Napadi socialnega inženiringa (z vidika hekerstva) so precej podobni izvedbi čarobne predstave. Razlika je v tem, da je v napadih socialnega inženiringa čarobni trik, kjer je rezultat bančni račun, družabni mediji, e -pošta, celo dostop do ciljnega računalnika. Kdo je ustvaril sistem? ČLOVEK. Narediti napad na socialni inženiring je enostavno, verjemite mi, res je enostavno. Noben sistem ni varen. Ljudje smo najboljši vir in končna točka varnostnih ranljivosti doslej.
V zadnjem članku sem predstavil ciljanje na Google Račun, Kali Linux: Priročnik za družbeni inženiring , to je za vas še ena lekcija.
Ali za napad družbenega inženiringa potrebujemo določen OS za testiranje penetracije? Pravzaprav ne, Social Engineering Attack je prilagodljiv, orodja, kot je Kali Linux, so samo orodja. Glavna točka napada socialnega inženiringa je oblikovanje toka napada.
V zadnjem članku o napadu na socialni inženiring smo se naučili napada socialnega inženiringa z uporabo TRUST -a. In v tem članku bomo izvedeli o POZORNOSTI. To lekcijo sem dobil od kralja tatov Apollo Robbins . Njegovo ozadje je spretni čarovnik, ulični čarovnik. Njegovo oddajo ste lahko videli na YouTubu. Nekoč je v pogovoru TED razložil, kako ukrasti stvari. Njegova sposobnost je predvsem igranje s žrtevino pozornostjo, da brez lastnega priznanja žepno pobere svoje stvari, na primer ure, denarnico, denar, kartico, kar koli v žrtvenem žepu. Pokazal vam bom, kako z napadom socialnega inženiringa vdreti v račun nekoga z uporabo zaupanja in pozornosti. Pri POZORU je ključno, da se hitro pogovarjate in postavljate vprašanja. Vi ste pilot pogovora.
Scenarij napada družbenega inženiringa
Ta scenarij vključuje dva igralca, John kot napadalec in Bima kot žrtev. John bo postavil Bima za tarčo. Cilj družbe Social Engineering Attack je pridobiti dostop do Facebook računa žrtve. Tok napada bo uporabil drugačen pristop in metodo. John in Bima sta prijatelja, pogosto se srečata v menzi med kosilom med počitkom v svoji pisarni. John in Bima delata v različnih oddelkih, edino priložnost, da se srečata, je, ko malicata v menzi. Pogosto se srečujeta in se pogovarjata, do zdaj sta partnerja.
Nekega dne je John bad guy trdno odločen, da bo z igro POZOR, ki sem jo omenil prej, vadil napad socialnega inženiringa, navdihnil pa ga je kralj tatov Apollo Robbins. V eni izmed svojih predstavitev je Robbins dejal, da imamo dve očesi, vendar se naši možgani lahko osredotočijo le na eno stvar. Lahko opravljamo več nalog hkrati, vendar ne opravljamo različnih nalog hkrati, namesto tega hitro preusmerimo pozornost na vsako nalogo.
Na začetku dneva, v ponedeljek, v pisarni, kot je običajno, je John v svoji sobi in sedi za svojo mizo. Načrtuje strategijo vdora prijateljevega facebook računa. Pred kosilom bi moral biti pripravljen. Med sedenjem za mizo razmišlja in se sprašuje.
Nato vzame list papirja, se usede na stol, obrnjen proti računalniku. Obiskuje spletno stran Facebook, da bi našel način za vdor v račun nekoga.
1. KORAK: NAJDITE ZAČETNA OKNA, znana tudi kot luknja
Na zaslonu za prijavo opazi povezavo z imenom pozabljen račun, tukaj bo John izkoristil prednosti pozabljen račun ( obnovitev gesla). Facebook je že odprl naše začetno okno na naslovu: https://www.facebook.com/login/identify?ctx=recover.
Stran bi morala izgledati tako:
Na področju Poiščite svoj račun v razdelku je stavek, ki pravi: Prosimo, vnesite svoj e -poštni naslov ali telefonsko številko, da poiščete svoj račun . Od tu dobimo še en niz oken: e -poštni naslov se nanaša na E -poštni račun in telefonska številka se nanaša na Mobile Telefon . Torej, John ima hipotezo, da bo imel, če je imel žrtev e -poštni račun ali mobilni telefon, dostop do žrtvinega računa Facebook.
2. KORAK: IZPOLNITE OBRAZEC ZA IDENTIFIKACIJO RAČUNA
V redu, od tu naprej John začne globoko razmišljati. Ne ve, kateri je Bimin e-poštni naslov, vendar je telefonsko številko Bima shranil v svoj mobilni telefon. Nato zgrabi telefon in poišče Bimino telefonsko številko. In tam gre, našel ga je. V to polje začne tipkati Bimino telefonsko številko. Nato pritisne gumb za iskanje. Slika bi morala izgledati tako:
Dobil ga je, ugotovil je, da je Bimina telefonska številka povezana z njegovim računom Facebook. Od tu samo drži in ne pritiska Nadaljuj gumb. Za zdaj je le poskrbel, da je ta telefonska številka povezana z žrtev Facebookovim računom, zato se to približuje njegovi hipotezi.
John je dejansko naredil izvidovanje ali zbiranje informacij o žrtvi. Od tu ima John dovolj informacij in je pripravljen na izvedbo. Ampak, John se bo srečal z Bimo v menzi, John ne more prinesti računalnika, kajne? Ni problema, ima priročno rešitev, to je njegov lasten mobilni telefon. Torej, preden sreča Bimo, ponovi KORAK 1 in 2 v brskalniku Chrome v svojem mobilnem telefonu Android. Izgledalo bi takole:
3. KORAK: SREČAJTE SE Z ŽRTVO
V redu, zdaj je vse nastavljeno in pripravljeno. John mora le vzeti Bimin telefon in klikniti Nadaljuj gumb na svojem telefonu, preberite sporočilo v mapi »Prejeto« SMS, ki ga je poslal Facebook (koda za ponastavitev) na Biminem telefonu, si ga zapomnite in hitro izbrišite sporočilo v določenem času.
Ta načrt se mu vtakne v glavo, medtem ko zdaj hodi v menzo. John je dal telefon v žep. Vstopil je v prostor menze in iskal Bima. Obrnil je glavo levo proti desni in ugotovil, kje za vraga je Bima. Kot ponavadi je na vogalnem sedežu in zamahne roki Janezu, pripravljen je bil na obrok.
Takoj popoldne John vzame majhen obrok in se približa mizi z Bimo. Pozdravi Bima, nato pa skupaj pojesta. Med jedjo se John ozre naokoli in opazi, da je Bimin telefon na mizi.
Ko končajo kosilo, se dan pogovarjata drug o drugem. Kot ponavadi, dokler Janez na neki točki ne odpre nove teme o telefonih. John mu pove, da John potrebuje nov telefon in John potrebuje njegov nasvet, kateri telefon je primeren za Johna. Potem je vprašal za Bimin telefon, vprašal je vse, model, specifikacije, vse. In potem ga John prosi, naj preizkusi njegov telefon, John se obnaša, kot da je res stranka, ki išče telefon. Johnova leva roka z njegovim dovoljenjem prime telefon, desna pa pod mizo in se pripravlja na odpiranje svojega telefona. John svojo pozornost usmeri na levo roko, svoj telefon, John je toliko govoril o svojem telefonu, njegovi teži, hitrosti itd.
Zdaj John začne napad tako, da izklopi glasnost melodije zvonjenja Biminega telefona na nič, da mu prepreči prepoznavanje, če pride novo obvestilo. Nadaljuj gumb. Takoj, ko je John pritisnil gumb, pride sporočilo.
Ding .. Brez zvokov. Bima ni prepoznal dohodnega sporočila, ker je monitor obrnjen proti Johnu. Janez takoj odpre sporočilo, ga prebere in se spomni 6 -mestni pin v sporočilu SMS in ga nato kmalu izbriše. Zdaj je končal z Biminim telefonom, John mu vrne Bimin telefon, medtem ko Johnova desna roka vzame svoj telefon in takoj začne tipkati 6 -mestni pin se je samo spomnil.
Nato Janez pritisne Nadaljuj. Odpre se nova stran, ki jo vpraša, ali želi ustvariti novo geslo ali ne.
Janez ne bo spremenil gesla, ker ni zloben. Zdaj pa ima Bimin facebook račun. In s svojim poslanstvom je uspel.
Kot lahko vidite, se zdi scenarij tako preprost, ampak hej, kako enostavno bi lahko vzeli in izposodili telefon prijateljev? Če se s hipotezo povežete tako, da imate telefon prijateljev, lahko dobite vse, kar želite, slabo.