Social Engineering Attacks (fra hackingperspektivet) ligner ganske på å utføre et magisk show. Forskjellen er, i Social Engineering Attacks, det er et magisk triks der resultatet er en bankkonto, sosiale medier, e -post, til og med tilgang til en måldatamaskin. Hvem opprettet systemet? ET MENNESKE. Å gjøre Social Engineering Attack er enkelt, tro meg, det er veldig enkelt. Ingen systemer er trygge. Mennesker er den beste ressursen og sluttpunktet for sikkerhetsproblemer noensinne.
I den siste artikkelen gjorde jeg en demonstrasjon av målretning mot Google -kontoer, Kali Linux: Social Engineering Toolkit , dette er en annen leksjon for deg.
Trenger vi visse Penetration Testing OS for å gjøre sosialteknisk angrep? Egentlig ikke, Social Engineering Attack er fleksibelt, verktøyene, for eksempel Kali Linux, er bare verktøy. Hovedpoenget med Social Engineering Attack handler om å designe angrepsflyten.
I den siste Social Engineering Attack -artikkelen lærte vi Social Engineering Attack ved å bruke TRUST. Og i denne artikkelen vil vi lære om OBS. Jeg fikk denne leksjonen fra en King of Thieves Apollo Robbins . Bakgrunnen hans er dyktig tryllekunstner, gatemagiker. Du kunne se showet hans på YouTube. Han forklarte en gang i en TED Talk om hvordan man stjeler ting. Hans evne er hovedsakelig å leke med offerets oppmerksomhet på å lomme sakene sine, slike klokker, lommebok, penger, kort, alt i ofrenes lomme, uten anerkjennelse. Jeg vil vise deg hvordan du utfører Social Engineering Attack for å hacke noens Facebook -konto ved hjelp av TILLIT og OPPMERKSOMhet. Nøkkelen med OBS er å fortsette å snakke raskt og stille spørsmål. Du er samtalen.
Sosialteknisk angrepsscenario
Dette scenariet involverer 2 skuespillere, John som angriper og Bima som offer. John vil sette Bima som mål. Målet med Social Engineering Attack her er å få tilgang til offerets Facebook -konto. Angrepsflyten vil bruke en annen tilnærming og metode. John og Bima er venner, de møtes ofte i kantina ved lunsjtid i hviletid på kontoret. John og Bima jobber på forskjellige avdelinger, den eneste anledningen de møtes er når de spiser lunsj i kantina. De møtes ofte og snakker med hverandre til de nå er kamerater.
En dag, John bad guy, er fast bestemt på å praktisere Social Engineering Attack ved å bruke ATTENTION -spillet, som jeg nevnte tidligere, ble han inspirert av The King of Thieves Apollo Robbins. I en av presentasjonene sa Robbins at vi har to øyne, men hjernen vår kan bare fokusere på én ting. Vi kan gjøre multitasking, men det er ikke å gjøre de forskjellige oppgavene samtidig, men vi bytter oppmerksomhet til hver oppgave raskt.
På begynnelsen av dagen, på mandag, på kontoret, er John som vanlig på rommet sitt og sitter ved skrivebordet. Han planlegger å få strategien til å hacke sin venns facebook -konto. Han burde være klar før lunsj. Han tenker og lurer mens han sitter ved skrivebordet.
Så tar han et ark og setter seg i stolen, som vender mot datamaskinen hans. Han besøker Facebook -siden for å finne en måte å hacke noens konto.
TRINN 1: FINN STARTER WINDOW a.k.a HOLE
På påloggingsskjermen merker han en lenke som heter glemt konto. Her vil John bruke fordelen av glemt konto ( passordgjenoppretting). Facebook har allerede betjent startvinduet vårt på: https://www.facebook.com/login/identify?ctx=recover.
Siden skal se slik ut:
I felten Finn Din Konto delen, er det en setning som sier, Skriv inn din e -postadresse eller telefonnummer for å søke etter kontoen din . Herfra får vi et nytt sett med vinduer: e -postadresse refererer til Epost konto og telefonnummer refererer til Mobil Telefon . Så John har en hypotese om at hvis han hadde offerets e -postkonto eller mobiltelefon, så vil han ha tilgang til offerets Facebook -konto.
TRINN 2: Fyll ut skjemaet for å identifisere kontoen
Ok, herfra begynner John å tenke dypt. Han vet ikke hva som er Bimas e-postadresse, men han lagret Bimas telefonnummer på mobiltelefonen. Deretter tar han tak i telefonen hans og ser etter Bimas telefonnummer. Og der gikk han, han fant det. Han begynner å skrive Bimas telefonnummer i dette feltet. Etter det trykker han på Søk -knappen. Bildet skal se slik ut:
Han fikk det, han fant ut at Bimas telefonnummer er koblet til Facebook -kontoen hans. Herfra holder han bare, og trykker ikke på Fortsette knapp. Foreløpig sørget han bare for at dette telefonnummeret er koblet til offerets Facebook -konto, så det kommer nærmere hypotesen hans.
Det John faktisk gjorde, gjør rekognosering eller informasjonssamling om offeret. Herfra har John nok informasjon, og er klar til å utføre. Men, John vil møte Bima i kantina, det er umulig for John å ta med datamaskinen sin, ikke sant? Ikke noe problem, han har en praktisk løsning, som er hans egen mobiltelefon. Så, før han møter Bima, gjentar han TRINN 1 og 2 på Chrome -nettleseren i sin Android -mobiltelefon. Det ville se slik ut:
TRINN 3: MØT VICTIM
OK, nå er alt klart og klart. Alt John trenger å gjøre er å ta tak i Bimas telefon, klikk på Fortsette -knappen på telefonen, les SMS -innboksmeldingen sendt av Facebook (tilbakestillingskoden) på Bimas telefon, husk den og slett meldingen på en brøkdel av tiden, raskt.
Denne planen stikker inn i hodet hans mens han nå går til kantina. John la telefonen i lommen. Han kom inn i kantineområdet og lette etter Bima. Han snudde hodet fra venstre til høyre for å finne ut hvor i helvete det er Bima. Som vanlig er han i hjørnesetet og vifter med hånden til John, han var klar med måltidet.
Umiddelbart tar John en liten porsjon måltid i middag, og kommer nær bordet med Bima. Han sier hei til Bima, og så spiser de sammen. Mens han spiser, ser John seg rundt og merker at Bimas telefon ligger på bordet.
Etter at de er ferdig med lunsj, snakker de om hverandres dag. Som vanlig, inntil John på et tidspunkt åpnet et nytt emne om telefoner. John forteller ham at John trenger en ny telefon, og John trenger hans råd om hvilken telefon som passer for John. Så spurte han om Bimas telefon, han spurte alt, modellen, spesifikasjonene, alt. Og så ber John ham om å prøve telefonen, John oppfører seg som om han virkelig er en kunde som leter etter en telefon. Johns venstre hånd tar tak i telefonen hans med hans tillatelse, mens høyre hånd er under bordet og forbereder seg på å åpne sin egen telefon. John retter oppmerksomheten mot venstre hånd, telefonen, John snakket så mye om telefonen, vekten, hastigheten og så videre.
Nå begynner John Angrepet med å slå av Bimas ringetonevolum til null for å hindre ham i å kjenne igjen om det kommer en ny melding. Johns venstre hånd har fortsatt oppmerksomheten, mens høyre hånd faktisk trykker på Fortsette knapp. Så snart John trykket på knappen, kommer meldingen inn.
Ding .. Ingen lyder. Bima har ikke gjenkjent den innkommende meldingen fordi skjermen vender mot John. John åpner umiddelbart meldingen, leser og husker 6 siffer pin i SMS -en, og sletter den snart. Nå er han ferdig med Bimas telefon, John gir Bimas telefon tilbake til ham mens Johns høyre hånd tar ut sin egen telefon og begynner å skrive umiddelbart 6 siffer pin han bare husket.
Så trykker John Fortsette. Den nye siden vises, den spurte om han vil lage nytt passord eller ikke.
John vil ikke endre passordet fordi han ikke er ond. Men han har nå Bimas facebook -konto. Og han har lykkes med oppdraget sitt.
Som du kan se, virker scenariet så enkelt, men hei, hvor lett kan du ta og låne vennene dine? Hvis du korrelerer til hypotesen ved å ha telefonen til vennene dine, kan du få det du vil, dårlig.