Lidé jsou nejlepším zdrojem a koncovým bodem bezpečnostních chyb vůbec. Sociální inženýrství je druh útoku, který cílí na lidské chování tím, že manipuluje a hraje si s jeho důvěrou, s cílem získat důvěrné informace, jako je bankovní účet, sociální média, e -mail nebo dokonce přístup k cílovému počítači. Žádný systém není bezpečný, protože systém je vytvořen lidmi. Nejběžnějším vektorem útoků využívajícím útoky sociálního inženýrství je šíření phishingu prostřednictvím spamování e -mailů. Zaměřují se na oběť, která má finanční účet, například informace o bankovnictví nebo kreditní kartě.
Útoky sociálního inženýrství nevnikají přímo do systému, ale využívají sociální interakci člověka a útočník jedná přímo s obětí.
Pamatuješ si Kevin Mitnick ? Legenda sociálního inženýrství staré éry. Ve většině svých útočných metod oklamal oběti, aby uvěřily, že má systémovou autoritu. Možná jste viděli jeho demo video Social Engineering Attack na YouTube. Podívej se na to!
V tomto příspěvku vám ukážu jednoduchý scénář, jak implementovat útok sociálního inženýrství v každodenním životě. Je to tak snadné, postupujte podle pokynů pečlivě. Scénář vysvětlím jasně.
Útok sociálního inženýrství k získání přístupu k e -mailu
Fotbalová branka : Získání informací o účtu e -mailových pověření
Útočník : Já
cílová : Můj přítel. (Opravdu? Ano)
přístroj : Počítač nebo notebook se systémem Kali Linux. A můj mobilní telefon!
životní prostředí : Kancelář (v práci)
Nářadí : Social Engineering Toolkit (SET)
Na základě výše uvedeného scénáře si můžete představit, že ani nepotřebujeme zařízení oběti, použil jsem svůj notebook a telefon. Potřebuji jen jeho hlavu a důvěru a taky hloupost! Protože, víte, lidskou hloupost nelze opravovat, vážně!
V tomto případě nejprve nastavíme phishingovou přihlašovací stránku účtu Gmail v mém systému Kali Linux a použiji můj telefon jako spouštěcí zařízení. Proč jsem použil svůj telefon? Vysvětlím níže, později.
Naštěstí nebudeme instalovat žádné nástroje, náš stroj Kali Linux má předinstalovaný SET (Social Engineering Toolkit), to je vše, co potřebujeme. Ach jo, pokud nevíte, co je SET, poskytnu vám pozadí této sady nástrojů.
Social Engineering Toolkit je navržen tak, aby prováděl penetrační test na straně člověka. SET ( krátce ) je vyvinut zakladatelem TrustedSec ( https://www.trustedsec.com/social-engineer-toolkit-set/ ) , který je napsán v Pythonu, a je to open source.
Dobře, to stačilo, pojďme cvičit. Než provedeme útok sociálního inženýrství, musíme nejprve nastavit naši phishingovou stránku. Tady sedím na stole, můj počítač (se systémem Kali Linux) je připojen k internetu stejnou sítí Wi-Fi jako můj mobilní telefon (používám Android).
KROK 1. NASTAVENÍ PHISINGOVÉ STRÁNKY
Setoolkit používá rozhraní příkazového řádku, takže zde nečekejte „klikací-klikací“ věci. Otevřete terminál a zadejte:
~# setoolkitNahoře uvidíte uvítací stránku a dole možnosti útoku, mělo by se vám zobrazit něco takového.
Ano, samozřejmě, budeme vystupovat Útoky sociálního inženýrství , tak si vyberte číslo 1 a stiskněte klávesu ENTER.
A pak se vám zobrazí další možnosti a zvolíte číslo 2. Vektory útočí na webové stránky. Udeřil ENTER.
Dále vybereme číslo 3. Metoda útoku pověření Harvester . Udeřil Vstupte.
Další možnosti jsou užší, SET má předformátovanou phishingovou stránku oblíbených webů, jako je Google, Yahoo, Twitter a Facebook. Nyní vyberte číslo 1. Webové šablony .
Protože můj počítač Kali Linux a můj mobilní telefon byly ve stejné síti Wi-Fi, stačí zadat útočníka ( můj počítač ) místní IP adresa. A udeřil ENTER.
PS: Chcete -li zkontrolovat IP adresu zařízení, zadejte: „ifconfig“
Dobře, zatím jsme nastavili naši metodu a IP adresu posluchače. V této možnosti jsou uvedeny předdefinované šablony phishing pro web, jak jsem uvedl výše. Protože jsme zamířili na stránku účtu Google, zvolili jsme číslo 2. Google . Udeřil ENTER .
theNyní SET spustí můj webový server Kali Linux na portu 80 s falešnou přihlašovací stránkou účtu Google. Naše nastavení je hotové. Nyní jsem připraven vstoupit do místnosti svých přátel, abych se pomocí mobilního telefonu přihlásil na tuto phishingovou stránku.
KROK 2. LOV OBĚTÍ
Důvod, proč používám mobilní telefon (Android)? Podívejme se, jak se stránka zobrazila v mém vestavěném prohlížeči Android. Takže přistupuji ke svému webovému serveru Kali Linux na 192,168,43,99 v prohlížeči. A tady je stránka:
Vidět? Vypadá tak skutečně, že na něm nejsou zobrazeny žádné problémy se zabezpečením. Panel URL zobrazující nadpis namísto samotné adresy URL. Víme, že hloupí to rozpoznají jako původní stránku Google.
Přinesu tedy svůj mobilní telefon, vejdu ke svému příteli a mluvím s ním, jako kdybych se nepřihlásil k Googlu, a jednal, pokud by mě zajímalo, jestli Google havaroval nebo chyboval. Dávám svůj telefon a žádám ho, aby se pokusil přihlásit pomocí svého účtu. Nevěří mým slovům a okamžitě začne psát informace o svém účtu, jako by se zde nic nestalo špatně. Haha.
Už zadal všechny požadované formuláře a nechal mě kliknout na Přihlásit se knoflík. Kliknu na tlačítko ... Nyní se načítá ... A pak jsme dostali hlavní stránku vyhledávače Google, jako je tato.
PS: Jakmile oběť klikne na Přihlásit se tlačítko, odešle ověřovací informace do našeho naslouchacího stroje a je zaznamenáno.
Nic se neděje, říkám mu Přihlásit se Tlačítko stále existuje, ale nepodařilo se vám přihlásit. A pak znovu otevírám phishingovou stránku, zatímco k nám přichází další přítel tohoto hloupého. Ne, máme další oběť.
Dokud neukončím hovor, pak se vrátím ke svému stolu a zkontroluji protokol mého SET. A tady máme,
Goccha ... já tě vidím !!!
Na závěr
Nejsem dobrý v vyprávění příběhů ( o to tu jde ), abychom shrnuli dosavadní útok, jsou tyto kroky:
- Otevřeno 'setoolkit'
- Vybrat 1) Útoky sociálního inženýrství
- Vybrat 2) Vektory útočí na webové stránky
- Vybrat 3) Metoda útoku pověření Harvester
- Vybrat 1) Webové šablony
- Zadejte IP adresa
- Vybrat Google
- Šťastný lov ^_ ^