Ludzie są najlepszym zasobem i punktem końcowym luk w zabezpieczeniach, jakie kiedykolwiek powstały. Inżynieria społeczna to rodzaj ataku wymierzonego w ludzkie zachowanie poprzez manipulację i grę z ich zaufaniem, w celu uzyskania poufnych informacji, takich jak konto bankowe, media społecznościowe, poczta e-mail, a nawet dostęp do komputera docelowego. Żaden system nie jest bezpieczny, ponieważ system został stworzony przez ludzi. Najczęstszym wektorem ataku wykorzystującym ataki socjotechniczne jest rozpowszechnianie phishingu poprzez spamowanie e-mailami. Ich celem jest ofiara, która ma konto finansowe, takie jak informacje bankowe lub karty kredytowej.
Ataki socjotechniczne nie włamują się bezpośrednio do systemu, zamiast tego wykorzystują interakcję społeczną człowieka, a atakujący ma do czynienia bezpośrednio z ofiarą.
Pamiętasz Kevin Mitnick ? Legenda socjotechniki dawnej epoki. W większości swoich metod ataków oszukiwał ofiary, by uwierzyły, że posiada on władzę systemową. Być może widziałeś jego film demonstracyjny dotyczący ataku na inżynierię społeczną na YouTube. Spójrz na to!
W tym poście pokażę Ci prosty scenariusz wdrożenia ataku socjotechnicznego w życiu codziennym. To takie proste, po prostu uważnie postępuj zgodnie z samouczkiem. Scenariusz wyjaśnię jasno.
Atak inżynierii społecznej w celu uzyskania dostępu do poczty e-mail
Bramka : Uzyskiwanie informacji o koncie e-mail z danymi uwierzytelniającymi
Napastnik : I
Cel : Mój przyjaciel. (Naprawdę tak)
Urządzenie : Komputer lub laptop z systemem Kali Linux. I mój telefon komórkowy!
Środowisko : Biuro (w pracy)
Narzędzie : Zestaw narzędzi do inżynierii społecznej (SET)
Tak więc na podstawie powyższego scenariusza możesz sobie wyobrazić, że nie potrzebujemy nawet urządzenia ofiary, użyłem mojego laptopa i telefonu. Potrzebuję tylko jego głowy i zaufania, a także głupoty! Bo wiesz, ludzkiej głupoty nie da się naprawić, serio!
W tym przypadku najpierw skonfigurujemy stronę logowania do konta Gmail w celu wyłudzania informacji w moim Kali Linux i użyjemy mojego telefonu jako urządzenia wyzwalającego. Dlaczego korzystałem z telefonu? Wyjaśnię poniżej, później.
Na szczęście nie będziemy instalować żadnych narzędzi, nasz komputer Kali Linux ma preinstalowany SET (Social Engineering Toolkit), to wszystko, czego potrzebujemy. O tak, jeśli nie wiesz, co to jest SET, przedstawię ci tło tego zestawu narzędzi.
Social Engineering Toolkit jest przeznaczony do przeprowadzania testów penetracyjnych po stronie człowieka. USTAWIĆ ( wkrótce ) jest rozwijany przez założyciela TrustedSec ( https://www.trustedsec.com/social-engineer-toolkit-set/ ) , który jest napisany w Pythonie i jest open source.
W porządku, wystarczy, poćwiczmy. Zanim przeprowadzimy atak socjotechniczny, musimy najpierw skonfigurować naszą stronę phishingową. Tutaj siedzę na biurku, mój komputer (z systemem Kali Linux) jest podłączony do Internetu w tej samej sieci Wi-Fi, co mój telefon komórkowy (używam Androida).
KROK 1. KONFIGURACJA STRONY PHISING
Setoolkit korzysta z interfejsu wiersza poleceń, więc nie oczekuj tutaj „kliknięcia”. Otwórz terminal i wpisz:
~# zestaw narzędziZobaczysz stronę powitalną na górze i opcje ataku na dole, powinieneś zobaczyć coś takiego.
Tak, oczywiście będziemy występować Ataki socjotechniczne , więc wybierz numer 1 i naciśnij ENTER.
A potem wyświetlą się kolejne opcje i wybierz numer 2. Wektory ataku na witrynę internetową. Uderzyć WEJŚĆ.
Następnie wybieramy numer 3. Metoda ataku żniwiarki poświadczeń . Uderzyć Wejść.
Dalsze opcje są węższe, SET ma wstępnie sformatowaną stronę phishingową popularnych witryn, takich jak Google, Yahoo, Twitter i Facebook. Teraz wybierz numer 1. Szablony internetowe .
Ponieważ mój komputer Kali Linux i mój telefon komórkowy były w tej samej sieci Wi-Fi, więc po prostu wprowadź atakującego ( mój komputer ) lokalny adres IP. I uderzył WEJŚĆ.
PS: Aby sprawdzić adres IP urządzenia, wpisz: „ifconfig”
Jak na razie w porządku, ustawiliśmy naszą metodę i adres IP słuchacza. W tej opcji wymienione są predefiniowane szablony phishingu internetowego, jak wspomniałem powyżej. Ponieważ celowaliśmy w stronę konta Google, więc wybieramy numer 2. Google . Uderzyć WEJŚĆ .
tenTeraz SET uruchamia mój serwer WWW Kali Linux na porcie 80 z fałszywą stroną logowania do konta Google. Nasza konfiguracja jest zakończona. Teraz jestem gotowy wejść do pokoju moich znajomych, aby zalogować się na tej stronie phishingowej za pomocą mojego telefonu komórkowego.
KROK 2. OFIARY POLOWANIA
Powód, dla którego używam telefonu komórkowego (Android)? Zobaczmy, jak strona wyświetla się w mojej wbudowanej przeglądarce Android. Więc mam dostęp do mojego serwera Kali Linux na 192.168.43.99 w przeglądarce. A oto strona:
Widzieć? Wygląda tak realistycznie, że nie ma na nim żadnych problemów z bezpieczeństwem. Pasek adresu URL pokazujący tytuł zamiast samego adresu URL. Wiemy, że głupi rozpoznają to jako oryginalną stronę Google.
Więc przynoszę telefon komórkowy i wchodzę do mojego przyjaciela i rozmawiam z nim tak, jakbym nie zalogował się do Google i działam, jeśli zastanawiam się, czy Google się zawiesił lub wystąpił błąd. Oddaję telefon i proszę, żeby spróbował się zalogować za pomocą swojego konta. Nie wierzy w moje słowa i natychmiast zaczyna wpisywać informacje o swoim koncie, jakby nic się tu nie stało. Ha ha.
Wpisał już wszystkie wymagane formularze i pozwolił mi kliknąć Zaloguj się przycisk. Klikam przycisk… Teraz się ładuje… A potem mamy stronę główną wyszukiwarki Google, taką jak ta.
PS: Gdy ofiara kliknie przycisk Zaloguj się przycisk, wyśle informacje uwierzytelniające do naszego urządzenia nasłuchującego i zostanie ono zarejestrowane.
Nic się nie dzieje, mówię mu, Zaloguj przycisk nadal tam jest, ale nie udało Ci się zalogować. A potem ponownie otwieram stronę phishingową, podczas gdy kolejny przyjaciel tego głupiego przychodzi do nas. Nie, mamy kolejną ofiarę.
Dopóki nie przerwę rozmowy, wracam do biurka i sprawdzam dziennik mojego SETa. I oto mamy,
Goccha… przepraszam!!!
Podsumowując
Nie jestem dobry w opowiadaniu historii ( o to chodzi ), podsumowując dotychczasowy atak, kroki to:
- otwarty „zestaw narzędzi”
- Wybierać 1) Ataki socjotechniczne
- Wybierać 2) Wektory ataku na witrynę internetową
- Wybierać 3) Metoda ataku żniwiarki poświadczeń
- Wybierać 1) Szablony internetowe
- Wprowadź adres IP
- Wybierać Google
- Szczęśliwe polowanie ^ _ ^