordi vi målrettede Google -kontosiden, så vi vælger nummer 2. Google . Hit GÅ IND .
detNu starter SET min Kali Linux Webserver på port 80 med den falske login -side for Google -konto. Vores opsætning er udført. Nu er jeg klar til at gå ind i mit venneværelse for at logge ind på denne phishing -side ved hjælp af min mobiltelefon.
TRIN 2. JAGT SEG
Grunden til at jeg bruger mobiltelefon (Android)? Lad os se, hvordan siden vises i min indbyggede Android-browser. Så jeg får adgang til min Kali Linux webserver 192.168.43.99 i browseren. Og her er siden:
Se? Det ser så ægte ud, der vises ingen sikkerhedsproblemer på det. Webadresselinjen, der viser titlen i stedet selve webadressen. Vi ved, at de dumme vil genkende dette som den originale Google -side.
Så jeg bringer min mobiltelefon og går ind i min ven og taler med ham, som om jeg ikke kunne logge ind på Google og handle, hvis jeg spekulerer på, om Google gik ned eller fejlede. Jeg giver min telefon og beder ham om at prøve at logge ind med sin konto. Han tror ikke på mine ord og begynder straks at indtaste sine kontooplysninger, som om intet vil ske dårligt her. Haha.
Han skrev allerede alle de nødvendige formularer, og lad mig klikke på Log ind knap. Jeg klikker på knappen ... Nu indlæses den ... Og så fik vi Googles søgemaskine hovedside som denne.
PS: Når offeret klikker på Log ind knappen, sender den godkendelsesoplysningerne til vores lyttermaskine, og den logges.
Intet sker, siger jeg til ham Log ind knappen er der stadig, men du undlod dog at logge ind. Og så åbner jeg igen phising -siden, mens en anden ven af denne dumme kommer til os. Næh, vi har et andet offer.
Indtil jeg afbryder talen, går jeg tilbage til mit skrivebord og tjekker loggen over mit SET. Og her fik vi,
Goccha ... jeg pwnd dig !!!
Afslutningsvis
Jeg er ikke god til historiefortælling ( det er pointen ), for at opsummere angrebet indtil videre er trinene:
- Åben 'setoolkit'
- Vælge 1) Socialtekniske angreb
- Vælge 2) Website angrebsvektorer
- Vælge 3) Credential Harvester Attack Method
- Vælge 1) Webskabeloner
- Indtast IP-adresse
- Vælge Google
- God jagt ^_ ^