Hakuj Facebook za pomocą inżynierii społecznej
Ataki inżynierii społecznej (z perspektywy hakowania) są dość podobne do wykonania magicznego programu. Różnica polega na tym, że w atakach inżynierii społecznej jest magiczną sztuczką, w której wynik jest konto bankowe, media społecznościowe, e -mail, a nawet dostęp do komputera docelowego. Kto stworzył system? CZŁOWIEK. Wykonanie ataku inżynierii społecznej jest łatwe, zaufaj mi, to naprawdę łatwe. Żaden system nie jest bezpieczny. Ludzie są najlepszym zasobem i punktem końcowym luk w zabezpieczeniach.
W ostatnim artykule zrobiłem demo konta Google, Kali Linux: Social Engineering Toolkit, to kolejna lekcja dla Ciebie.
Czy potrzebujemy pewnego systemu operacyjnego testowania penetracji, aby wykonać atak inżynierii społecznej? W rzeczywistości nie, atak inżynierii społecznej jest elastyczny, narzędzia, takie jak Kali Linux, są tylko narzędziami. Głównym punktem ataku inżynierii społecznej jest „zaprojektowanie przepływu ataku”.
W ostatnim artykule ataku inżynierii społecznej nauczyliśmy się ataku inżynierii społecznej za pomocą „zaufania”. W tym artykule dowiemy się o „uwagi”. Dostałem tę lekcję od „króla złodziei” Apollo Robbins. Jego pochodzenie jest wykwalifikowanym magikiem, ulicznym magikiem. Można było zobaczyć jego program na YouTube. Kiedyś wyjaśnił w rozmowie TED, o tym, jak kradzież rzeczy. Jego zdolność polega głównie na tym, że bawi się uwagę ofiary, by zbierać ich rzeczy, takie zegarki, portfel, pieniądze, karta, wszystko w kieszeni ofiar, bez uznania. Pokażę ci, jak przeprowadzić atak inżynierii społecznej, aby zhakować czyjeś konto na Facebooku za pomocą „zaufania” i „uwagi”. Kluczem do „uwagi” jest kontynuowanie rozmowy i zadawania pytań. Jesteś pilotem rozmowy.
Cześć, jestem Bimando, autorem tego artykułu. Jeśli podoba Ci się ten artykuł, zapoznaj się z zakupem mojej książki praktyczne hakowanie etyczne: dla testerów penetracji z Kali Linux. Ciężko nad tym pracowałem z zespołem wskazów Linux, aby wyprodukować wysokiej jakości produkt, który wiem, że pokochasz go i dużo się nauczysz.
Scenariusz ataku inżynierii społecznej
Ten scenariusz dotyczy 2 aktorów, Johna jako atakującego i Bima jako ofiary. John wyznaje BIMA jako cel. Celem ataku inżynierii społecznej tutaj jest uzyskanie dostępu do konta ofiary na Facebooku. Przepływ ataku zastosuje inne podejście i metodę. John i Bima są przyjaciółmi, często spotykają się w stołówce w porze lunchu w czasie odpoczynku w biurze. John i Bima pracują w różnych oddziałach, jedyną okazją do spotykają. Często spotykają się i rozmawiają ze sobą do tej pory są towarzyszami.
Pewnego dnia John „Bad Guy” jest zdeterminowany, aby ćwiczyć atak inżynierii społecznej za pomocą gry „uwagi”, o której wspomniałem wcześniej, zainspirował go „Król Thieves” Apollo Robbins. W jednej ze swoich prezentacji Robbins powiedział, że mamy dwa oczy, ale nasz mózg może skupić się tylko na jednej rzeczy. Możemy wykonywać wielozadaniowość, ale jednocześnie nie wykonuje różnych zadań, zamiast tego po prostu szybko przełączamy naszą uwagę na każde zadanie.
Na początku dnia, w poniedziałek, w biurze, jak zwykle John jest w swoim pokoju, stojąc przy biurku. Planuje uzyskać strategię zhakowania konta swojego przyjaciela na Facebooku. Powinien być gotowy przed obiadem. Myśli i zastanawia się, siedząc przy biurku.
Potem bierze kartkę papieru, siedzi na krześle, który jest skierowany. Odwiedza stronę na Facebooku, aby znaleźć sposób na włamanie się do czyjegoś konta.
Krok 1: Znajdź okno startera a.k.dziura
Na ekranie dziennika zauważa link o nazwie „Zapomniane konto”, tutaj John będzie korzystał z korzyści z „Zapomniane konto (Odzyskiwanie hasła) ”. Facebook już podał nasze okno startowe: „https: // www.Facebook.com/login/identyfikator?ctx = odzyskaj ”.
Strona powinna wyglądać tak:
Na polu "Znajdź swoje konto”Sekcja, istnieje zdanie, które mówi:„Wprowadź swój adres e -mail lub numer telefonu, aby wyszukać swoje konto". Stąd otrzymujemy kolejny zestaw Windows: adres e -mail odnosi się do „Konto e-mail" a numer telefonu odnosi się do „telefonu komórkowego Telefon". Więc John ma hipotezę, że jeśli ma konto e -mail ofiary lub telefon komórkowy, będzie miał dostęp do konta ofiary na Facebooku.
Krok 2: Wypełnij formularz, aby zidentyfikować konto
Okej, stąd John zaczyna głęboko myśleć. Nie wie, jaki jest adres e-mail Bima, ale zapisał numer telefonu BIMA na swoim telefonie komórkowym. Następnie chwyta telefon i szuka numeru telefonu Bimy. I proszę bardzo, znalazł to. Zaczyna pisać numer telefonu Bima w tej dziedzinie. Następnie naciska przycisk „Wyszukaj”. Obraz powinien wyglądać tak:
Zdobył, odkrył, że numer telefonu Bima jest podłączony do jego konta na Facebooku. Stąd po prostu trzyma i nie naciska Kontynuować przycisk. Na razie upewnił się, że ten numer telefonu jest podłączony do konta ofiary na Facebooku, więc zbliża się do jego hipotezy.
To, co faktycznie zrobił John, robienie rozpoznania lub gromadzenie informacji na temat ofiary. Stąd John ma wystarczającą ilość informacji i jest gotowy do wykonania. Ale John spotka Bimę w stołówce, nie można Johnowi przynieść swojego komputera, prawda? Nie ma problemu, ma poręczne rozwiązanie, które jest jego własnym telefonem komórkowym. Więc zanim pozna Bima, powtarza KROK 1 I 2 na chromowanej przeglądarce w telefonie komórkowym z Androidem. Wyglądałoby tak:
Krok 3: Poznaj ofiarę
W porządku, teraz wszystko jest skonfigurowane i gotowe. Wszystko, co musi zrobić, to złapać telefon Bima, kliknij Kontynuować Przycisk na jego telefonie, przeczytaj wiadomość odbiorczą SMS wysłaną przez Facebook (kod resetowania) na telefonie Bima, pamiętaj o tym i usuń wiadomość w jednym ułamku czasu, szybko.
Ten plan trzyma się jego głowy, gdy teraz idzie do stołówki. John włożył telefon do kieszeni. Wszedł do stołówek, szukając BIMA. Odwrócił głowę w lewo do prawej, zastanawiając się, gdzie do cholery jest Bima. Jak zwykle jest na narożnym siedzeniu, machając ręką do Johna, był gotowy z posiłkiem.
Natychmiast John bierze niewielką część posiłku w południe i jest blisko stolika z Bimą. Mówi cześć do Bima, a potem jedzą razem. Podczas jedzenia John rozgląda się, zauważa, że telefon Bima jest na stole.
Po zakończeniu lunchu rozmawiają o sobie. Jak zwykle, aż do tego, w pewnym momencie John otwórz nowy temat o telefonach. John mówi mu, że John potrzebuje nowego telefonu, a John potrzebuje swojej rady na temat tego, który telefon jest odpowiedni dla Johna. Potem zapytał o telefon Bimy, zapytał wszystko, model, specyfikacje, wszystko. A potem John prosi go o wypróbowanie telefonu, John zachowuje się tak, jakby był naprawdę klientem szukającym telefonu. Lewa ręka Johna chwyta jego telefon za zgodą, podczas gdy jego prawa ręka znajduje się pod stołem, przygotowując się do otwarcia własnego telefonu. John przyciąga uwagę na lewą rękę, jego telefon, John tak dużo mówił o swoim telefonie, jego wagi, prędkości i tak dalej.
Teraz John rozpoczyna atak od wyłączenia objętości dzwonka telefonu Bima do zera, aby uniemożliwić mu rozpoznanie, czy pojawia się nowe powiadomienie. Lewa ręka Johna wciąż zwraca uwagę, podczas gdy jego prawa ręka faktycznie naciska Kontynuować przycisk. Gdy tylko John nacisnął przycisk, wiadomość pojawia się.
Ding… bez dźwięków. BIMA nie rozpoznała komunikatu przychodzącego, ponieważ monitor stoi w obliczu Johna. John natychmiast otwiera wiadomość, czyta i pamięta 6 -cyfrowy szpilka w SMS -ów, a następnie wkrótce je usuwa. Teraz skończy się telefonem Bimy, John oddaje mu telefon Bimy, podczas gdy prawą rękę Johna wyciąga własny telefon i zaczyna natychmiast pisać 6 -cyfrowy szpilka Po prostu pamiętał.
Potem John naciska Kontynuować. Pojawia się nowa strona, zapytała, czy chce zrobić nowe hasło, czy nie.
John nie zmieni hasła, ponieważ nie jest zły. Ale teraz ma konto Bima na Facebooku. I odniósł sukces ze swoją misją.
Jak widać, scenariusz wydaje się taki prosty, ale hej, jak łatwo możesz złapać i pożyczyć telefon znajomych? Jeśli korelujesz z hipotezą, mając telefon znajomych, możesz uzyskać, co chcesz, źle.