Хората са най-добрият ресурс и крайна точка на уязвимостите в сигурността. Социалното инженерство е вид атака, насочена към човешкото поведение чрез манипулиране и игра с тяхното доверие, с цел получаване на поверителна информация, като банкова сметка, социални медии, имейл, дори достъп до целевия компютър. Никоя система не е безопасна, тъй като системата е създадена от хора. Най -често срещаният вектор на атака, използващ атаки от социалното инженерство, е разпространението на фишинг чрез спам по имейл. Те са насочени към жертва, която има финансова сметка, като например информация за банки или кредитни карти.
Атаките на социалното инженерство не проникват директно в системата, а използват човешкото социално взаимодействие и нападателят се занимава директно с жертвата.
Помниш ли Кевин Митник ? Легендата за социалното инженерство от старата епоха. В повечето от методите си на атака той подвежда жертвите да вярват, че той държи системната власт. Може би сте гледали демонстрационния му видеоклип на Social Engineering Attack в YouTube. Погледни го!
В тази публикация ще ви покажа простия сценарий за това как да приложите атаката на социалното инженерство в ежедневието. Толкова е лесно, просто следвайте внимателно урока. Ще обясня сценария ясно.
Атака за социално инженерство, за да получите достъп до имейл
Цел : Получаване на информация за акаунт за идентификационни данни за имейл
Нападател : Аз
Цел : Моят приятел. (Наистина? Да)
Устройство : Компютър или лаптоп с Kali Linux. И мобилния ми телефон!
Заобикаляща среда : Офис (на работа)
Инструмент : Инструментариум за социално инженерство (SET)
Така че, въз основа на горния сценарий можете да си представите, че дори не се нуждаем от устройството на жертвата, използвах лаптопа и телефона си. Имам нужда само от неговата глава и доверие, а и от глупост също! Защото, знаете, човешката глупост не може да бъде закърпена, сериозно!
В този случай първо ще настроим фишинг страницата за вход в Gmail акаунт в моя Kali Linux и ще използваме телефона ми за устройство за задействане. Защо използвах телефона си? Ще обясня по -долу, по -късно.
За щастие няма да инсталираме никакви инструменти, нашата машина Kali Linux има предварително инсталиран SET (Инструментариум за социално инженерство), това е всичко, от което се нуждаем. О, да, ако не знаете какво е SET, ще ви дам предисторията на този набор от инструменти.
Инструментариумът за социално инженерство е проектиран да извършва тест за проникване от човешка страна. КОМПЛЕКТ ( скоро ) е разработен от основателя на TrustedSec ( https://www.trustedsec.com/social-engineer-toolkit-set/ ) , който е написан на Python и е с отворен код.
Добре, това беше достатъчно, нека да практикуваме. Преди да извършим атаката на социалното инженерство, първо трябва да настроим нашата фишинг страница. Тук, сядам на бюрото си, компютърът ми (работещ с Kali Linux) е свързан към интернет със същата Wi-Fi мрежа като моя мобилен телефон (използвам android).
СТЪПКА 1. НАСТРОЙКА НА ФИЗИНГ СТРАНИЦА
Setoolkit използва интерфейса на командния ред, така че не очаквайте „щракване-щракване“ на нещата тук. Отворете терминала и въведете:
~# setoolkitЩе видите страницата за добре дошли в горната част и опциите за атака в долната част, трябва да видите нещо подобно.
Да, разбира се, ние ще се представим Атаки на социалното инженерство , така че изберете номер 1 и натиснете ENTER.
След това ще се покажат следващите опции и изберете номер 2. Вектори за атаки на уебсайтове. Удари ENTER.
След това избираме номер 3. Метод на атака на комбайн с удостоверения . Удари Въведете.
Други опции са по-тесни, SET има предварително форматирана страница за фишинг на популярни уебсайтове, като Google, Yahoo, Twitter и Facebook. Сега изберете номер 1. Уеб шаблони .
Защото моят компютър Kali Linux и мобилният ми телефон бяха в една и съща Wi-Fi мрежа, така че просто въведете нападателя ( моя компютър ) локален IP адрес. И удари ENTER.
PS: За да проверите IP адреса на вашето устройство, въведете: „ifconfig“
Добре, досега сме задали нашия метод и IP адреса на слушателя. В тази опция са изброени предварително дефинирани шаблони за уеб фишинг, както споменах по-горе. Тъй като насочихме страницата с акаунт в Google, затова избираме номер 2. Google . Удари ENTER .
наСега SET стартира моя уеб сървър Kali Linux на порт 80, със страницата за вход за фалшив акаунт в Google. Нашата настройка е завършена. Сега съм готов да вляза в стаята на приятелите си, за да вляза в тази фишинг страница с мобилния си телефон.
СТЪПКА 2. ЛОВ НА ЖЕРТВИ
Причината, поради която използвам мобилен телефон (android)? Нека видим как страницата се показва във вградения ми браузър за Android. И така, имам достъп до моя уеб сървър Kali Linux на 192.168.43.99 в браузъра. А ето и страницата:
Виждате ли? Изглежда толкова истинско, че на него няма никакви проблеми със сигурността. URL лентата, показваща заглавието вместо самия URL адрес. Знаем, че глупаците ще разпознаят това като оригиналната страница в Google.
И така, нося мобилния си телефон, влизам при приятеля си и говоря с него, сякаш не съм успял да вляза в Google и да действам, ако се чудя дали Google се е разбил или е сгрешил. Давам телефона си и го моля да се опита да влезе в профила си. Той не вярва на думите ми и веднага започва да въвежда информацията за акаунта си, сякаш нищо няма да се случи лошо тук. Хаха.
Той вече въведе всички необходими формуляри и ми позволи да щракна върху Впиши се бутон. Кликвам върху бутона ... Сега се зарежда ... И тогава получихме главната страница на търсачката на Google като тази.
PS: След като жертвата кликне върху Впиши се бутон, той ще изпрати информацията за удостоверяване на нашата слушателска машина и се регистрира.
Нищо не се случва, казвам му, Впиши се бутонът все още е там, но не успяхте да влезете. И тогава отново отварям страницата за фишинг, докато друг приятел на тази глупава идва при нас. Не, имаме още една жертва.
Докато прекъсна разговора, след това се връщам към бюрото си и проверявам дневника на моя SET. И ето ни,
Goccha ... аз съм ти !!!
В заключение
Не съм добър в разказването на истории ( това е смисълът ), за да обобщим атаката досега стъпките са:
- Отворено 'setoolkit'
- Избирам 1) Атаки на социалното инженерство
- Избирам 2) Вектори за атаки на уебсайтове
- Избирам 3) Метод на атака на комбайн с удостоверения
- Избирам 1) Уеб шаблони
- Въведете IP адрес
- Избирам Google
- Честит лов ^_ ^