Phenquestions
Sociale ingeniørangreb (set fra hackingperspektivet) ligner meget at udføre et magisk show. Forskellen er i Social Engineering Attacks, det er et magisk trick, hvor resultatet er en bankkonto, sociale medier, e-mail, endda adgang til en målcomputer. Hvem skabte systemet? ET MENNESKELIGT. At lave Social Engineering Attack er let, tro mig, det er virkelig let. Intet system er sikkert. Mennesker er den bedste ressource og slutpunktet for sikkerhedssårbarheder nogensinde.
I den sidste artikel lavede jeg en demo af Google-konto-målretning, Kali Linux: Social Engineering Toolkit, dette er en anden lektion for dig.
Har vi brug for et bestemt Penetration Testing OS til at udføre Social Engineering Attack? Faktisk ikke, Social Engineering Attack er fleksibel, værktøjerne som Kali Linux er bare værktøjer. Hovedpointen med Social Engineering Attack handler om "at designe angrebsflowet".
I den sidste artikel i Social Engineering Attack lærte vi Social Engineering Attack ved hjælp af "TRUST". Og i denne artikel lærer vi om “OBS!”. Jeg fik denne lektion fra en "tyvekonge" Apollo Robbins. Hans baggrund er dygtig tryllekunstner, gademagiker. Du kunne se hans show på YouTube. Han forklarede engang i en TED-snak om, hvordan man stjæler ting. Hans evne er hovedsageligt at lege med offerets opmærksomhed på at lommetyve deres ting, såsom ure, tegnebog, penge, kort, alt i ofrenes lomme uden anerkendelse. Jeg vil vise dig, hvordan du udfører Social Engineering Attack for at hacke nogens Facebook-konto ved hjælp af "TRUST" og "ATTENTION". Nøglen med "OBS" er at fortsætte med at tale hurtigt og stille spørgsmål. Du er pilot for samtalen.
Scenariet angående social engineering
Dette scenarie involverer to skuespillere, John som en angriber og Bima som et offer. John vil sætte Bima som et mål. Målet med Social Engineering Attack her er at få adgang til ofrets Facebook-konto. Angrebsstrømmen bruger en anden tilgang og metode. John og Bima er venner, de mødes ofte i kantinen ved frokosttid i hviletiden på deres kontor. John og Bima arbejder i forskellige afdelinger, den eneste lejlighed, de mødes, er når de spiser frokost i kantinen. De mødes ofte og snakker med hinanden indtil nu er de mænd.
En dag, John “bad guy”, er fast besluttet på at øve Social Engineering Attack ved hjælp af “ATTENTION” -spil, som jeg nævnte tidligere, han blev inspireret af “The King of Thieves” Apollo Robbins. I en af sine præsentationer sagde Robbins, at vi har to øjne, men vores hjerne kan kun fokusere på en ting. Vi kan udføre multitasking, men det gør ikke de forskellige opgaver sammen på samme tid, i stedet for skifter vi bare opmærksomheden til hver opgave hurtigt.
I begyndelsen af dagen mandag på kontoret er John som sædvanligt på sit værelse ved sit skrivebord. Han planlægger at få strategien til at hacke sin vens facebook-konto. Han skulle være klar inden frokost. Han tænker og undrer sig, mens han sidder ved sit skrivebord.
Så tager han et ark papir, sætter sig i sin stol, der vender mod hans computer. Han besøger Facebook-siden for at finde en måde at hacke nogens konto på.
TRIN 1: FIND STARTVINDUET a.k.et hul
På log-on-skærmen bemærker han et link med navnet "glemt konto". Her bruger John fordelen ved "glemt konto (gendannelse af adgangskode) ”. Facebook har allerede serveret vores startvindue på: “https: // www.Facebook.com / login / identificer?ctx = gendan ”.
Siden skal se sådan ud:
I marken "Find din konto”Sektion, der er en sætning, der siger,“Indtast din e-mail-adresse eller dit telefonnummer for at søge efter din konto”. Herfra får vi et andet sæt vinduer: e-mail-adresse refererer til “Email konto" og telefonnummer refererer til “Mobil telefon”. Så John har en hypotese om, at hvis han havde offerets e-mail-konto eller mobiltelefon, så vil han have adgang til ofrets Facebook-konto.
TRIN 2: Udfyld formularen for at identificere kontoen
Okay, herfra begynder John at tænke dybt. Han ved ikke, hvad der er Bimas e-mail-adresse, men han gemte Bima-telefonnummer på sin mobiltelefon. Han griber derefter sin telefon og ser efter Bimas telefonnummer. Og der går han, han fandt det. Han begynder at skrive Bimas telefonnummer i det felt. Derefter trykker han på knappen "Søg". Billedet skal se sådan ud:
Han fik det, han fandt ud af, at Bimas telefonnummer er forbundet til hans Facebook-konto. Herfra holder han bare på og trykker ikke på Blive ved knap. For øjeblikket sørgede han bare for, at dette telefonnummer er forbundet til offerets Facebook-konto, så det kommer tættere på hans hypotese.
Hvad John faktisk gjorde, er rekognoscering eller informationsindsamling om offeret. Herfra har John nok information og er klar til at udføre. Men John vil møde Bima i kantinen, det er umuligt for John at bringe sin computer, ikke sandt? Intet problem, han har en praktisk løsning, som er hans egen mobiltelefon. Så inden han møder Bima, gentager han TRIN 1 og 2 i Chrome-browseren i hans Android-mobiltelefon. Det ville se sådan ud:
TRIN 3: MØD VICTIMEN
Okay, nu er alt klar og klar. Alt, hvad John skal gøre, er at få fat i Bimas telefon, klikke på Blive ved knap på hans telefon, læs SMS-indbakke besked sendt af Facebook (nulstillingskoden) på Bima's telefon, husk det og slet beskeden på en enkelt brøkdel af tiden hurtigt.
Denne plan stikker ind i hans hoved, mens han nu går til kantinen. John stak sin telefon i lommen. Han gik ind i kantineområdet og ledte efter Bima. Han vendte hovedet fra venstre mod højre for at finde ud af, hvor pokker er Bima. Som sædvanlig er han i hjørnesædet og vinker sin hånd til John, han var klar med sit måltid.
Umiddelbart tager John en lille portion måltid i middag og kommer tæt på bordet med Bima. Han siger hej til Bima, og så spiser de sammen. Mens han spiser, ser John sig omkring og bemærker, at Bimas telefon er på bordet.
Når de er færdige med frokosten, taler de om hinandens dag. Som sædvanligt åbner John på et tidspunkt et nyt emne om telefoner. John fortæller ham, at John har brug for en ny telefon, og John har brug for hans råd om, hvilken telefon der passer til John. Derefter spurgte han om Bimas telefon, han spurgte alt, modellen, specifikationerne, alt. Og så beder John ham om at prøve sin telefon, John opfører sig som om han virkelig er kunde på udkig efter en telefon. Johns venstre hånd griber sin telefon med sin tilladelse, mens hans højre hånd er under bordet og forbereder sig på at åbne sin egen telefon. John sætter sin opmærksomhed på sin venstre hånd, sin telefon, John talte så meget om sin telefon, dens vægt, dens hastighed og så videre.
Nu begynder John angrebet med at slukke for Bima's telefonlydstyrke til nul for at forhindre ham i at genkende, om en ny meddelelse kommer ind. Johns venstre hånd har stadig sin opmærksomhed, mens hans højre hånd faktisk trykker på Blive ved knap. Så snart John trykkede på knappen, kommer beskeden ind.
Ding ... Ingen lyde. Bima har ikke genkendt den indgående besked, fordi skærmen vender mod John. John åbner straks beskeden, læser og husker meddelelsen 6 cifret pin i SMS'en og derefter sletter den snart. Nu er han færdig med Bimas telefon, John giver Bimas telefon tilbage til ham, mens Johns højre hånd tager sin egen telefon ud og begynder at skrive med det samme 6 cifret pin han huskede bare.
Så presser John Blive ved. Den nye side vises, den spurgte, om han vil oprette en ny adgangskode eller ej.
John vil ikke ændre adgangskoden, fordi han ikke er ond. Men han har nu Bimas facebook-konto. Og han har fået succes med sin mission.
Som du kan se, virker scenariet så simpelt, men hej, hvor let du kunne få fat i og låne dine venners telefon? Hvis du korrelerer med hypotesen ved at have dine venners telefon, kan du få hvad du vil, dårligt.
