Phenquestions
Ľudia sú najlepším zdrojom a koncovým bodom bezpečnostných zraniteľností vôbec. Sociálne inžinierstvo je druh útoku zameraného na ľudské správanie manipuláciou a hraním sa s jeho dôverou s cieľom získať dôverné informácie, ako sú bankový účet, sociálne médiá, e-mail, dokonca prístup k cieľovému počítaču. Žiadny systém nie je bezpečný, pretože systém je vyrobený ľuďmi.Najbežnejším vektorom útokov využívajúcich útoky sociálneho inžinierstva je šírenie phishingu prostredníctvom spamovania e-mailov. Zameriavajú sa na obeť, ktorá má finančný účet, napríklad informácie o bankovníctve alebo kreditnej karte.
Útoky sociálneho inžinierstva neprenikajú priamo do systému, ale využívajú ľudskú sociálnu interakciu a útočník jedná priamo s obeťou.
Pamätáš si Kevin Mitnick? Legenda sociálneho inžinierstva starej éry. Vo väčšine svojich útočných metód navádzal obete na presvedčenie, že má oprávnenie systému. Možno ste videli jeho ukážkové video Social Engineering Attack na YouTube. Pozri na to!
V tomto príspevku vám ukážem jednoduchý scenár, ako implementovať Social Engineering Attack v každodennom živote. Je to tak jednoduché, stačí pozorne sledovať tento návod. Scenár vysvetlím jasne.
Social Engineering Attack na získanie prístupu k e-mailom
Cieľ: Získavanie informácií o e-mailových povereniach
Útočník: Ja
Cieľ: Môj priateľ. (Naozaj? Áno)
Zariadenie: Počítač alebo notebook so systémom Kali Linux. A môj mobilný telefón!
Životné prostredie: Kancelária (v práci)
Nástroj: Social Engineering Toolkit (SET)
Takže na základe vyššie uvedeného scenára si viete predstaviť, že nepotrebujeme ani zariadenie obete, použil som laptop a telefón. Potrebujem iba jeho hlavu a dôveru a tiež hlúposť! Pretože, viete, ľudská hlúposť sa nedá opraviť, vážne!
V takom prípade najskôr nastavíme phishingovú prihlasovaciu stránku účtu Gmail v mojom systéme Kali Linux a použijem svoj telefón ako spúšťacie zariadenie. Prečo som použil svoj telefón? Ďalej vysvetlím neskôr.
Našťastie nebudeme inštalovať žiadne nástroje, náš stroj Kali Linux má predinštalovaný SET (Social Engineering Toolkit), to je všetko, čo potrebujeme. Áno, ak neviete, čo je to SET, poskytnem vám pozadie tohto súboru nástrojov.
Sada Social Engineering Toolkit je určená na vykonávanie penetračného testu na strane človeka. SET (zakrátko) je vyvinutý zakladateľom spoločnosti TrustedSec (https: // www.trustedsec.com / social-engineer-toolkit-set /), ktorý je napísaný v Pythone a je to open source.
Dobre, stačilo. Poďme na to. Pred uskutočnením útoku na sociálne inžinierstvo musíme najskôr nastaviť našu stránku zameranú na phising. Tu sedím na stole, môj počítač (so systémom Kali Linux) je pripojený k internetu v rovnakej sieti Wi-Fi ako môj mobilný telefón (používam systém Android).
KROK 1. NASTAVTE FISKOVÚ STRÁNKU
Setoolkit používa rozhranie príkazového riadku, takže tu nečakajte „klikanie“ na niečo. Otvorte terminál a zadajte:
~ # setoolkitHore uvidíte uvítaciu stránku a dole možnosti útoku, mali by ste vidieť niečo také.
Áno, samozrejme, ideme vystupovať Útoky na sociálne inžinierstvo, tak si vyber číslo 1 a stlačte kláves ENTER.
Potom sa vám zobrazia ďalšie možnosti a zvolíte číslo 2. Vektory útoku na web. Hit VSTÚPTE.
Ďalej vyberieme číslo 3. Metóda útoku na kombajny. Hit Zadajte.
Ďalšie možnosti sú užšie, SET má predformátovanú phisingovú stránku populárnych webových stránok, ako sú Google, Yahoo, Twitter a Facebook. Teraz zvoľte číslo 1. Webové šablóny.
Pretože môj počítač Kali Linux a môj mobilný telefón boli v rovnakej sieti Wi-Fi, stačí vložiť útočníka (môj počítač) lokálna IP adresa. A trafiť VSTÚPTE.
PS: Ak chcete skontrolovať adresu IP vášho zariadenia, zadajte: „ifconfig“
V poriadku, zatiaľ sme nastavili našu metódu a IP adresu poslucháča. V tejto možnosti sú uvedené preddefinované šablóny phishingu webu, ako som uviedol vyššie. Pretože sme zamerali stránku účtu Google, vybrali sme číslo 2. Google. Hit VSTÚPTE.
the
Teraz SET spustí môj webový server Kali Linux na porte 80 s falošnou prihlasovacou stránkou účtu Google. Naše nastavenie je hotové. Teraz som pripravený vstúpiť do miestnosti svojich priateľov a prihlásiť sa na túto phishingovú stránku pomocou svojho mobilného telefónu.
KROK 2. POĽOVNÍCKE OBETY
Dôvod, prečo používam mobilný telefón (Android)? Pozrime sa, ako sa stránka zobrazuje v mojom zabudovanom prehliadači Android. Takže pristupujem k svojmu webovému serveru Kali Linux ďalej 192.168.43.99 v prehliadači. A tu je stránka:
Pozri? Vyzerá to tak skutočne, že sa na ňom nezobrazujú žiadne problémy so zabezpečením. Lišta adresy URL, ktorá namiesto názvu zobrazuje samotnú adresu URL. Vieme, že hlúpy to spozná ako pôvodnú stránku Google.
Prinášam teda svoj mobilný telefón, kráčam za svojím priateľom a hovorím s ním, akoby sa mi nepodarilo prihlásiť do Googlu, a konám, ak by ma zaujímalo, či Google havaroval alebo zlyhal. Dávam svoj telefón a žiadam ho, aby sa pokúsil prihlásiť pomocou jeho účtu. Neverí mojim slovám a okamžite začne zadávať informácie o svojom účte, akoby sa tu nič zle nestalo. Haha.
Už napísal všetky požadované formuláre a dovoľte mi kliknúť na Prihlásiť sa tlačidlo. Kliknem na tlačidlo ... Teraz sa načítava ... A potom máme hlavnú stránku vyhľadávacieho nástroja Google, ako je táto.
PS: Akonáhle postihnutý klikne na Prihlásiť sa tlačidlo, odošle autentifikačné informácie do nášho prístroja poslucháča a je prihlásený.
Nič sa nedeje, hovorím mu Prihlásiť sa tlačidlo stále existuje, nepodarilo sa vám prihlásiť. A potom znova otváram stránku phisingu, zatiaľ čo k nám prichádza ďalší priateľ tejto hlúposti. Nie, máme ďalšiu obeť.
Kým neprestanem hovoriť, vrátim sa k svojmu stolu a skontrolujem protokol svojho SETu. A máme to,
Goccha ... Hľadám ťa!!!
Na záver
Nie som dobrý v rozprávaní príbehov (o to ide), ak zhrnieme útok, sú to kroky:
- Otvorené 'setoolkit'
- Vyberte si 1) Útoky na sociálne inžinierstvo
- Vyberte si 2) Vektory útoku na web
- Vyberte si 3) Metóda útoku na kombajny
- Vyberte si 1) Webové šablóny
- Zadajte IP adresa
- Vyberte si Google
- Šťastný lov ^ _ ^
