Ljudje smo najboljši vir in končna točka varnostnih ranljivosti doslej. Socialni inženiring je vrsta napada, ki cilja na človeško vedenje z manipulacijo in igranjem z njihovim zaupanjem, z namenom pridobivanja zaupnih informacij, kot so bančni račun, družabni mediji, e -pošta, celo dostop do ciljnega računalnika. Noben sistem ni varen, ker sistem izdelujejo ljudje. Najpogostejši vektor napadov z napadi družbenega inženiringa je širjenje lažnega predstavljanja prek neželene elektronske pošte. Ciljajo na žrtev, ki ima finančni račun, na primer podatke o bančništvu ali kreditni kartici.
Napadi socialnega inženiringa ne vdrejo neposredno v sistem, temveč uporabljajo človeško družbeno interakcijo in napadalec se neposredno ukvarja z žrtvo.
Ali se spomniš Kevin Mitnick ? Legenda socialnega inženiringa stare dobe. Pri večini svojih napadnih metod je žrtve prevaral, da so prepričani, da ima sistemsko oblast. Morda ste na YouTubu videli njegov demo video posnetek Social Engineering Attack. Poglej to!
V tem prispevku vam bom pokazal preprost scenarij, kako uresničiti napad socialnega inženiringa v vsakdanjem življenju. To je tako enostavno, le pozorno sledite vadnici. Scenarij bom jasno razložil.
Social Engineering Attack za dostop do e -pošte
Cilj : Pridobivanje podatkov o računu poverilnice e -pošte
Napadalec : JAZ
Target : Moj prijatelj. (Res? Da)
Naprava : Računalnik ali prenosni računalnik s sistemom Kali Linux. In moj mobilni telefon!
Okolje : Pisarna (na delovnem mestu)
Orodje : Orodja za socialni inženiring (SET)
Torej, glede na zgornji scenarij si lahko predstavljate, da niti ne potrebujemo žrtvine naprave, sem uporabil prenosni računalnik in telefon. Potrebujem le njegovo glavo in zaupanje, pa tudi neumnost! Ker veste, človeške neumnosti ni mogoče popraviti, resno!
V tem primeru bomo najprej namestili stran za prijavo v račun Gmail z lažnim predstavljanjem v svojem Kali Linuxu in uporabili telefon za sprožilno napravo. Zakaj sem uporabil telefon? Spodaj bom razložil.
Na srečo ne bomo namestili nobenega orodja, naš računalnik Kali Linux ima vnaprej nameščen SET (Social Engineering Toolkit), to je vse, kar potrebujemo. Oh ja, če ne veste, kaj je SET, vam bom povedal ozadje tega orodja.
Social Engineering Toolkit je zasnovan za izvedbo testa penetracije na človeški strani. NASTAVI ( kmalu ) je razvil ustanovitelj podjetja TrustedSec ( https://www.trustedsec.com/social-engineer-toolkit-set/ ) , ki je napisana v Pythonu in je odprtokodna.
V redu, to je bilo dovolj, naredimo vajo. Preden izvedemo napad socialnega inženiringa, moramo najprej nastaviti svojo stran phishing. Tukaj sedim za mizo, moj računalnik (s Kali Linuxom) je povezan z internetom v istem omrežju Wi-Fi kot moj mobilni telefon (uporabljam android).
KORAK 1. NASTAVITE PHISING STRAN
Setoolkit uporablja vmesnik ukazne vrstice, zato ne pričakujte stvari, ki so 'klik-klik'. Odprite terminal in vnesite:
~# setoolkitNa vrhu boste videli pozdravno stran, na dnu pa možnosti napada, videti bi morali nekaj takega.
Ja, seveda bomo nastopili Napadi družbenega inženiringa , zato izberite številko 1 in pritisnite ENTER.
Nato se vam prikažejo naslednje možnosti in izberite številko 2. Vektorji napadov na spletno stran. Zadel ENTER.
Nato izberemo številko 3. Način napada zbiralec poverilnic . Zadel Vnesite.
Druge možnosti so ožje, SET ima vnaprej oblikovano phishing stran priljubljenih spletnih mest, kot so Google, Yahoo, Twitter in Facebook. Zdaj izberite številko 1. Spletne predloge .
Ker sta bila moj računalnik Kali Linux in mobilni telefon v istem omrežju Wi-Fi, zato samo vnesite napadalca ( moj računalnik ) lokalni naslov IP. In zadeti ENTER.
PS: Če želite preveriti naslov IP naprave, vnesite: 'ifconfig'
Do sedaj smo nastavili našo metodo in naslov poslušalca. V tej možnosti so naštete vnaprej določene predloge za spletno phishing, kot sem že omenil. Ker smo ciljali na stran Google Računa, zato izberemo številko 2. Google . Zadel ENTER .
theZdaj SET zažene moj spletni strežnik Kali Linux na vratih 80 s ponarejeno stranjo za prijavo v Google Račun. Naša nastavitev je končana. Zdaj sem pripravljen vstopiti v sobo prijateljev, da se z mobilnim telefonom prijavim na to stran z lažnim predstavljanjem.
KORAK 2. LOV ŽRTEV
Razlog, zakaj uporabljam mobilni telefon (android)? Poglejmo, kako je stran prikazana v mojem vgrajenem brskalniku Android. Torej, dostopam do svojega spletnega strežnika Kali Linux 192.168.43.99 v brskalniku. In tukaj je stran:
Vidiš? Izgleda tako resnično, na njem ni nobenih varnostnih težav. Vrstica URL prikazuje naslov namesto samega URL. Vemo, da bodo neumni to prepoznali kot prvotno Googlovo stran.
Torej prinesem svoj mobilni telefon in stopim k prijatelju ter se z njim pogovarjam, kot da se nisem prijavil v Google in ukrepal, če se sprašujem, ali se je Google zrušil ali se je zmotil. Dajem telefon in ga prosim, naj se poskusi prijaviti s svojim računom. Ne verjame mojim besedam in takoj začne vnašati podatke o svojem računu, kot da se tukaj ne bo nič hudega zgodilo. Haha.
Vnesel je že vse zahtevane obrazce in mi dovolil, da kliknem na Prijaviti se gumb. Kliknem gumb ... Zdaj se nalaga ... In potem smo dobili tako glavno stran Googlovega iskalnika.
PS: Ko žrtev klikne na Prijaviti se gumb, bo poslal podatke za preverjanje pristnosti na naš poslušalčev in je zabeležen.
Rečem mu, da se nič ne dogaja Prijaviti se gumb še vedno obstaja, vendar se niste uspeli prijaviti. In potem spet odpiram stran z lažnim predstavljanjem, k nam pa prihaja še en prijatelj te neumnosti. Ne, imamo še eno žrtev.
Dokler ne prekinem pogovora, se vrnem k mizi in preverim dnevnik svojega SET -a. In tu smo prišli,
Goccha ... pwnd te !!!
V zaključku
Nisem dober v pripovedovanju zgodb ( to je bistvo ), če povzamemo doslej napad, so naslednji koraki:
- Odprto 'setoolkit'
- Izberite 1) Napadi socialnega inženiringa
- Izberite 2) Vektorji napadov na spletna mesta
- Izberite 3) Metoda napada poverilnika
- Izberite 1) Spletne predloge
- Vnesite IP naslov
- Izberite Google
- Vesel lov ^_ ^