Kali Linux

Kali Linux Инструментариум за социално инженерство

Kali Linux Инструментариум за социално инженерство

Хората са най-добрият ресурс и крайна точка на уязвимости в сигурността някога. Социалното инженерство е вид атака, насочена към човешкото поведение чрез манипулиране и игра с тяхното доверие, с цел получаване на поверителна информация, като банкова сметка, социални медии, имейл, дори достъп до целевия компютър.  Нито една система не е безопасна, защото системата е създадена от хора.Най-често срещаният вектор на атака, използващ атаки от социалното инженерство, е разпространението на фишинг чрез спам по имейл. Те са насочени към жертва, която има финансова сметка като информация за банки или кредитни карти.

Атаките за социално инженерство не проникват директно в системата, вместо това тя използва човешко социално взаимодействие и нападателят се занимава директно с жертвата.

Помниш ли Кевин Митник? Легендата за социалното инженерство от старата епоха. В повечето от методите си за атака той използва, за да подмами жертвите да повярват, че той държи авторитета на системата. Може да сте виждали демонстрационния му видеоклип на Social Engineering Attack в YouTube. Погледни го!

В тази публикация ще ви покажа простия сценарий за това как да приложите атаката на социалното инженерство в ежедневието. Толкова е лесно, просто следвайте внимателно урока. Ще обясня ясно сценария.

Атака за социално инженерство, за да получите достъп до имейл

Цел: Получаване на информация за акаунта с идентификационни данни за имейл

Нападател: Аз

Мишена: Моят приятел. (Наистина ли? да)

Устройство: Компютър или лаптоп с Kali Linux. И мобилния ми телефон!

Околен свят: Офис (на работа)

Инструмент: Инструментариум за социално инженерство (SET)

И така, въз основа на горния сценарий можете да си представите, че дори не се нуждаем от устройството на жертвата, използвах лаптопа и телефона си. Трябва ми само главата и доверието му и глупостта също! Защото знаете ли, човешката глупост не може да бъде поправена, сериозно!

В този случай първо ще настроим фишинг страницата за вход в акаунта в Gmail в моя Kali Linux и ще използваме телефона си за устройство за задействане. Защо използвах телефона си? Ще обясня по-долу, по-късно.

За щастие няма да инсталираме никакви инструменти, нашата машина Kali Linux има предварително инсталиран SET (Инструментариум за социално инженерство), това е всичко, от което се нуждаем. О, да, ако не знаете какво е SET, ще ви дам предистория на този инструментариум.

Инструментариумът за социално инженерство е дизайн за извършване на тест за проникване от човешка страна. КОМПЛЕКТ (скоро) е разработен от основателя на TrustedSec (https: // www.trustedsec.com / social-engineer-toolkit-set /), който е написан на Python и е с отворен код.

Добре, това беше достатъчно, нека направим практиката. Преди да извършим атаката за социално инженерство, първо трябва да настроим нашата страница за фишинг. Тук седя на бюрото си, компютърът ми (работещ с Kali Linux) е свързан към интернет същата Wi-Fi мрежа като моя мобилен телефон (използвам android).

ЕТАП 1. НАСТРОЙВАТЕ СТРАНИЦА ЗА ФИЗИНГ

Setoolkit използва интерфейс на командния ред, така че не очаквайте „щракане-щракане“ на нещата тук. Отворете терминала и напишете:

~ # setoolkit

Ще видите страницата за приветствие отгоре и опциите за атака отдолу, трябва да видите нещо подобно.

Да, разбира се, ще се представим Социално инженерство атаки, така че изберете номер 1 и натиснете ENTER.

И тогава ще ви бъдат показани следващите опции и изберете номер 2. Вектори за атака на уебсайтове. Хит ENTER.

След това избираме номер 3. Метод за атака на комбайн с удостоверения. Хит Въведете.

Допълнителните опции са по-тесни, SET има предварително форматирана физинг страница на популярни уебсайтове, като Google, Yahoo, Twitter и Facebook. Сега изберете номер 1. Уеб шаблони.

Защото компютърът ми Kali Linux и мобилният ми телефон бяха в една и съща Wi-Fi мрежа, така че просто въведете нападателя (моя компютър) локален IP адрес. И удари ENTER.

PS: За да проверите IP адреса на вашето устройство, въведете: 'ifconfig'

Добре досега сме задали нашия метод и IP адреса на слушателя. В тези опции са изброени предварително дефинирани шаблони за уеб фишинг, както споменах по-горе. Тъй като насочихме страницата на акаунта в Google, затова избираме номер 2. Google. Хит ENTER.

на

Сега SET стартира моя уеб сървър Kali Linux на порт 80, с фалшива страница за вход в акаунт в Google. Нашата настройка приключи. Сега съм готов да вляза в стаята на приятелите си, за да вляза в тази фишинг страница с помощта на мобилния си телефон.

СТЪПКА 2. ЛОВНИ ЖЕРТВИ

Причината, поради която използвам мобилен телефон (android)? Нека видим как страницата се показва във вградения ми браузър за Android. И така, имам достъп до моя уеб сървър Kali Linux на 192.168.43.99 в браузъра. И ето страницата:

Вижте? Изглежда толкова реално, че на него няма показани проблеми със сигурността. Лентата за URL адреси, показваща заглавието вместо самия URL адрес. Знаем, че глупавият ще разпознае това като оригиналната страница на Google.

И така, донасям мобилния си телефон и влизам в приятеля си и говоря с него, сякаш не съм успял да вляза в Google и действам, ако се чудя дали Google е сринал или е сгрешил. Давам телефона си и го моля да се опита да влезе с акаунта си. Той не вярва на думите ми и веднага започва да въвежда информация в акаунта си, сякаш тук нищо няма да се случи лошо. Хаха.

Той вече набра всички необходими формуляри и ми позволи да щракна върху Впиши се бутон. Щраквам върху бутона ... Сега се зарежда ... И тогава получихме основната страница на търсачката на Google като тази.

PS: След като жертвата щракне върху Впиши се бутон, той ще изпрати информацията за удостоверяване на нашата машина за слушане и тя се регистрира.

Нищо не се случва, казвам му аз Впиши се бутон все още е там, но не успяхте да влезете. И тогава отварям отново страницата за фишинг, докато друг приятел на този глупав идва при нас. Не, имаме още една жертва.

Докато не прекъсна беседата, се връщам на бюрото си и проверявам дневника на моя SET. И тук стигнахме,

Goccha ... аз те задържам!!!

В заключение

Не съм добър в разказването на истории (това е смисълът), за да обобщим досега атаката, стъпките са:

Игри Най-добрите игри за команден ред за Linux
Най-добрите игри за команден ред за Linux
Командният ред не е само най-големият ви съюзник при използване на Linux - той може да бъде и източник на забавление, защото можете да го използвате, ...
Игри Най-добрите приложения за картографиране на геймпад за Linux
Най-добрите приложения за картографиране на геймпад за Linux
Ако искате да играете игри на Linux с геймпад вместо типична система за въвеждане на клавиатура и мишка, има някои полезни приложения за вас. Много ко...
Игри Полезни инструменти за геймърите на Linux
Полезни инструменти за геймърите на Linux
Ако искате да играете игри на Linux, има вероятност да сте използвали приложения и помощни програми като Wine, Lutris и OBS Studio, за да подобрите иг...