Žmonės yra geriausias visų laikų saugumo pažeidžiamumo šaltinis ir galutinis taškas. Socialinė inžinerija yra tam tikra ataka, nukreipta į žmogaus elgesį manipuliuojant ir žaidžiant su jų pasitikėjimu, siekiant įgyti konfidencialios informacijos, tokios kaip banko sąskaita, socialinė žiniasklaida, el. Paštas, netgi prieiga prie tikslinio kompiuterio. Jokia sistema nėra saugi, nes sistemą kuria žmonės. Dažniausias atakos vektorius, naudojant socialinės inžinerijos atakas, yra suklastotas sukčiavimas el. Paštu. Jie taikomi į auką, kuri turi finansinę sąskaitą, pvz., Banko ar kredito kortelės informaciją.
Socialinės inžinerijos išpuoliai nėra įsilaužimas į sistemą tiesiogiai, vietoj to naudojama žmonių socialinė sąveika, o užpuolikas tiesiogiai bendrauja su auka.
Ar prisimeni Kevinas Mitnickas ? Senosios eros socialinės inžinerijos legenda. Daugeliu savo atakos metodų jis apgaudinėdavo aukas manydamas, kad jis turi sistemos valdžią. Galbūt matėte jo socialinės inžinerijos atakos demonstracinį vaizdo įrašą „YouTube“. Pažiūrėk į tai!
Šiame įraše aš jums parodysiu paprastą scenarijų, kaip įgyvendinti socialinės inžinerijos ataką kasdieniame gyvenime. Tai taip paprasta, tiesiog atidžiai sekite vadovėlį. Aiškiai paaiškinsiu scenarijų.
Socialinės inžinerijos ataka, skirta prieigai prie el
Įvartis : Gaunama el. Pašto prisijungimo duomenų paskyros informacija
Užpuolikas : Aš
Tikslas : Mano draugas. (Tikrai? Taip)
Įrenginys : Kompiuteris ar nešiojamasis kompiuteris, kuriame veikia „Kali Linux“. Ir mano mobilusis telefonas!
Aplinka : Biuras (darbe)
Įrankis : Socialinės inžinerijos įrankių rinkinys (SET)
Taigi, remiantis aukščiau aprašytu scenarijumi, galite įsivaizduoti, kad mums net nereikia aukos įrenginio, aš naudojau nešiojamąjį kompiuterį ir telefoną. Man reikia tik jo galvos ir pasitikėjimo, ir kvailumo! Nes, žinote, žmogaus kvailumo negalima taisyti, rimtai!
Šiuo atveju pirmiausia „Kali Linux“ nustatysime sukčiavimo „Gmail“ paskyros prisijungimo puslapį ir naudosime telefoną kaip trigerį. Kodėl aš naudoju savo telefoną? Toliau paaiškinsiu vėliau.
Laimei, mes neįdiegsime jokių įrankių, mūsų „Kali Linux“ mašinoje yra iš anksto įdiegtas SET (socialinės inžinerijos įrankių rinkinys). Tai viskas, ko mums reikia. O taip, jei nežinote, kas yra SET, aš jums pateiksiu šio įrankių rinkinio pagrindus.
Socialinės inžinerijos įrankių rinkinys yra skirtas žmogaus pusės skverbties bandymui atlikti. SET ( netrukus ) sukūrė „TrustedSec“ įkūrėjas ( https://www.trustedsec.com/social-engineer-toolkit-set/ ) , kuris parašytas „Python“ ir yra atviro kodo.
Gerai, to pakaks, atlikime praktiką. Prieš vykdydami socialinės inžinerijos ataką, pirmiausia turime sukurti savo phising puslapį. Čia aš sėdžiu ant savo stalo, mano kompiuteris (kuriame veikia „Kali Linux“) yra prijungtas prie interneto tuo pačiu „Wi-Fi“ tinklu kaip ir mano mobilusis telefonas (naudoju „Android“).
ŽINGSNIS 1. NUSTATYTI PHISING PAGE
„Setoolkit“ naudoja komandų eilutės sąsają, todėl čia nereikia tikėtis „spragtelėjimo“. Atidarykite terminalą ir įveskite:
~# setoolkitPamatysite pasveikinimo puslapį viršuje ir atakos parinktis apačioje, turėtumėte pamatyti kažką panašaus.
Taip, žinoma, mes koncertuosime Socialinės inžinerijos atakos , todėl pasirinkite skaičių 1 ir paspauskite ENTER.
Tada jums bus parodytos kitos parinktys ir pasirinkite numerį 2. Svetainės atakos vektoriai. Rezultatas Įveskite.
Toliau pasirenkame skaičių 3. Kredencialų derliaus nuėmimo atakos metodas . Rezultatas Įveskite.
Kitos galimybės yra siauresnės, SET turi iš anksto suformatuotą populiarių svetainių, tokių kaip „Google“, „Yahoo“, „Twitter“ ir „Facebook“, phising puslapį. Dabar pasirinkite skaičių 1. Žiniatinklio šablonai .
Kadangi mano „Kali Linux“ kompiuteris ir mano mobilusis telefonas buvo tame pačiame „Wi-Fi“ tinkle, todėl tiesiog įveskite užpuoliką ( mano kompiuteris ) vietinis IP adresas. Ir pataikyti Įveskite.
PS: Norėdami patikrinti savo įrenginio IP adresą, įveskite „ifconfig“
Gerai, kol kas nustatėme savo metodą ir klausytojo IP adresą. Šiose parinktyse išvardyti iš anksto nustatyti žiniatinklio phishing šablonai, kaip minėjau aukščiau. Kadangi nukreipėme „Google“ paskyros puslapį, pasirenkame numerį 2. „Google“ . Rezultatas Įveskite .
įDabar SET paleidžia mano „Kali Linux“ žiniatinklio serverį 80 prievade, suklastotas „Google“ paskyros prisijungimo puslapis. Mūsų sąranka baigta. Dabar esu pasiruošęs įeiti į savo draugų kambarį ir prisijungti prie šio sukčiavimo puslapio naudodami savo mobilųjį telefoną.
ŽINGSNIS 2. MEDŽIAGŲ AUKOS
Kodėl aš naudoju mobilųjį telefoną („Android“)? Pažiūrėkime, kaip puslapis rodomas mano integruotoje „Android“ naršyklėje. Taigi, aš pasiekiu savo „Kali Linux“ žiniatinklio serverį 192.168.43.99 naršyklėje. O štai puslapis:
Pamatyti? Tai atrodo taip tikra, kad jame nėra jokių saugumo problemų. URL juosta, rodanti pavadinimą, o ne pats URL. Mes žinome, kad kvailys tai atpažins kaip originalų „Google“ puslapį.
Taigi, atsinešiu savo mobilųjį telefoną ir įeinu į savo draugą ir pasikalbu su juo taip, lyg nepavyktų prisijungti prie „Google“ ir veikti, jei man įdomu, ar „Google“ sudužo ar suklydo. Aš duodu savo telefoną ir prašau jo pabandyti prisijungti naudojant savo paskyrą. Jis netiki mano žodžiais ir iškart pradeda rašyti savo sąskaitos informaciją, tarsi nieko čia blogo neatsitiktų. Haha.
Jis jau įvedė visas reikalingas formas ir leido man spustelėti Prisijungti mygtuką. Spusteliu mygtuką ... Dabar jis įkeliamas ... Ir tada mes gavome tokį „Google“ paieškos variklio pagrindinį puslapį.
PS: Kai auka spustelės Prisijungti mygtuką, jis atsiųs autentifikavimo informaciją į mūsų klausytojų įrenginį ir bus užregistruotas.
Nieko neįvyksta, sakau jam Prisijungti mygtukas vis dar yra, jums nepavyko prisijungti. Tada vėl atsiverčiu phising puslapį, o pas mus ateina kitas šio kvailo draugas. Na, mes turime dar vieną auką.
Kol nenutraukiu pokalbio, grįžtu prie savo stalo ir patikrinu savo SET žurnalą. Ir štai mes gavome,
Goccha ... aš tave myliu !!!
Apibendrinant
Man netinka pasakoti istorijas ( tai yra esmė ), apibendrinant ataką iki šiol, yra šie žingsniai:
- Atviras 'setoolkit'
- Pasirinkite 1) Socialinės inžinerijos atakos
- Pasirinkite 2) Svetainės atakos vektoriai
- Pasirinkite 3) Kredencialų derliaus nuėmimo atakos metodas
- Pasirinkite 1) žiniatinklio šablonai
- Įveskite IP adresas
- Pasirinkite „Google“
- Laimingos medžioklės ^_ ^