Zestaw narzędzi do inżynierii społecznej Kali Linux
Ludzie są najlepszym zasobem i punktem końcowym luk w zabezpieczeniach. Inżynieria społeczna to rodzaj ataku ukierunkowanego na ludzkie zachowanie poprzez manipulowanie i zabawę ich zaufaniem, w celu uzyskania poufnych informacji, takich jak konto bankowe, media społecznościowe, e -mail, a nawet dostęp do komputera docelowego. Żaden system nie jest bezpieczny, ponieważ system jest wytwarzany przez ludzi.Najczęstszym wektorem ataku za pomocą ataków inżynierii społecznej jest rozpowszechnianie phishing poprzez spam e -mail. Kierują się na ofiarę, która ma rachunek finansowy, taki jak informacje o bankowości lub karcie kredytowej.
Ataki inżynierii społecznej nie włamują się bezpośrednio do systemu, zamiast tego wykorzystuje ludzką interakcję społeczną, a atakujący radzi sobie bezpośrednio z ofiarą.
Pamiętasz Kevin Mitnick? Legenda inżynierii społecznej Old Era. W większości swoich metod ataku nakłaniał ofiary, aby wierzyć, że utrzymuje autorytet systemowy. Być może widziałeś jego film demo inżynierii społecznej na YouTube. Spójrz na to!
W tym poście pokażę ci prosty scenariusz, jak wdrożyć atak inżynierii społecznej w życiu codziennym. To jest takie łatwe, po prostu uważnie podążaj za samouczkiem. Wyjaśnię wyraźnie scenariusz.
Atak inżynierii społecznej, aby uzyskać dostęp do wiadomości e -mail
Bramka: Zdobycie informacji o koncie e -mailowym
Napastnik: Ja
Cel: Mój przyjaciel. (Naprawdę? Tak)
Urządzenie: Komputer lub laptop z Kali Linux. I mój telefon komórkowy!
Środowisko: Office (w pracy)
Narzędzie: Social Engineering Toolkit (zestaw)
Tak więc, w oparciu o powyższy scenariusz, możesz sobie wyobrazić, że nawet nie potrzebujemy urządzenia ofiary, użyłem laptopa i telefonu. Potrzebuję tylko jego głowy i zaufania, a także głupoty! Ponieważ, wiesz, ludzkiej głupoty nie można załatać, poważnie!
W takim przypadku najpierw skonfigurujemy stronę logowania konta Gmail w moim Kali Linux i użyj mojego telefonu, aby być urządzeniem wyzwalającym. Dlaczego korzystałem z telefonu? Wyjaśnię poniżej, później.
Na szczęście nie będziemy instalować żadnych narzędzi, nasz Maszyna Kali Linux ma wstępnie zainstalowany zestaw (narzędzi do inżynierii społecznej), to wszystko, czego potrzebujemy. O tak, jeśli nie wiesz, co jest ustawione, dam ci tło na tym zestawie narzędzi.
Social Engineering Toolkit, to projekt do przeprowadzenia testu penetracji po stronie człowieka. USTAWIĆ (wkrótce) jest opracowywany przez założyciela TrustedSec (https: // www.zaufane.com/social-ingineer-toolkit-set/), który jest napisany w Pythonie i jest open source.
W porządku, to wystarczyło, zróbmy praktykę. Zanim przeprowadzimy atak inżynierii społecznej, musimy najpierw skonfigurować naszą stronę Phinish. Tutaj siedzę na biurku, mój komputer (Uruchamianie Kali Linux) jest podłączony do Internetu taką samą siecią Wi-Fi co mój telefon komórkowy (używam Androida).
KROK 1. Strona konfiguracyjna
Setoolkit używa interfejsu wiersza poleceń, więc nie oczekuj „kliknięcia” rzeczy tutaj. Otwórz terminal i wpisz:
~# SetoolkitZobaczysz stronę powitalną u góry i opcje ataku na dole, powinieneś zobaczyć coś takiego.
Tak, oczywiście, będziemy występować Ataki inżynierii społecznej, Więc wybierz numer 1 i naciśnij Enter.
A następnie wyświetlisz następne opcje i wybierz numer 2. Wektory ataku witryny. Uderzyć WCHODZIĆ.
Następnie wybieramy numer 3. Metoda ataku kombajnowego poświadczenia. Uderzyć Wchodzić.
Dalsze opcje są węższe, zestaw ma wstępnie formatowaną stronę popularnych witryn, takich jak Google, Yahoo, Twitter i Facebook. Teraz wybierz numer 1. Szablony internetowe.
Ponieważ mój komputer Kali Linux i mój telefon komórkowy były w tej samej sieci Wi-Fi, więc po prostu wpisz atakującego (mój komputer) Lokalny adres IP. I uderz WCHODZIĆ.
PS: Aby sprawdzić adres IP urządzenia, wpisz: „ifconfig”
W porządku, jak dotąd ustawiliśmy naszą metodę i adres IP słuchacza. W tych opcjach wymieniono wstępnie zdefiniowane szablony fisingowe, jak wspomniałem powyżej. Ponieważ skierowaliśmy stronę konta Google, więc wybieramy numer 2. Google. Uderzyć WCHODZIĆ.
Teraz zestaw uruchamia mój Webserver Kali Linux na porcie 80, z fałszywą stroną logowania konta Google. Nasza konfiguracja jest zakończona. Teraz jestem gotowy wchodzenie do mojego pokoju znajomych, aby zalogować się do tej strony phishing za pomocą mojego telefonu komórkowego.
KROK 2. Ofiary polowań
Powód, dla którego używam telefonu komórkowego (Android)? Zobacz, jak strona wyświetlona jest w mojej wbudowanej przeglądarce na Androida. Tak więc dostęp do moich serwerów Kali Linux 192.168.43.99 W przeglądarce. A oto strona:
Widzieć? Wygląda tak prawdziwie, że nie wyświetla się na nim problemów bezpieczeństwa. URL pasek pokazujący tytuł zamiast samego adresu URL. Wiemy, że głupi rozpozna to jako oryginalną stronę Google.
Przynoszę więc telefon komórkowy i wchodzę do mojego przyjaciela i rozmawiam z nim, jakbym nie zalogował się do Google i działał, jeśli zastanawiam. Daję telefon i proszę go o zalogowanie się za pomocą jego konta. Nie wierzy w moje słowa i natychmiast zaczyna wpisywać informacje o swoim koncie, jakby nic się nie wydarzyło. Ha ha.
Wpisał już wszystkie wymagane formularze i pozwól mi kliknąć Zalogować się przycisk. Klikam przycisk… teraz ładuje się… a potem mamy stronę główną w wyszukiwarce Google.
PS: Gdy ofiara kliknie Zalogować się przycisk, wyśle informacje o uwierzytelnianiu do naszego komputera słuchacza i jest zalogowany.
Nic się nie dzieje, mówię mu, Zalogować się przycisk jest nadal tam, nie udało ci się zalogować. A potem ponownie otwieram stronę Phising, a inny przyjaciel tego głupiego do nas przychodzi. Nie, mamy kolejną ofiarę.
Dopóki nie wycinam rozmowy, a potem wracam do biurka i sprawdzam dziennik mojego zestawu. I tutaj,
Gaccha… Pwnd you!!!
Podsumowując
Nie jestem dobry w opowiadaniu historii (o to chodzi), podsumowując dotychczas atak, kroki to:
- otwarty „Setoolkit”
- Wybierać 1) Ataki inżynierii społecznej
- Wybierać 2) Wektory ataku witryny
- Wybierać 3) Metoda ataku kombajnowego poświadczenia
- Wybierać 1) Szablony internetowe
- Wprowadź adres IP
- Wybierać Google
- Szczęśliwe polowanie ^_ ^