Phenquestions
Mennesker er den bedste ressource og slutpunkt for sikkerhedssårbarheder nogensinde. Social Engineering er et slags angreb rettet mod menneskelig adfærd ved at manipulere og lege med deres tillid med det formål at få fortrolige oplysninger, såsom bankkonto, sociale medier, e-mail, endda adgang til målcomputer. Intet system er sikkert, fordi systemet er lavet af mennesker.Den mest almindelige angrebsvektor ved hjælp af socialtekniske angreb er spredt phishing via e-mail-spamming. De retter sig mod et offer, der har en finansiel konto, såsom bank- eller kreditkortoplysninger.
Sociale ingeniørangreb bryder ikke direkte ind i et system, men bruger i stedet menneskelig social interaktion, og angriberen har direkte at gøre med offeret.
Kan du huske Kevin Mitnick? Social Engineering legenden om den gamle æra. I de fleste af hans angrebsmetoder plejede han at narre ofrene til at tro, at han havde systemmyndigheden. Du har muligvis set hans Social Engineering Attack demo-video på YouTube. Se på det!
I dette indlæg vil jeg vise dig det enkle scenario, hvordan du implementerer Social Engineering Attack i det daglige liv. Det er så let, bare følg vejledningen nøje. Jeg vil forklare scenariet tydeligt.
Social Engineering Attack for at få adgang til e-mail
Mål: Få oplysninger om e-mail-legitimationsoplysninger
Angriber: Mig
Mål: Min ven. (Virkelig? Ja)
Enhed: Computer eller bærbar computer, der kører Kali Linux. Og min mobiltelefon!
Miljø: Kontor (på arbejde)
Værktøj: Social Engineering Toolkit (SET)
Så baseret på scenariet ovenfor kan du forestille dig, at vi ikke engang har brug for offerets enhed, jeg brugte min bærbare computer og min telefon. Jeg har kun brug for hans hoved og tillid og dumhed også! Fordi du ved, menneskelig dumhed kan ikke lappes, seriøst!
I dette tilfælde skal vi først opsætte phishing-Gmail-login-siden i min Kali Linux og bruge min telefon til at være en triggerenhed. Hvorfor jeg brugte min telefon? Jeg vil forklare nedenfor senere.
Heldigvis installerer vi ikke noget værktøj, vores Kali Linux-maskine har forudinstalleret SET (Social Engineering Toolkit), det er alt, hvad vi har brug for. Åh ja, hvis du ikke ved hvad SET er, vil jeg give dig baggrunden for dette værktøjssæt.
Social Engineering Toolkit er designet til at udføre penetrationstest på den menneskelige side. SÆT (om lidt) er udviklet af grundlæggeren af TrustedSec (https: // www.trustedsec.com / social-engineer-toolkit-set /), der er skrevet i Python, og det er open source.
Okay, det var nok, lad os gøre øvelsen. Før vi udfører det sociale ingeniørangreb, skal vi først oprette vores phising-side. Her sidder jeg ned på mit skrivebord, min computer (kører Kali Linux) har forbindelse til internettet det samme Wi-Fi-netværk som min mobiltelefon (jeg bruger Android).
TRIN 1. OPSÆTNING FISISIDE
Setoolkit bruger kommandolinjegrænsefladen, så forvent ikke 'klik-klik' af ting her. Åbn terminalen og skriv:
~ # setoolkitDu vil se velkomstsiden øverst og angrebsindstillingerne nederst, du skal se noget som dette.
Ja, selvfølgelig skal vi optræde Socialtekniske angreb, så vælg nummer 1 og tryk ENTER.
Og så vil du blive vist de næste muligheder, og vælg nummer 2. Website Attack-vektorer. Hit GÅ IND.
Dernæst vælger vi nummer 3. Credential Harvester Attack Method. Hit Gå ind.
Yderligere muligheder er snævrere, SET har forformateret phising-side med populære websteder, såsom Google, Yahoo, Twitter og Facebook. Vælg nu nummer 1. Webskabeloner.
Fordi min Kali Linux-pc og min mobiltelefon var i det samme Wi-Fi-netværk, så indtast blot angriberen (min pc) lokal IP-adresse. Og slå GÅ IND.
PS: For at kontrollere din enheds IP-adresse skal du skrive: 'ifconfig'
Okay indtil videre har vi indstillet vores metode og lytterens IP-adresse. I disse indstillinger er der opført foruddefinerede web phising skabeloner som jeg nævnte ovenfor. Fordi vi målrettede Google-kontosiden, så vi vælger nummer 2. Google. Hit GÅ IND.
det
Nu starter SET min Kali Linux webserver på port 80 med den falske login-side til Google-konto. Vores opsætning er færdig. Nu er jeg klar til at gå ind på mit vennelokale for at logge ind på denne phishing-side ved hjælp af min mobiltelefon.
TRIN 2. JAGTEDE VICTIMS
Grunden til, at jeg bruger mobiltelefon (Android)? Lad os se, hvordan siden vises i min indbyggede Android-browser. Så jeg får adgang til min Kali Linux webserver på 192.168.43.99 i browseren. Og her er siden:
Se? Det ser så virkeligt ud, at der ikke er nogen sikkerhedsproblemer vist på det. URL-linjen, der viser titlen i stedet for selve URL'en. Vi ved, at de dumme vil genkende dette som den originale Google-side.
Så jeg bringer min mobiltelefon ind og går ind på min ven og taler med ham som om jeg ikke kunne logge ind på Google og handle, hvis jeg spekulerer på, om Google styrtede ned eller fejlagtigt. Jeg giver min telefon og beder ham om at prøve at logge ind ved hjælp af hans konto. Han tror ikke på mine ord og begynder straks at skrive hans kontooplysninger som om intet vil ske dårligt her. Haha.
Han har allerede skrevet alle de krævede formularer og lad mig klikke på Log ind knap. Jeg klikker på knappen ... Nu indlæses ... Og så fik vi Googles søgemaskins hovedside sådan.
PS: Når offeret klikker på Log ind knappen, sender den godkendelsesoplysningerne til vores lytteren maskine, og de er logget.
Der sker ikke noget, siger jeg ham Log ind knappen stadig er der, men du kunne dog ikke logge ind. Og så åbner jeg phising-siden igen, mens en anden ven af denne dumme kommer til os. Nej, vi fik endnu et offer.
Indtil jeg klipper foredraget, går jeg tilbage til mit skrivebord og tjekker logbogen for mit SET. Og her er vi kommet,
Goccha ... Jeg svir dig!!!
Afslutningsvis
Jeg er ikke god til historiefortælling (det er pointen) for at opsummere angrebet hidtil er trinnene:
- Åben 'setoolkit'
- Vælge 1) Socialtekniske angreb
- Vælge 2) Webstedsangreb-vektorer
- Vælge 3) Credential Harvester Attack Method
- Vælge 1) Webskabeloner
- Indtast IP-adresse
- Vælge Google
- Glad jagt ^ _ ^
