Ljudi su najbolji resurs i krajnja točka sigurnosnih propusta ikad. Društveni inženjering je vrsta napada usmjerenog na ljudsko ponašanje manipulirajući i igrajući se s njihovim povjerenjem, s ciljem dobivanja povjerljivih informacija, poput bankovnog računa, društvenih medija, e -pošte, čak i pristupa ciljnom računalu. Niti jedan sustav nije siguran jer sustav čine ljudi. Najčešći vektor napada pomoću napada društvenog inženjeringa je širenje krađe identiteta putem neželjene e -pošte. Ciljaju žrtvu koja ima financijski račun, poput podataka o bankarstvu ili kreditnoj kartici.
Napadi društvenog inženjeringa ne prodiru izravno u sustav, već koriste ljudsku društvenu interakciju, a napadač se izravno obračunava sa žrtvom.
Sjećaš li se Kevin Mitnick ? Legenda društvenog inženjeringa starog doba. U većini svojih metoda napada znao je navesti žrtve da vjeruju da on ima autoritet sustava. Možda ste na YouTubeu vidjeli njegov demo video zapis Social Engineering Attack. Pogledaj to!
U ovom postu pokazat ću vam jednostavan scenarij kako implementirati napad društvenog inženjeringa u svakodnevni život. To je tako jednostavno, samo pažljivo pratite uputstva. Jasno ću objasniti scenarij.
Social Engineering Attack za pristup e -pošti
Cilj : Dobivanje podataka o računu vjerodajnice e -pošte
Napadač : Ja
Cilj : Moj prijatelj. (Stvarno? Da)
Uređaj : Računalo ili prijenosno računalo s Kali Linuxom. I moj mobilni telefon!
Okoliš : Ured (na poslu)
Alat : Alati društvenog inženjeringa (SET)
Dakle, na temelju gore navedenog scenarija možete zamisliti da nam čak i ne treba uređaj žrtve, koristio sam prijenosno računalo i telefon. Trebam samo njegovu glavu i povjerenje, a i glupost! Jer, znate, ljudska glupost se ne može zakrpati, ozbiljno!
U ovom slučaju prvo ćemo postaviti stranicu za prijavu na phishing Gmail račun u mojem Kali Linuxu i koristiti moj telefon kao uređaj za pokretanje. Zašto sam koristio svoj telefon? Objasnit ću u nastavku, kasnije.
Na sreću nećemo instalirati nikakve alate, naš Kali Linux stroj ima unaprijed instaliran SET (Social Engineering Toolkit), to je sve što nam treba. O da, ako ne znate što je SET, dat ću vam pozadinu ovog alata.
Alat za društveno inženjerstvo dizajniran je za provođenje testa penetracije s ljudske strane. SET ( ukratko ) je razvio osnivač tvrtke TrustedSec ( https://www.trustedsec.com/social-engineer-toolkit-set/ ) , koji je napisan na Pythonu, i otvoren je izvor.
U redu, bilo je dovoljno, vježbajmo. Prije nego što izvedemo napad društvenog inženjeringa, moramo prvo postaviti svoju phishing stranicu. Evo, sjedim na svom stolu, moje je računalo (s Kali Linuxom) spojeno na internet na istu Wi-Fi mrežu kao i moj mobilni telefon (koristim android).
KORAK 1. POSTAVITE PHISING STRANICU
Setoolkit koristi sučelje naredbenog retka, stoga ne očekujte stvari koje se mogu kliknuti klikom. Otvorite terminal i upišite:
~# setoolkitNa vrhu ćete vidjeti stranicu dobrodošlice, a pri dnu opcije napada, trebali biste vidjeti ovako nešto.
Da, naravno, idemo nastupiti Napadi društvenog inženjeringa , pa odaberite broj 1 i pritisnite ENTER.
Tada će vam se prikazati sljedeće opcije i odabrati broj 2. Vektori napada na web stranice. Pogoditi UNESI.
Zatim biramo broj 3. Metoda napada sakupljača vjerodajnica . Pogoditi Unesi.
Daljnje opcije su uže, SET ima unaprijed formatiranu phishing stranicu popularnih web stranica, poput Googlea, Yahooa, Twittera i Facebooka. Sada odaberite broj 1. Web predlošci .
Jer, moje računalo Kali Linux i moj mobilni telefon bili su u istoj Wi-Fi mreži, pa samo unesite napadača ( moj PC ) lokalna IP adresa. I pogodio UNESI.
PS: Da biste provjerili IP adresu uređaja, upišite: 'ifconfig'
U redu, do sada smo postavili našu metodu i IP adresu slušatelja. U ovoj opciji navedeni su unaprijed definirani predlošci web phishinga kao što sam gore spomenuo. Budući da smo ciljali stranicu Google računa, pa biramo broj 2. Google . Pogoditi UNESI .
theSada, SET pokreće moj Kali Linux web poslužitelj na portu 80, sa lažnom stranicom za prijavu na Google račun. Naše postavljanje je završeno. Sada sam spreman ući u sobu svojih prijatelja da se prijavim na ovu stranicu za krađu identiteta koristeći svoj mobilni telefon.
KORAK 2. LOVANJE ŽRTVA
Razlog zašto koristim mobilni telefon (android)? Pogledajmo kako se stranica prikazuje u mojem ugrađenom android pregledniku. Dakle, pristupim svom web poslužitelju Kali Linux na 192.168.43.99 u pregledniku. A evo i stranice:
Vidjeti? Izgleda tako stvarno, nema sigurnosnih problema na njemu. URL traka koja prikazuje naslov umjesto samog URL -a. Znamo da će glupi ovo prepoznati kao izvornu Google stranicu.
Dakle, donosim svoj mobilni telefon, ulazim u prijatelja i razgovaram s njim kao da se nisam uspio prijaviti na Google i postupiti ako se pitam je li se Google srušio ili pogriješio. Dajem svoj telefon i molim ga da se pokuša prijaviti koristeći svoj račun. Ne vjeruje mojim riječima i odmah počinje upisivati podatke o svom računu kao da se ovdje ništa loše neće dogoditi. Haha.
On je već upisao sve potrebne obrasce i dopustio sam da kliknem na Prijaviti se dugme. Kliknem gumb ... Sada se učitava ... I tada smo dobili glavnu stranicu Google tražilice poput ove.
PS: Nakon što žrtva klikne na Prijaviti se gumb, poslat će podatke za provjeru autentičnosti na naš slušateljski stroj i zabilježen je.
Ništa se ne događa, kažem mu, Prijaviti se gumb je još uvijek tu, ali niste se uspjeli prijaviti. I onda ponovno otvaram phishing stranicu, dok nam dolazi još jedan prijatelj ove gluposti. Ne, imamo još jednu žrtvu.
Dok ne prekinem razgovor, onda se vraćam do svog stola i provjeravam dnevnik svog SET -a. I evo nas,
Goccha ... pwnd vas !!!
U zaključku
Nisam dobar u pričanju priča ( u tome je poanta ), da sumiramo dosadašnji napad koraci su:
- Otvorena 'setoolkit'
- Odaberite 1) Napadi društvenog inženjeringa
- Odaberite 2) Vektori napada na web stranice
- Odaberite 3) Metoda napada sakupljača vjerodajnica
- Odaberite 1) Web predlošci
- Unesite IP adresa
- Odaberite Google
- Sretan lov ^_ ^