Атаките на социалното инженерство (от гледна точка на хакерството) е доста подобно на изпълнението на магическо шоу. Разликата е, че в Social Engineering Attacks, това е магически трик, при който резултатът е банкова сметка, социални медии, имейл, дори достъп до целеви компютър. Кой е създал системата? ЧОВЕК. Правенето на атака за социално инженерство е лесно, повярвайте ми, наистина е лесно. Никоя система не е безопасна. Хората са най-добрият ресурс и крайната точка на уязвимостите в сигурността.
В последната статия направих демонстрация на насочване по профил в Google, Kali Linux: Инструментариум за социално инженерство , това е още един урок за вас.
Имаме ли нужда от определена операционна система за тестване на проникване, за да извършим атака на социалното инженерство? Всъщност не, Social Engineering Attack е гъвкав, инструментите като Kali Linux са само инструменти. Основната точка на атаката на социалното инженерство е проектирането на потока от атаки.
В последната статия за атака на социално инженерство научихме атаката за социално инженерство, използвайки TRUST. И в тази статия ще научим за ВНИМАНИЕ. Получих този урок от Крал на крадците Аполон Робинс . Произходът му е умел маг, уличен магьосник. Можете да видите неговото шоу в YouTube. Веднъж той обясни в TED Talk за това как да откраднеш нещата. Неговата способност е главно да играе с вниманието на жертвата да открадне вещите им, като часовници, портфейл, пари, карти, всичко в джоба на жертвите, без разпознаване. Ще ви покажа как да провеждате атака на социалното инженерство, за да хакнете нечий акаунт във Facebook, като използвате ДОВЕРИЕ и ВНИМАНИЕ. Ключът към ВНИМАНИЕ е да продължите да говорите бързо и да задавате въпроси. Вие сте пилотът на разговора.
Сценарий за атака на социалното инженерство
Този сценарий включва 2 актьори, Джон като нападател и Бима като жертва. Джон ще постави Бима като мишена. Целта на Social Engineering Attack тук е да получи достъп до Facebook акаунта на жертвата. Потокът на атаката ще използва различен подход и метод. Джон и Бима са приятели, те често се срещат в столовата по време на обяд по време на почивка в офиса си. Джон и Бима работят в различни отдели, единственият случай, когато се срещат, е когато обядват в столовата. Често се срещат и говорят помежду си, досега са си приятели.
Един ден, лошият човек на Джон, е решен да практикува атака на социалното инженерство, използвайки играта ВНИМАНИЕ, която споменах по -рано, той се вдъхнови от Краля на крадците Аполо Робинс. В една от своите презентации Робинс каза, че имаме две очи, но мозъкът ни може да се съсредоточи само върху едно нещо. Можем да правим многозадачност, но тя не изпълнява различните задачи едновременно, вместо това просто превключваме вниманието си към всяка задача бързо.
В началото на деня, в понеделник, в офиса, както обикновено Джон е в стаята си, седнал на бюрото си. Той планира да получи стратегия за хакване на фейсбук профила на приятеля си. Трябва да е готов преди обяд. Той мисли и се чуди, докато седи на бюрото си.
След това взема лист хартия, сяда на стола си, който е обърнат към компютъра му. Той посещава страницата във Facebook, за да намери начин да хакне нечий акаунт.
СТЪПКА 1: НАМЕРЕТЕ ПРОЗОРА НА СТАРТЕРА, известен още като ДУПКА
На екрана за влизане той забелязва връзка, наречена забравен акаунт, Тук Джон ще използва предимството на забравен акаунт ( функция за възстановяване на парола). Facebook вече е обслужвал нашия стартов прозорец на адрес: https://www.facebook.com/login/identify?ctx=recover.
Страницата трябва да изглежда така:
В областта Намери твоят акаунт раздел, има изречение, което казва: Моля, въведете своя имейл адрес или телефонен номер, за да потърсите профила си . От тук получаваме друг набор от прозорци: имейл адрес се отнася Имейл акаунт и телефонен номер се отнася за мобилни Телефон . И така, Джон има хипотеза, че ако е имал имейл акаунта или мобилния телефон на жертвата, тогава той ще има достъп до профила на жертвата във Facebook.
СТЪПКА 2: ПОПЪЛНЕТЕ ФОРМАТА ЗА ИДЕНТИФИКАЦИЯ НА ПРОФИЛА
Добре, оттук Джон започва да мисли дълбоко. Той не знае какъв е имейл адресът на Бима, но запази телефонния номер на Бима на мобилния си телефон. След това грабва телефона си и търси телефонния номер на Бима. И ето го, намери го. Той започва да въвежда телефонния номер на Бима в това поле. След това той натиска бутона за търсене. Изображението трябва да изглежда така:
Разбра го, откри, че телефонният номер на Бима е свързан с профила му във Facebook. Оттук той просто държи и не натиска продължи бутон. Засега той просто се увери, че този телефонен номер е свързан с профила на жертвата във Facebook, така че това се доближава до неговата хипотеза.
Това, което Джон всъщност е направил, е разузнаването или събирането на информация за жертвата. Оттук Джон има достатъчно информация и е готов за изпълнение. Но, Джон ще се срещне с Бима в столовата, невъзможно е Джон да донесе компютъра си, нали? Няма проблем, той има удобно решение, което е неговият собствен мобилен телефон. Така че, преди да срещне Бима, той повтаря ЕТАП 1 и 2 в браузъра Chrome в мобилния си телефон с Android. Ще изглежда така:
СТЪПКА 3: СРЕЩАЙТЕ С ЖЕРТВАТА
Добре, сега всичко е настроено и готово. Всичко, което Джон трябва да направи, е да вземе телефона на Бима, да кликне върху него продължи бутон на телефона му, прочетете съобщението от входящата поща на SMS, изпратено от Facebook (кодът за нулиране) на телефона на Bima, запомнете го и изтрийте съобщението за една част от времето, бързо.
Този план се забива в главата му, докато той върви към столовата. Джон сложи телефона си в джоба. Той влезе в зоната на столовата, търсейки Бима. Той обърна глава наляво надясно, за да разбере къде по дяволите е Бима. Както обикновено, той е на ъгъла и махна с ръка на Джон, беше готов за яденето.
Веднага Джон взима малка порция храна на обяд и се приближава до масата с Бима. Той поздравява Бима и след това ядат заедно. Докато яде, Джон се оглежда, забелязва телефона на Бима на масата.
След като приключат с обяда, денят си говорят един за друг. Както обикновено, докато тогава в един момент Джон не отвори нова тема за телефоните. Джон му казва, че Джон се нуждае от нов телефон и Джон се нуждае от неговия съвет кой телефон е подходящ за Джон. След това попита за телефона на Бима, попита всичко, модела, спецификациите, всичко. И тогава Джон го моли да опита телефона му, Джон се държи като наистина клиент, който търси телефон. Лявата ръка на Джон хваща телефона му с негово разрешение, докато дясната му ръка е под масата, подготвяйки се да отвори собствения си телефон. Джон насочва вниманието си към лявата си ръка, телефона си, Джон говори толкова много за телефона си, теглото му, скоростта му и така нататък.
Сега, Джон започва Атаката, като изключва силата на звука на тона на звънене на Бима до нула, за да му попречи да разпознае дали идва ново известие. Лявата ръка на Джон все още държи вниманието му, докато дясната му ръка всъщност натиска продължи бутон. Веднага щом Джон натисна бутона, съобщението идва.
Динг .. Без звуци. Бима не е разпознал входящото съобщение, защото мониторът е обърнат към Джон. Джон веднага отваря съобщението, чете и си спомня 6 цифрен щифт в SMS и след това го изтрийте скоро. Сега той приключи с телефона на Бима, Джон му връща телефона на Бима, докато дясната ръка на Джон изважда собствения си телефон и веднага започва да пише 6 цифрен щифт той просто си спомни.
Тогава Джон натиска Продължи. Появява се новата страница, попита дали иска да направи нова парола или не.
Джон няма да промени паролата, защото не е зъл. Но сега той има профила на Бима във Facebook. И той е успял с мисията си.
Както можете да видите, сценарият изглежда толкова прост, но хей, колко лесно бихте могли да вземете и вземете назаем телефона на приятелите си? Ако се свържете с хипотезата, като имате телефон на приятелите си, можете да получите каквото искате, лошо.