Kali Linux: conjunt d’eines per a enginyeria social

Kali Linux Social Engineering Toolkit



Els éssers humans són el millor recurs i punt final de vulnerabilitats de seguretat de la història. L’enginyeria social és un tipus d’atac dirigit al comportament humà manipulant i jugant amb la seva confiança, amb l’objectiu d’obtenir informació confidencial, com ara comptes bancaris, xarxes socials, correu electrònic i fins i tot accés a l’ordinador objectiu. Cap sistema és segur, perquè el sistema el fabriquen els humans. El vector d’atac més comú que utilitza atacs d’enginyeria social és la propagació de la pesca a través del correu brossa. Es dirigeixen a una víctima que té un compte financer, com ara informació bancària o de targeta de crèdit.

Els atacs d’enginyeria social no entren directament en un sistema, sinó que utilitzen la interacció social humana i l’atacant tracta directament amb la víctima.





Recordes Kevin Mitnick ? La llegenda de l'Enginyeria Social de l'antiga era. En la majoria dels seus mètodes d'atac, solia enganyar les víctimes perquè creguessin l'autoritat del sistema. És possible que hàgiu vist el seu vídeo de demostració Social Engineering Attack a YouTube. Mireu-ho!



En aquest post us mostraré l’escenari senzill de com implementar l’atac d’enginyeria social a la vida diària. És tan fàcil, només heu de seguir acuradament el tutorial. Explicaré l’escenari amb claredat.



Atac d’enginyeria social per accedir al correu electrònic

Objectiu : Obtenir informació del compte de credencials de correu electrònic



Atacant : Em

Objectiu : El meu amic. (De debò? Sí)



Dispositiu : Ordinador o ordinador portàtil amb Kali Linux. I el meu telèfon mòbil!

Medi ambient : Oficina (a la feina)

Eina : Conjunt d'eines d'enginyeria social (SET)

Per tant, segons l’escenari anterior, us podeu imaginar que ni tan sols necessitem el dispositiu de la víctima, he utilitzat el meu ordinador portàtil i el meu telèfon. Només necessito el seu cap i confiança, i la ximpleria també. Perquè, ja se sap, la ximpleria humana no es pot corregir de debò!

En aquest cas, primer configurarem la pàgina d'inici de sessió del compte de Gmail de pesca (suplantació d'identitat) al meu Kali Linux i utilitzarem el meu telèfon per ser un dispositiu activador. Per què he utilitzat el meu telèfon? A continuació ho explicaré més endavant.

Afortunadament, no instal·larem cap eina, la nostra màquina Kali Linux té SET preinstal·lat (Social Engineering Toolkit), això és tot el que necessitem. Ah, sí, si no sabeu què és SET, us donaré els antecedents d’aquest conjunt d’eines.

Social Engineering Toolkit, està dissenyat per realitzar proves de penetració del costat humà. CONJUNT ( en breu ) és desenvolupat pel fundador de TrustedSec ( https://www.trustedsec.com/social-engineer-toolkit-set/ ) , que està escrit en Python i és de codi obert.

Ja n’hi ha prou, fem la pràctica. Abans de realitzar l'atac d'enginyeria social, primer hem de configurar la nostra pàgina de phising. Aquí, estic assegut al meu escriptori, el meu ordinador (amb Kali Linux) està connectat a Internet amb la mateixa xarxa Wi-Fi que el meu telèfon mòbil (estic fent servir Android).

PAS 1. CONFIGURAR LA PÀGINA DE FISIFICACIÓ

Setoolkit utilitza la interfície de línia d'ordres, així que no espereu que hi hagi 'clic-clic'. Obriu el terminal i escriviu:

~ # setoolkit

Veureu la pàgina de benvinguda a la part superior i les opcions d’atac a la part inferior, hauríeu de veure alguna cosa així.

Sí, és clar, actuarem Atacs d’enginyeria social , així que trieu el número 1 i premeu ENTRAR.

A continuació, es mostraran les següents opcions i escolliu el número 2. Vectors d'atacs de llocs web. Encertat ENTRAR.

A continuació, escollim el número 3. Mètode d'atac de segadors de credencials . Encertat Entra.

Més opcions són més estretes, SET té una pàgina de phising preformatada de llocs web populars, com Google, Yahoo, Twitter i Facebook. Ara trieu el número 1. Plantilles web .

Com que el meu ordinador Kali Linux i el meu telèfon mòbil es trobaven a la mateixa xarxa Wi-Fi, només cal que introduïu l’atacant ( el meu PC ) adreça IP local. I colpejar ENTRAR.

PS: per comprovar l'adreça IP del dispositiu, escriviu: 'ifconfig'

Fins ara, hem definit el nostre mètode i l’adreça IP de l’oient. En aquestes opcions s'enumeren les plantilles de phising web predefinides tal com he esmentat anteriorment. Com que hem orientat la pàgina del compte de Google, hem escollit el número 2. Google . Encertat ENTRAR .

el

Ara, SET inicia el meu servidor web Kali Linux al port 80, amb la pàgina d’inici de sessió falsa del compte de Google. La nostra configuració està acabada. Ara estic llest per entrar a l'habitació dels meus amics per iniciar sessió en aquesta pàgina de pesca amb el meu telèfon mòbil.

PAS 2. VÀCTIMES DE CAÇA

El motiu pel qual estic fent servir el telèfon mòbil (android)? Vegeu com es mostra la pàgina al meu navegador Android integrat. Per tant, accedo al meu servidor web Kali Linux 192.168.43.99 al navegador. I aquí teniu la pàgina:

Veieu? Sembla tan real que no hi apareixen problemes de seguretat. La barra d’URL que mostra el títol en lloc de la mateixa URL. Sabem que els estúpids ho reconeixeran com la pàgina original de Google.

Per tant, porto el meu telèfon mòbil, entro al meu amic i parlo amb ell com si no hagués iniciat la sessió a Google i actués si em pregunto si Google ha fallat o s’ha errat. Dono el meu telèfon i li demano que intenti iniciar la sessió amb el seu compte. No creu les meves paraules i immediatament comença a escriure la informació del seu compte com si res no passés malament aquí. Jaja.

Ja va escriure tots els formularis necessaris i em va permetre fer clic a Inicieu la sessió botó. Faig clic al botó ... Ara s'està carregant ... I llavors tenim la pàgina principal del motor de cerca de Google així.

PD: Un cop la víctima fa clic a Inicieu la sessió , enviarà la informació d’autenticació a la nostra màquina d’escolta i es registrarà.

No passa res, li dic, el Inicieu la sessió el botó encara hi és, però no heu pogut iniciar la sessió. I després torno a obrir la pàgina de phising, mentre ve un altre amic d’aquest estúpid. No, tenim una altra víctima.

Fins que no talli la xerrada, torno al meu escriptori i comprovo el registre del meu SET. I aquí tenim,

Goccha ... et prendo !!!

En conclusió

No sóc bo en explicar històries ( aquest és el punt ), per resumir l'atac fins ara, els passos són:

  • Obert 'setoolkit'
  • Trieu 1) Atacs d'enginyeria social
  • Trieu 2) Vectors d'atacs de llocs web
  • Trieu 3) Mètode d’atac de segadors de credencials
  • Trieu 1) Plantilles web
  • Introduïu el fitxer adreça IP
  • Trieu Google
  • Feliç caça ^ _ ^
Altres

Categoria

Entrades Populars

C# 'Matriu' vs 'Llista': diferències i avantatges

Com utilitzar LSOF per supervisar ports en temps real

Com desinstal·lar les plaques de l'IDE d'Arduino

Quina és l'ordre per iniciar Zsh a macOS

Restabliu els permisos del registre i dels fitxers al Windows XP: Winhelponline

Com agafar la propietat userAgentData del navegador?

Com veure les fotos com a presentació de diapositives a Windows 10?

Com afegir la vora inferior a la fila de la taula?

Com utilitzar el REPL de Node.js per a la codificació interactiva?

Qui és el propietari de Roblox?

Què fa W Metacharacter a RegExp de JavaScript

7 solucions senzilles per a problemes amb l'adaptador sense fil o el punt d'accés al PC

Com crear una data amb una zona horària establerta sense utilitzar una representació de cadena a JavaScript

Com utilitzar el vostre iPhone com a càmera web per a Mac

Com afegir una opció per seleccionar l'etiqueta del text d'entrada mitjançant JavaScript

Què significa enviat com a SMS a través del servidor Android

Què és AWS CloudHSM als serveis de criptografia AWS?

JavaScript Equivalent a in_array() de PHP

Com interactuar amb els descriptors de fitxers a Node.js?

C++ Move Constructor