Mennesker er den beste ressursen og sluttpunktet for sikkerhetsproblemer noensinne. Sosial ingeniørfag er et slags angrep rettet mot menneskelig oppførsel ved å manipulere og leke med deres tillit, med sikte på å få konfidensiell informasjon, for eksempel bankkonto, sosiale medier, e -post, til og med tilgang til måldatamaskinen. Ingen systemer er trygge, fordi systemet er laget av mennesker. Den vanligste angrepsvektoren som bruker sosiale ingeniørangrep er spredning av nettfisking via e -post. De retter seg mot et offer som har en finansiell konto, for eksempel bank- eller kredittkortinformasjon.
Sosialtekniske angrep bryter ikke inn i et system direkte, i stedet bruker det menneskelig sosial interaksjon og angriperen håndterer offeret direkte.
Husker du Kevin Mitnick ? Sosialteknisk legende fra den gamle tiden. I de fleste angrepsmetodene brukte han for å lure ofrene til å tro at han har systemautoriteten. Du har kanskje sett hans demo -video av Social Engineering Attack på YouTube. Se på det!
I dette innlegget skal jeg vise deg det enkle scenariet for hvordan du implementerer Social Engineering Attack i dagliglivet. Det er så enkelt, bare følg opplæringen nøye. Jeg vil forklare scenariet tydelig.
Social Engineering Attack for å få tilgang til e -post
Mål : Få kontoinformasjon for e -postadresse
Angriper : JEG
Mål : Min venn. (Virkelig? Ja)
Enhet : Datamaskin eller bærbar datamaskin som kjører Kali Linux. Og mobilen min!
Miljø : Kontor (på jobb)
Verktøy : Social Engineering Toolkit (SET)
Så, basert på scenariet ovenfor, kan du forestille deg at vi ikke engang trenger offerets enhet, jeg brukte min bærbare datamaskin og telefonen min. Jeg trenger bare hodet og tilliten hans, og dumheten også! Fordi, du vet, menneskelig dumhet kan ikke lappes, seriøst!
I dette tilfellet skal vi først konfigurere påloggingssiden for phishing -Gmail -konto i Kali Linux, og bruke telefonen til å være en utløserenhet. Hvorfor brukte jeg telefonen min? Jeg vil forklare nedenfor, senere.
Heldigvis kommer vi ikke til å installere noen verktøy, vår Kali Linux-maskin har forhåndsinstallert SET (Social Engineering Toolkit), det er alt vi trenger. Å ja, hvis du ikke vet hva SET er, vil jeg gi deg bakgrunnen for dette verktøykassen.
Social Engineering Toolkit, er designet for å utføre penetrasjonstest på menneskers side. SET ( om kort tid ) er utviklet av grunnleggeren av TrustedSec ( https://www.trustedsec.com/social-engineer-toolkit-set/ ) , som er skrevet i Python, og det er åpen kildekode.
Ok, det var nok, la oss gjøre øvelsen. Før vi utfører sosialteknisk angrep, må vi sette opp phising -siden vår først. Her sitter jeg på skrivebordet mitt, datamaskinen min (som kjører Kali Linux) er koblet til internett, det samme Wi-Fi-nettverket som mobiltelefonen min (jeg bruker android).
TRINN 1. OPPSETT PHISING -SIDE
Setoolkit bruker kommandolinjegrensesnittet, så ikke forvent 'klikk-klikk' av ting her. Åpne terminalen og skriv:
~# setoolkitDu vil se velkomstsiden øverst og angrepsalternativene nederst, du bør se noe slikt.
Ja, selvfølgelig skal vi opptre Sosialtekniske angrep , så velg nummer 1 og trykk ENTER.
Og så vil du bli vist de neste alternativene, og velge nummer 2. Nettsted angrepsvektorer. Truffet TAST INN.
Deretter velger vi nummer 3. Credential Harvester Attack Method . Truffet Tast inn.
Ytterligere alternativer er smalere, SET har forhåndsformatert phising-side på populære nettsteder, for eksempel Google, Yahoo, Twitter og Facebook. Velg nå nummer 1. Nettmaler .
Fordi min Kali Linux-PC og mobiltelefonen min var i det samme Wi-Fi-nettverket, så bare angi angriperen ( min PC ) lokal IP -adresse. Og slo TAST INN.
PS: For å kontrollere enhetens IP -adresse, skriver du: 'ifconfig'
OK så langt, vi har angitt vår metode og lytterens IP -adresse. I disse alternativene er listet opp forhåndsdefinerte webfisingmaler som jeg nevnte ovenfor. Fordi vi rettet Google -kontosiden, så vi velger nummer 2. Google . Truffet TAST INN .
deNå starter SET min Kali Linux -webserver på port 80, med den falske påloggingssiden for Google -kontoen. Oppsettet vårt er ferdig. Nå er jeg klar til å gå inn på vennersrommet mitt for å logge meg på denne phishing -siden med mobiltelefonen min.
TRINN 2. JAKTOFF
Grunnen til at jeg bruker mobiltelefon (android)? La oss se hvordan siden vises i min innebygde Android-nettleser. Så jeg får tilgang til Kali Linux webserveren min 192.168.43.99 i nettleseren. Og her er siden:
Se? Det ser så ekte ut, det er ingen sikkerhetsproblemer som vises på det. URL -linjen som viser tittelen i stedet selve URL -adressen. Vi vet at dumme vil gjenkjenne dette som den opprinnelige Google -siden.
Så jeg tar med meg mobiltelefonen og går inn i vennen min og snakker med ham som om jeg ikke klarte å logge på Google og handle hvis jeg lurer på om Google krasjet eller feilet. Jeg gir telefonen min og ber ham om å prøve å logge inn med kontoen sin. Han tror ikke på ordene mine og begynner umiddelbart å skrive inn kontoinformasjonen sin som om ingenting vil skje dårlig her. Ha ha.
Han skrev allerede inn alle nødvendige skjemaer, og lot meg klikke på Logg inn knapp. Jeg klikker på knappen ... Nå lastes den ... Og så fikk vi Google søkemotors hovedside som denne.
PS: Når offeret klikker på Logg inn knappen, vil den sende autentiseringsinformasjonen til lyttermaskinen vår, og den logges.
Ingenting skjer, sier jeg til ham Logg inn knappen er fortsatt der, men du klarte ikke å logge deg på. Og så åpner jeg igjen phising -siden, mens en annen venn av denne dumme kommer til oss. Vi har et nytt offer.
Inntil jeg kuttet talen, går jeg tilbake til skrivebordet mitt og sjekker loggen til SET mitt. Og her har vi
Goccha ... jeg svarte deg !!!
For å konkludere
Jeg er ikke god til å fortelle historier ( det er poenget ), for å oppsummere angrepet så langt er trinnene:
- Åpen 'setoolkit'
- Velge 1) Sosialtekniske angrep
- Velge 2) Nettstedangrepsvektorer
- Velge 3) Credential Harvester Attack Method
- Velge 1) Nettmaler
- Skriv inn IP adresse
- Velge Google
- God jakt ^_ ^