Kali Linux: Εργαλειοθήκη κοινωνικής μηχανικής

Kali Linux Social Engineering Toolkit



Οι άνθρωποι είναι ο καλύτερος πόρος και το τελικό σημείο ευπάθειας ασφαλείας που υπήρξε ποτέ. Η Κοινωνική Μηχανική είναι ένα είδος επίθεσης που στοχεύει στην ανθρώπινη συμπεριφορά χειραγωγώντας και παίζοντας με την εμπιστοσύνη τους, με στόχο την απόκτηση εμπιστευτικών πληροφοριών, όπως τραπεζικούς λογαριασμούς, κοινωνικά μέσα, email, ακόμη και πρόσβαση σε υπολογιστή -στόχο. Κανένα σύστημα δεν είναι ασφαλές, επειδή το σύστημα είναι κατασκευασμένο από ανθρώπους. Το πιο συνηθισμένο διάνυσμα επίθεσης που χρησιμοποιεί επιθέσεις κοινωνικής μηχανικής διαδίδεται μέσω ηλεκτρονικού ταχυδρομείου μέσω ανεπιθύμητης αλληλογραφίας. Στοχεύουν σε ένα θύμα που έχει έναν οικονομικό λογαριασμό, όπως τραπεζικές ή πιστωτικές κάρτες.

Οι επιθέσεις κοινωνικής μηχανικής δεν εισβάλλουν άμεσα σε ένα σύστημα, αλλά χρησιμοποιούν ανθρώπινη κοινωνική αλληλεπίδραση και ο εισβολέας ασχολείται απευθείας με το θύμα.





Θυμάσαι Κέβιν Μίτνικ ; Ο θρύλος της Κοινωνικής Μηχανικής της παλιάς εποχής. Στις περισσότερες από τις μεθόδους επίθεσής του, συνήθιζε να ξεγελά τα θύματα για να πιστέψουν ότι έχει την εξουσία του συστήματος. Mightσως έχετε δει το βίντεο επίδειξης του Social Engineering Attack στο YouTube. Κοίτα αυτό!



Σε αυτήν την ανάρτηση θα σας δείξω το απλό σενάριο για το πώς να εφαρμόσετε την Social Engineering Attack στην καθημερινή ζωή. Είναι τόσο εύκολο, απλώς ακολουθήστε προσεκτικά το σεμινάριο. Θα εξηγήσω το σενάριο με σαφήνεια.



Social Engineering Attack για να αποκτήσετε πρόσβαση μέσω email

Στόχος : Απόκτηση πληροφοριών λογαριασμού διαπιστευτηρίων ηλεκτρονικού ταχυδρομείου



Επιτεθείς : ΕΓΩ

Στόχος : Ο φίλος μου. (Αλήθεια; ναι)



Συσκευή : Υπολογιστής ή φορητός υπολογιστής που εκτελεί Kali Linux. Και το κινητό μου!

περιβάλλον : Γραφείο (στην εργασία)

Εργαλείο : Εργαλειοθήκη κοινωνικής μηχανικής (SET)

Έτσι, με βάση το παραπάνω σενάριο, μπορείτε να φανταστείτε ότι δεν χρειαζόμαστε καν τη συσκευή του θύματος, χρησιμοποίησα το φορητό υπολογιστή και το τηλέφωνό μου. Χρειάζομαι μόνο το κεφάλι και την εμπιστοσύνη του, και την ηλιθιότητα επίσης! Γιατί, ξέρετε, η ανθρώπινη βλακεία δεν μπορεί να διορθωθεί, σοβαρά!

Σε αυτήν την περίπτωση, θα δημιουργήσουμε πρώτα τη σελίδα σύνδεσης του λογαριασμού Gmail phishing στο Kali Linux μου και θα χρησιμοποιήσουμε το τηλέφωνό μου ως συσκευή ενεργοποίησης. Γιατί χρησιμοποίησα το τηλέφωνό μου; Θα εξηγήσω παρακάτω, αργότερα.

Ευτυχώς δεν πρόκειται να εγκαταστήσουμε κανένα εργαλείο, το μηχάνημά μας Kali Linux έχει προεγκατεστημένο το SET (Social Engineering Toolkit), αυτό είναι το μόνο που χρειαζόμαστε. Ω ναι, αν δεν γνωρίζετε τι είναι το SET, θα σας δώσω το υπόβαθρο σε αυτήν την εργαλειοθήκη.

Το Social Engineering Toolkit, έχει σχεδιαστεί για να εκτελεί δοκιμή διείσδυσης από την πλευρά του ανθρώπου. SET ( σε σύντομο χρονικό διάστημα ) έχει αναπτυχθεί από τον ιδρυτή του TrustedSec ( https://www.trustedsec.com/social-engineer-toolkit-set/ ) , το οποίο είναι γραμμένο σε Python και είναι ανοιχτού κώδικα.

Εντάξει, αυτό ήταν αρκετό, ας κάνουμε την πρακτική. Πριν πραγματοποιήσουμε την επίθεση κοινωνικής μηχανικής, πρέπει πρώτα να δημιουργήσουμε τη σελίδα phising μας. Εδώ, κάθομαι στο γραφείο μου, ο υπολογιστής μου (τρέχει το Kali Linux) είναι συνδεδεμένος στο διαδίκτυο με το ίδιο δίκτυο Wi-Fi με το κινητό μου τηλέφωνο (χρησιμοποιώ το android).

ΒΗΜΑ 1. ΡΥΘΜΙΣΗ ΣΕΛΙΔΑ ISΗΓΙΩΝ

Το Setoolkit χρησιμοποιεί διεπαφή γραμμής εντολών, οπότε μην περιμένετε πράγματα με «κλικ-κλικ». Ανοίξτε το τερματικό και πληκτρολογήστε:

~# setoolkit

Θα δείτε τη σελίδα καλωσορίσματος στο επάνω μέρος και τις επιλογές επίθεσης στο κάτω μέρος, θα πρέπει να δείτε κάτι τέτοιο.

Ναι, φυσικά, θα παίξουμε Επιθέσεις Κοινωνικής Μηχανικής , οπότε επιλέξτε αριθμό 1 και πατήστε ENTER.

Στη συνέχεια, θα εμφανιστούν οι επόμενες επιλογές και θα επιλέξετε αριθμό 2. Διανύσματα Επίθεσης Ιστοσελίδων. Κτύπημα ΕΙΣΑΓΩ.

Στη συνέχεια, επιλέγουμε τον αριθμό 3. Credential Harvester Attack Method Το Κτύπημα Εισαγω.

Περαιτέρω επιλογές είναι πιο στενές, το SET έχει προδιαμορφώσει τη σελίδα phising δημοφιλών ιστότοπων, όπως το Google, το Yahoo, το Twitter και το Facebook. Τώρα επιλέξτε αριθμό 1. Πρότυπα Ιστού Το

Επειδή, ο υπολογιστής μου Kali Linux και το κινητό μου τηλέφωνο ήταν στο ίδιο δίκτυο Wi-Fi, οπότε απλώς εισάγετε τον εισβολέα ( τον Η / Υ μου ) τοπική διεύθυνση IP. Και χτύπησε ΕΙΣΑΓΩ.

ΥΓ: Για να ελέγξετε τη διεύθυνση IP της συσκευής σας, πληκτρολογήστε: ‘ifconfig’

Εντάξει μέχρι τώρα, έχουμε ορίσει τη μέθοδό μας και τη διεύθυνση IP του ακροατή. Σε αυτές τις επιλογές παρατίθενται προκαθορισμένα πρότυπα phishing ιστού όπως προανέφερα. Επειδή στοχεύσαμε τη σελίδα λογαριασμού Google, έτσι επιλέγουμε αριθμό 2. Google Το Κτύπημα ΕΙΣΑΓΩ Το

ο

Τώρα, το SET ξεκινά τον Kali Linux Webserver μου στη θύρα 80, με την πλαστή σελίδα σύνδεσης λογαριασμού Google. Η ρύθμιση μας ολοκληρώθηκε. Τώρα είμαι έτοιμος να μπω στο δωμάτιο των φίλων μου για να συνδεθώ σε αυτήν τη σελίδα phishing χρησιμοποιώντας το κινητό μου τηλέφωνο.

ΒΗΜΑ 2. ΚΥΝΗΓΙΚΑ ΘΥΜΑΤΑ

Ο λόγος για τον οποίο χρησιμοποιώ κινητό τηλέφωνο (android); Ας δούμε πώς εμφανίζεται η σελίδα στο ενσωματωμένο πρόγραμμα περιήγησης Android. Έτσι, έχω πρόσβαση στον διακομιστή ιστού Kali Linux μου 192.168.43.99 στο πρόγραμμα περιήγησης. Και εδώ είναι η σελίδα:

Βλέπω? Φαίνεται τόσο αληθινό, δεν εμφανίζονται προβλήματα ασφαλείας σε αυτό. Η γραμμή URL που εμφανίζει τον τίτλο αντί του ίδιου του URL. Γνωρίζουμε ότι οι ηλίθιοι θα το αναγνωρίσουν ως την αρχική σελίδα Google.

Φέρνω λοιπόν το κινητό μου τηλέφωνο, μπαίνω στον φίλο μου και του μιλάω σαν να μην έχω συνδεθεί στο Google και να ενεργήσω αν αναρωτιέμαι αν η Google κατέρρευσε ή έκανε λάθος. Δίνω το τηλέφωνό μου και του ζητώ να προσπαθήσει να συνδεθεί χρησιμοποιώντας τον λογαριασμό του. Δεν πιστεύει στα λόγια μου και αρχίζει αμέσως να πληκτρολογεί τα στοιχεία του λογαριασμού του σαν να μην συμβαίνει τίποτα άσχημα εδώ. Χαχα.

Πληκτρολόγησε ήδη όλες τις απαιτούμενες φόρμες και μου επέτρεψε να κάνω κλικ στο Συνδεθείτε κουμπί. Κάνω κλικ στο κουμπί ... Τώρα φορτώνεται ... Και μετά πήραμε την κύρια σελίδα της μηχανής αναζήτησης Google όπως αυτή.

ΥΓ: Μόλις το θύμα κάνει κλικ στο Συνδεθείτε κουμπί, θα στείλει τις πληροφορίες ελέγχου ταυτότητας στο μηχάνημα ακρόασης και θα καταγραφεί.

Τίποτα δεν συμβαίνει, του λέω Συνδεθείτε το κουμπί είναι ακόμα εκεί, αλλά δεν καταφέρατε να συνδεθείτε. Και μετά ανοίγω ξανά τη σελίδα phising, ενώ ένας άλλος φίλος αυτού του ηλίθιου έρχεται σε εμάς. Μπα, έχουμε άλλο θύμα.

Μέχρι να κόψω την ομιλία, μετά επιστρέφω στο γραφείο μου και ελέγχω το αρχείο καταγραφής του SET μου. Και εδώ φτάσαμε,

Goccha… σε χαζεύω !!!

Συμπερασματικά

Δεν είμαι καλός στην αφήγηση ( αυτό είναι το νόημα ), για να συνοψίσουμε την επίθεση μέχρι στιγμής τα βήματα είναι:

  • Ανοιξε 'setoolkit'
  • Επιλέγω 1) Επιθέσεις Κοινωνικής Μηχανικής
  • Επιλέγω 2) Διανύσματα επίθεσης ιστοτόπου
  • Επιλέγω 3) Credential Harvester Attack Method
  • Επιλέγω 1) Πρότυπα Ιστού
  • Εισαγάγετε το διεύθυνση IP
  • Επιλέγω Google
  • Καλό κυνήγι ^_ ^
Αλλα

Κατηγορία

Δημοφιλείς Αναρτήσεις

Πώς να εγκαταστήσετε τα επίσημα προγράμματα οδήγησης GPU NVIDIA στο Proxmox VE 8

Χρήση εύρους ζώνης και χρεώσεις AWS EC2 Elastic IP

Πώς να προγραμματίσετε μια συνάντηση στο Microsoft Teams

Πώς να εγκαταστήσετε το Synaptic στο Raspberry Pi

Πώς λειτουργεί το Logical Volume Manager (LVM) στο Linux

Πώς να συγχρονίσετε με ένα απομακρυσμένο αποθετήριο Git;

Τι είναι η ετικέτα επιλογής σε HTML;

Εγκαταστήστε το SmartGit Git Client σε Ubuntu, Linux Mint, CentOS, Fedora, RHEL

Πώς να χρησιμοποιήσετε τα σημεία διακοπής και τα ερωτήματα πολυμέσων με την ιδιότητα θέσης στο Tailwind;

Πώς να χρησιμοποιήσετε τη συνάρτηση vprintf() στην PHP;

Μέθοδος JavaScript Promise.race().

Structure Binding σε C++

Πώς να δημιουργήσετε μια αριθμημένη λίστα στο LaTeX

Ποια είναι η συχνότητα εργασίας του Arduino UNO

Πώς μπορείτε να αναιρέσετε μια συγχώνευση git;

Πώς να δημιουργήσετε προσαρμοστικές εικόνες με το CSS Flexbox

Τι είναι το Sketch Heads in Discord;

Salesforce Apex – Όρια Κυβερνήτη

SciPy Imshow

Πώς να εγκαταστήσετε το Docker Compose στο Raspberry Pi