Ľudia sú najlepším zdrojom a koncovým bodom zraniteľností zabezpečenia vôbec. Sociálne inžinierstvo je druh útoku zameraného na ľudské správanie manipuláciou a pohrávaním si s ich dôverou s cieľom získať dôverné informácie, ako sú bankový účet, sociálne médiá, e -mail, dokonca aj prístup k cieľovému počítaču. Žiadny systém nie je bezpečný, pretože ho vytvorili ľudia. Najčastejším vektorom útokov využívajúcim útoky sociálneho inžinierstva je šírenie phishingu prostredníctvom spamu. Zameriavajú sa na obeť, ktorá má finančný účet, napríklad informácie o bankovníctve alebo kreditnej karte.
Útoky sociálneho inžinierstva nevnikajú priamo do systému, ale využívajú sociálnu interakciu s ľuďmi a útočník jedná priamo s obeťou.
Pamätáš si Kevin Mitnick ? Legenda sociálneho inžinierstva zo staroveku. Vo väčšine svojich útočných metód oklamal obete, aby verili, že má systémovú autoritu. Jeho demo ukážku z útoku Social Engineering Attack ste mohli vidieť na YouTube. Pozri na to!
V tomto príspevku vám ukážem jednoduchý scenár, ako implementovať útok sociálneho inžinierstva v každodennom živote. Je to veľmi jednoduché, riaďte sa pozorne týmto návodom. Jasne vysvetlím scenár.
Útok sociálneho inžinierstva na získanie prístupu k e -mailu
Cieľ : Získanie informácií o e -mailovom poverení
Útočník : Ja
Cieľ : Môj priateľ. (Naozaj? Áno)
Zariadenie : Počítač alebo prenosný počítač so systémom Kali Linux. A môj mobilný telefón!
Životné prostredie : Kancelária (v práci)
Nástroj : Sada nástrojov sociálneho inžinierstva (SET)
Na základe vyššie uvedeného scenára si môžete predstaviť, že nepotrebujeme ani zariadenie obete, použil som svoj laptop a telefón. Potrebujem len jeho hlavu a dôveru a tiež hlúposť! Pretože, viete, ľudskú hlúposť nemožno opraviť, vážne!
V tomto prípade najskôr nastavíme phishingovú prihlasovaciu stránku účtu Gmail v mojom Kali Linuxe a ako spúšťacie zariadenie použijem môj telefón. Prečo som použil svoj telefón? Vysvetlím nižšie, neskôr.
Našťastie nebudeme inštalovať žiadne nástroje, náš stroj Kali Linux má predinštalovaný SET (Social Engineering Toolkit), to je všetko, čo potrebujeme. Ach áno, ak neviete, čo je SET, poskytnem vám pozadie tejto súpravy nástrojov.
Súbor nástrojov sociálneho inžinierstva je navrhnutý tak, aby vykonával penetračný test na strane človeka. SET ( krátko ) je vyvinutý zakladateľom TrustedSec ( https://www.trustedsec.com/social-engineer-toolkit-set/ ) , ktorý je napísaný v Pythone a je to open source.
Dobre, to stačilo, poďme na prax. Predtým, ako sa pustíme do útoku na sociálne inžinierstvo, musíme si najskôr nastaviť phishingovú stránku. Tu sedím na stole, môj počítač (so systémom Kali Linux) je pripojený k internetu rovnakou sieťou Wi-Fi ako môj mobilný telefón (používam Android).
KROK 1. NASTAVENIE PHISINGOVEJ STRÁNKY
Setoolkit používa rozhranie príkazového riadka, takže tu nečakajte „klikacie-klikacie“ veci. Otvorte terminál a zadajte:
~# setoolkitV hornej časti uvidíte uvítaciu stránku a v spodnej časti možnosti útoku. Mali by ste vidieť niečo také.
Áno, samozrejme, budeme vystupovať Útoky sociálneho inžinierstva , tak si zvoľte číslo 1 a stlačte kláves ENTER.
Potom sa vám zobrazia ďalšie možnosti a zvoľte číslo 2. Webový útok na vektory. Hit VSTÚPIŤ.
Ďalej vyberieme číslo 3. Metóda útoku na poverovací kombajn . Hit Zadajte.
Ďalšie možnosti sú užšie, SET má predformátovanú falošnú stránku obľúbených webových stránok, ako sú Google, Yahoo, Twitter a Facebook. Teraz vyberte číslo 1. Webové šablóny .
Pretože môj počítač Kali Linux a môj mobilný telefón boli v rovnakej sieti Wi-Fi, stačí zadať útočníka ( môj počítač ) lokálna IP adresa. A trafiť VSTÚPIŤ.
PS: Ak chcete skontrolovať IP adresu vášho zariadenia, zadajte: „ifconfig“
Zatiaľ sme nastavili našu metódu a IP adresu poslucháča. V týchto možnostiach sú uvedené vopred definované šablóny web phisingu, ako som uviedol vyššie. Pretože sme sa zamerali na stránku účtu Google, vybrali sme číslo 2. Google . Hit VSTÚPIŤ .
theTeraz SET spustí môj webový server Kali Linux na porte 80 s falošnou prihlasovacou stránkou účtu Google. Naše nastavenie je hotové. Teraz som pripravený vojsť do miestnosti svojich priateľov a prihlásiť sa pomocou mobilného telefónu na túto phishingovú stránku.
KROK 2. LOVNÉ OBETE
Dôvod, prečo používam mobilný telefón (Android)? Pozrime sa, ako sa stránka zobrazovala v mojom vstavanom prehliadači Android. Mám teda prístup k svojmu webovému serveru Kali Linux 192,168,43,99 v prehliadači. A tu je stránka:
Vidíte? Vyzerá to tak skutočne, že na tom nie sú žiadne problémy so zabezpečením. Panel s adresou URL, ktorý zobrazuje názov namiesto samotnej adresy URL. Vieme, že tí hlúpi to rozpoznajú ako pôvodnú stránku Google.
Vezmem si mobilný telefón, vojdem k svojmu priateľovi a rozprávam sa s ním, ako keby som sa neprihlásil do Googlu, a konal by som, ak by ma zaujímalo, či Google zlyhal alebo zlyhal. Dávam telefón a žiadam ho, aby sa pokúsil prihlásiť pomocou svojho účtu. Neverí mojim slovám a okamžite začne písať informácie o svojom účte, ako keby sa tu nič nestalo. Haha.
Už zadal všetky požadované formuláre a nechal ma kliknúť na Prihlásiť sa tlačidlo. Kliknite na tlačidlo ... Teraz sa načítava ... A potom sme dostali takúto hlavnú stránku vyhľadávacieho nástroja Google.
PS: Akonáhle obeť klikne na Prihlásiť sa tlačidlo, pošle autentifikačné informácie do nášho zariadenia na počúvanie a zaznamená sa.
Nič sa nedeje, hovorím mu, že Prihlásiť sa tlačidlo stále existuje, nepodarilo sa vám však prihlásiť. A potom znova otváram falošnú stránku, zatiaľ čo k nám prichádza ďalší priateľ tohto hlúpeho. Nie, máme ďalšiu obeť.
Kým nepreruším hovor, potom sa vrátim k svojmu stolu a skontrolujem denník svojho SETu. A tu sme prišli,
Goccha ... teším sa na teba !!!
Na záver
Nie som dobrý v rozprávaní príbehov ( o to ide ), na zhrnutie doterajšieho útoku sú tieto kroky:
- Otvorené 'setoolkit'
- Vyber si 1) Útoky sociálneho inžinierstva
- Vyber si 2) Vektory útoku na webové stránky
- Vyber si 3) Metóda útoku na poverovací kombajn
- Vyber si 1) Webové šablóny
- Zadajte IP adresa
- Vyber si Google
- Šťastný lov ^_ ^