Људи су најбољи ресурс и крајња тачка безбедносних пропуста икада. Друштвени инжењеринг је врста напада усмјереног на људско понашање манипулирајући и играјући се с њиховим повјерењем, с циљем добијања повјерљивих информација, попут банковног рачуна, друштвених медија, е -поште, чак и приступа циљном рачунару. Ниједан систем није сигуран, јер систем праве људи. Најчешћи вектор напада који користи нападе друштвеног инжењеринга је ширење крађе идентитета путем нежељене е -поште. Циљају жртву која има финансијски рачун, попут података о банковном рачуну или кредитној картици.
Напади друштвеног инжењеринга не продиру директно у систем, већ користе људску друштвену интеракцију, а нападач се директно обрачунава са жртвом.
Да ли се сећаш Кевин Митницк ? Легенда друштвеног инжењеринга старе ере. У већини својих метода напада, обмањивао је жртве да верују да он има ауторитет система. Можда сте на ИоуТубе -у видели његов демо видео снимак Аттацк оф Социал Енгинееринг Аттацк. Погледај!
У овом посту показаћу вам једноставан сценарио како применити напад друштвеног инжењеринга у свакодневни живот. То је тако једноставно, само пажљиво пратите упутство. Јасно ћу објаснити сценарио.
Напад друштвеног инжењеринга ради приступа е -пошти
Гоал : Добијање података о налогу за акредитив е -поште
Нападач : И
Таргет : Мој пријатељ. (Заиста? Да)
Уређај : Рачунар или лаптоп са Кали Линук -ом. И мој мобилни телефон!
Животна средина : Канцеларија (на послу)
Оруђе : Приручник за друштвено инжењеринг (СЕТ)
Дакле, на основу горе наведеног сценарија можете замислити да нам чак и није потребан уређај жртве, користио сам лаптоп и телефон. Треба ми само његова глава и поверење, а и глупост! Јер, знате, људска глупост се не може закрпати, озбиљно!
У овом случају прво ћемо поставити страницу за пријављивање на „пхисхинг Гмаил налог“ у мом Кали Линук -у и користити мој телефон као уређај за покретање. Зашто сам користио телефон? Објаснићу доле, касније.
На срећу нећемо инсталирати никакве алате, наша Кали Линук машина има унапред инсталиран СЕТ (Социал Енгинееринг Тоолкит), то је све што нам треба. О да, ако не знате шта је СЕТ, даћу вам позадину овог комплета алата.
Алат за друштвено инжењерство, дизајниран је за извођење теста пенетрације са људске стране. КОМПЛЕТ ( ускоро ) је развио оснивач ТрустедСец -а ( хттпс://ввв.трустедсец.цом/социал-енгинеер-тоолкит-сет/ ) , који је написан на Питхону, и отворен је извор.
У реду, било је довољно да вежбамо. Пре него што изведемо напад друштвеног инжењеринга, морамо прво да поставимо нашу пхисхинг страницу. Ево, седим за столом, мој рачунар (са Кали Линук-ом) је повезан на интернет истом Ви-Фи мрежом као и мој мобилни телефон (користим андроид).
КОРАК 1. ПОСТАВИТЕ ПХИСИНГ СТРАНИЦУ
Сетоолкит користи интерфејс командне линије, па не очекујте овде ствари које се могу кликнути. Отворите терминал и откуцајте:
~# сетоолкитВидећете страницу добродошлице при врху, а опције напада при дну, требало би да видите овако нешто.
Да, наравно да ћемо наступити Напади друштвеног инжењеринга , па одаберите број 1 и притисните ЕНТЕР.
Тада ће вам се приказати следеће опције и изабрати број 2. Вектори напада на веб локацију. Хит ЕНТЕР.
Затим бирамо број 3. Метода напада сакупљача акредитива . Хит Ентер.
Друге опције су уже, СЕТ има унапред форматирану пхисхинг страницу популарних веб локација, као што су Гоогле, Иахоо, Твиттер и Фацебоок. Сада одаберите број 1. Веб предлошци .
Јер, мој Кали Линук рачунар и мој мобилни телефон били су у истој Ви-Фи мрежи, па само унесите нападача ( мој ПЦ ) локална ИП адреса. И погодио ЕНТЕР.
ПС: Да бисте проверили ИП адресу уређаја, откуцајте: „ифцонфиг“
У реду, до сада смо поставили наш метод и ИП адресу слушаоца. У овој опцији су наведени унапред дефинисани предлошци веб пхисхинга као што сам горе поменуо. Зато што смо циљали страницу Гоогле налога, па бирамо број 2. Гоогле . Хит ЕНТЕР .
тхеСада, СЕТ покреће мој Кали Линук веб сервер на порту 80, са лажном страницом за пријављивање на Гоогле налог. Наше подешавање је завршено. Сада сам спреман да уђем у собу својих пријатеља да се пријавим на ову пхисхинг страницу користећи свој мобилни телефон.
КОРАК 2. ЛОВАЊЕ ЖРТВА
Разлог зашто користим мобилни телефон (андроид)? Да видимо како се страница приказује у мом уграђеном андроид прегледачу. Дакле, приступам свом веб серверу Кали Линук на 192.168.43.99 у прегледачу. А ево и странице:
Видите? Изгледа тако стварно, на њему нема безбедносних проблема. УРЛ трака која приказује наслов уместо саме УРЛ адресе. Знамо да ће глупи ово препознати као оригиналну Гоогле страницу.
Дакле, понесем свој мобилни телефон, уђем код пријатеља и разговарам с њим као да се нисам пријавио на Гоогле и поступио ако се питам да ли се Гоогле срушио или погрешио. Дајем свој телефон и молим га да покуша да се пријави користећи свој налог. Не верује мојим речима и одмах почиње да уписује податке о свом налогу као да се овде ништа лоше неће догодити. Хаха.
Он је већ откуцао све потребне обрасце и пустио ме да кликнем на Пријавите се дугме. Кликнем на дугме ... Сада се учитава ... А онда смо добили главну страницу Гоогле претраживача попут ове.
ПС: Када жртва кликне на Пријавите се дугме, послаће податке за потврду идентитета на наш слушатељски уређај и биће забележено.
Ништа се не дешава, кажем му, Пријавите се дугме још увек постоји, али нисте успели да се пријавите. И онда поново отварам пхисхинг страницу, док нам долази још један пријатељ ове глупости. Не, имамо још једну жртву.
Док не прекинем разговор, враћам се за свој сто и проверавам дневник свог СЕТ -а. И ево нас,
Гоццха ... пвнд вас !!!
У закључку
Нисам добар у причању прича ( то је поента ), да сумирамо досадашњи напад, кораци су:
- Отвори 'сетоолкит'
- Одаберите 1) Напади друштвеног инжењеринга
- Одаберите 2) Вектори напада на веб локацију
- Одаберите 3) Метода напада сакупљача акредитива
- Одаберите 1) Веб предлошци
- Унесите ИП адреса
- Одаберите Гоогле
- Срећан лов ^_ ^