Menschen sind die beste Ressource und der beste Endpunkt von Sicherheitslücken, die es je gab. Social Engineering ist eine Art Angriff, der auf menschliches Verhalten abzielt, indem sein Vertrauen manipuliert und mit ihm gespielt wird, mit dem Ziel, vertrauliche Informationen wie Bankkonto, soziale Medien, E-Mail und sogar Zugang zum Zielcomputer zu erhalten. Kein System ist sicher, weil das System von Menschen gemacht wird. Der häufigste Angriffsvektor mit Social-Engineering-Angriffen ist die Verbreitung von Phishing durch E-Mail-Spamming. Sie zielen auf ein Opfer ab, das über ein Finanzkonto wie Bank- oder Kreditkarteninformationen verfügt.
Social-Engineering-Angriffe brechen nicht direkt in ein System ein, sondern nutzen menschliche soziale Interaktion und der Angreifer hat es direkt mit dem Opfer zu tun.
Erinnerst du dich Kevin Mitnick ? Die Social-Engineering-Legende der alten Zeit. Bei den meisten seiner Angriffsmethoden täuschte er die Opfer vor, dass er die Systemautorität besitze. Vielleicht haben Sie sein Demo-Video zu Social Engineering Attack auf YouTube gesehen. Schau es dir an!
In diesem Beitrag zeige ich Ihnen das einfache Szenario, wie Sie Social Engineering Attack im täglichen Leben implementieren können. Es ist so einfach, folgen Sie einfach dem Tutorial sorgfältig. Ich werde das Szenario klar erklären.
Social-Engineering-Angriff, um E-Mail-Zugriff zu erhalten
Ziel : Abrufen von Kontoinformationen für E-Mail-Anmeldeinformationen
Angreifer : ICH
Ziel : Mein Freund. (Wirklich Ja)
Gerät : Computer oder Laptop mit Kali Linux. Und mein Handy!
Umfeld : Büro (bei der Arbeit)
Werkzeug : Social-Engineering-Toolkit (SET)
Basierend auf dem obigen Szenario können Sie sich also vorstellen, dass wir nicht einmal das Gerät des Opfers benötigen, ich habe meinen Laptop und mein Telefon verwendet. Ich brauche nur seinen Kopf und sein Vertrauen und auch Dummheit! Denn, wissen Sie, menschliche Dummheit kann nicht geflickt werden, im Ernst!
In diesem Fall werden wir zuerst die Phishing-Gmail-Konto-Anmeldeseite in meinem Kali Linux einrichten und mein Telefon als Triggergerät verwenden. Warum habe ich mein Telefon benutzt? Ich werde es später erklären.
Zum Glück werden wir keine Tools installieren, unser Kali Linux-Rechner hat SET (Social Engineering Toolkit) vorinstalliert. Das ist alles, was wir brauchen. Oh ja, wenn Sie nicht wissen, was SET ist, gebe ich Ihnen den Hintergrund zu diesem Toolkit.
Social Engineering Toolkit ist ein Design für die Durchführung von Penetrationstests auf der menschlichen Seite. EINSTELLEN ( in Kürze ) wird vom Gründer von TrustedSec entwickelt ( https://www.trustedsec.com/social-engineer-toolkit-set/ ) , das in Python geschrieben ist und Open Source ist.
Okay, das war genug, lass uns die Übung machen. Bevor wir den Social-Engineering-Angriff durchführen, müssen wir zuerst unsere Phishing-Seite einrichten. Hier sitze ich auf meinem Schreibtisch, mein Computer (mit Kali Linux) ist mit dem Internet verbunden, das gleiche Wi-Fi-Netzwerk wie mein Handy (ich benutze Android).
SCHRITT 1. PHISING-SEITE EINRICHTEN
Setoolkit verwendet die Befehlszeilenschnittstelle, also erwarten Sie hier kein 'clicky-clicky'. Öffnen Sie das Terminal und geben Sie Folgendes ein:
~# SetoolkitSie sehen oben die Willkommensseite und unten die Angriffsoptionen. Sie sollten in etwa so aussehen.
Ja, natürlich werden wir auftreten Social-Engineering-Angriffe , also wähle Nummer 1 und drücken Sie ENTER.
Und dann werden Ihnen die nächsten Optionen angezeigt und wählen Sie die Nummer 2. Website-Angriffsvektoren. Schlag EINTRETEN.
Als nächstes wählen wir Nummer 3. Credential Harvester-Angriffsmethode . Schlag Eintreten.
Weitere Optionen sind enger, SET hat vorformatierte Phising-Seiten beliebter Websites wie Google, Yahoo, Twitter und Facebook. Jetzt Nummer wählen 1. Webvorlagen .
Da sich mein Kali Linux PC und mein Handy im selben WLAN befanden, geben Sie einfach den Angreifer ein ( mein PC ) lokale IP-Adresse. Und schlage EINTRETEN.
PS: Um die IP-Adresse Ihres Geräts zu überprüfen, geben Sie Folgendes ein: ‘ifconfig’
So weit haben wir unsere Methode und die Listener-IP-Adresse eingestellt. In diesen Optionen sind vordefinierte Web-Phishing-Vorlagen aufgeführt, wie ich oben erwähnt habe. Weil wir auf die Google-Kontoseite ausgerichtet sind, wählen wir die Nummer 2. Google . Schlag EINTRETEN .
dasJetzt startet SET meinen Kali Linux Webserver auf Port 80, mit der gefälschten Google-Konto-Anmeldeseite. Unsere Einrichtung ist fertig. Jetzt bin ich bereit, in das Zimmer meiner Freunde zu gehen, um mich mit meinem Mobiltelefon auf dieser Phishing-Seite anzumelden.
SCHRITT 2. JAGDOPFER
Der Grund, warum ich ein Handy (Android) verwende? Mal sehen, wie die Seite in meinem integrierten Android-Browser angezeigt wird. Also greife ich auf meinen Kali Linux Webserver zu 192.168.43.99 im Browser. Und hier ist die Seite:
Sehen? Es sieht so echt aus, dass keine Sicherheitsprobleme darauf angezeigt werden. Die URL-Leiste, die den Titel anstelle der URL selbst anzeigt. Wir wissen, dass die Dummen dies als die ursprüngliche Google-Seite erkennen werden.
Also bringe ich mein Handy mit, gehe in meinen Freund und spreche mit ihm, als ob ich mich nicht bei Google angemeldet hätte, und handle, wenn ich mich frage, ob Google abgestürzt oder fehlerhaft ist. Ich gebe mein Telefon und bitte ihn, sich mit seinem Konto anzumelden. Er glaubt meinen Worten nicht und fängt sofort an, seine Kontoinformationen einzugeben, als ob hier nichts Schlimmes passieren würde. Haha.
Er hat bereits alle erforderlichen Formulare getippt und lässt mich auf das klicken Einloggen Taste. Ich klicke auf die Schaltfläche… Jetzt wird es geladen… Und dann haben wir die Hauptseite der Google-Suchmaschine wie diese.
PS: Sobald das Opfer auf das klickt Einloggen Schaltfläche, werden die Authentifizierungsinformationen an unseren Listener-Rechner gesendet und protokolliert.
Nichts passiert, sage ich ihm, die Einloggen Schaltfläche ist immer noch da, Sie konnten sich jedoch nicht anmelden. Und dann öffne ich wieder die Phishing-Seite, während ein anderer Freund von diesem Dummkopf zu uns kommt. Nein, wir haben ein weiteres Opfer.
Bis ich das Gespräch beendet habe, gehe ich zurück an meinen Schreibtisch und überprüfe das Protokoll meines SETs. Und hier haben wir,
Goccha… ich wünsche dir!!!
Abschließend
Ich bin nicht gut im Geschichtenerzählen ( das ist der Punkt ), um den bisherigen Angriff zusammenzufassen, sind die Schritte:
- Offen 'setoolkit'
- Wählen 1) Social-Engineering-Angriffe
- Wählen 2) Website-Angriffsvektoren
- Wählen 3) Credential Harvester-Angriffsmethode
- Wählen 1) Webvorlagen
- Geben Sie die ein IP Adresse
- Wählen Google
- Viel Spaß beim Jagen ^_^