Kali Linux: Social Engineering Toolkit

Kali Linux Social Engineering Toolkit



Ihminen on kaikkien aikojen paras resurssi ja päätepiste tietoturvahaavoittuvuuksille. Yhteiskuntatekniikka on eräänlainen hyökkäys, joka kohdistuu ihmisten käyttäytymiseen manipuloimalla ja leikkimällä heidän luottamuksellaan. Tavoitteena on saada luottamuksellisia tietoja, kuten pankkitili, sosiaalinen media, sähköposti, jopa pääsy kohdetietokoneeseen. Yksikään järjestelmä ei ole turvallinen, koska järjestelmä on ihmisten tekemä. Ne kohdistuvat uhriin, jolla on rahoitustili, kuten pankki- tai luottokorttitiedot.

Sosiaalitekniset hyökkäykset eivät murtaudu järjestelmään suoraan, vaan käyttävät ihmisten sosiaalista vuorovaikutusta ja hyökkääjä käsittelee uhria suoraan.







Muistatko Kevin Mitnick ? Yhteiskuntatekniikan legenda vanhasta aikakaudesta. Useimmissa hyökkäysmenetelmissään hän huijasi uhreja uskomaan, että hänellä on järjestelmän valtuudet. Olet ehkä nähnyt hänen Social Engineering Attack -esittelyvideon YouTubessa. Katso sitä!



Tässä viestissä aion näyttää sinulle yksinkertaisen skenaarion sosiaalitekniikan hyökkäyksen toteuttamisesta jokapäiväisessä elämässä. Se on niin helppoa, seuraa vain opetusohjelmaa huolellisesti. Selitän skenaarion selkeästi.



Social Engineering Attack saadaksesi sähköpostin käyttöoikeuden

Päämäärä : Sähköpostitunnustietojen hankkiminen





Hyökkääjä : Minä

Kohde : Ystäväni. (Todellako? Kyllä)



Laite : Tietokone tai kannettava tietokone, jossa on Kali Linux. Ja kännykkäni!

Ympäristö : Toimisto (töissä)

Työkalu : Social Engineering Toolkit (SET)

Joten yllä olevan skenaarion perusteella voit kuvitella, että emme edes tarvitse uhrin laitetta, käytin kannettavaa tietokonettani ja puhelintani. Tarvitsen vain hänen päänsä ja luottamuksensa ja tyhmyyden myös! Koska tiedätte, ihmisten typeryyttä ei voida korjata vakavasti!

Tässä tapauksessa alamme ensin asettaa phishing Gmail -tilin kirjautumissivun Kali Linuxilleni ja käyttää puhelinta liipaisulaitteena. Miksi käytin puhelintani? Selitän myöhemmin, myöhemmin.

Onneksi emme aio asentaa mitään työkaluja, Kali Linux -laitteellamme on esiasennettu SET (Social Engineering Toolkit), se on kaikki mitä tarvitsemme. Voi, jos et tiedä, mikä on SET, kerron sinulle tämän työkalupakin taustan.

Social Engineering Toolkit on suunniteltu suorittamaan ihmispuolen tunkeutumistesti. ASETA ( pian ) on kehittänyt TrustedSecin perustaja ( https://www.trustedsec.com/social-engineer-toolkit-set/ ) , joka on kirjoitettu Pythonilla ja on avoimen lähdekoodin.

Okei, se riitti, harjoitellaan. Ennen kuin teemme sosiaalisen suunnittelun hyökkäyksen, meidän on ensin määritettävä phising -sivumme. Tässä istun pöydälläni, tietokoneeni (jossa on Kali Linux) on yhteydessä internetiin samaan Wi-Fi-verkkoon kuin matkapuhelimeni (käytän androidia).

VAIHE 1. MÄÄRITÄ PHISING -SIVU

Setoolkit käyttää komentorivikäyttöliittymää, joten älä odota asioiden napsautusta. Avaa terminaali ja kirjoita:

~# setoolkit

Näet tervetulosivun yläreunassa ja hyökkäysvaihtoehdot alhaalla, sinun pitäisi nähdä jotain tällaista.

Kyllä, tietysti tulemme esiintymään Yhteiskuntatekniikan hyökkäykset , joten valitse numero 1 ja paina ENTER.

Ja sitten sinulle näytetään seuraavat vaihtoehdot ja valitse numero 2. Verkkosivustohyökkäysvektorit. Osuma TULLA SISÄÄN.

Seuraavaksi valitsemme numeron 3. Credential Harvester Attack Method . Osuma Tulla sisään.

Muut vaihtoehdot ovat kapeampia, SET: llä on valmiiksi muotoiltu suosittujen verkkosivustojen phising-sivu, kuten Google, Yahoo, Twitter ja Facebook. Valitse nyt numero 1. Verkkomallit .

Koska Kali Linux -tietokoneeni ja matkapuhelimeni olivat samassa Wi-Fi-verkossa, syötä vain hyökkääjä ( minun PC ) paikallinen IP -osoite. Ja lyö TULLA SISÄÄN.

PS: Tarkista laitteen IP -osoite kirjoittamalla 'ifconfig'

Toistaiseksi olemme asettaneet menetelmän ja kuuntelijan IP -osoitteen. Tässä vaihtoehdossa luetellaan ennalta määritetyt verkkohuijausmallit, kuten edellä mainitsin. Koska olemme kohdistaneet Google -tilisivun, valitsemme numeron 2. Google . Osuma TULLA SISÄÄN .

the

Nyt SET käynnistää Kali Linux -verkkopalvelimeni portissa 80 väärennetyn Google -tilin kirjautumissivulla. Asetuksemme on tehty. Nyt olen valmis kävelemään ystävien huoneeseen kirjautumaan tälle tietojenkalastelusivulle matkapuhelimellani.

VAIHE 2.METSÄYSVAHINNOT

Miksi käytän matkapuhelinta (Android)? Katsotaanpa, miten sivu näkyy sisäänrakennetussa Android-selaimessani. Joten käytän Kali Linux -verkkopalvelinta 192,168,43,99 selaimessa. Ja tässä sivu:

Näetkö? Se näyttää niin todelliselta, ettei siinä ole mitään turvallisuusongelmia. URL -palkki, joka näyttää otsikon itse URL -osoitteen sijaan. Tiedämme, että tyhmä tunnistaa tämän alkuperäiseksi Google -sivuksi.

Joten tuon matkapuhelimeni ja kävelen ystäväni luo ja puhun hänen kanssaan ikään kuin en olisi kirjautunut Googleen ja toimisin, jos mietin, kaatiko Google tai erehtyi. Annan puhelimeni ja pyydän häntä yrittämään kirjautua sisään tilillään. Hän ei usko sanojani ja alkaa heti kirjoittaa tilitietojaan ikään kuin täällä ei tapahdu mitään pahaa. Haha.

Hän oli jo kirjoittanut kaikki vaaditut lomakkeet ja salli minun napsauttaa Kirjaudu sisään -painiketta. Napsauta painiketta… Nyt se latautuu… Ja sitten saimme Googlen hakukoneen pääsivun näin.

PS: Kun uhri napsauttaa Kirjaudu sisään -painiketta, se lähettää todennustiedot kuuntelukoneellemme ja kirjataan.

Mitään ei tapahdu, sanon hänelle Kirjaudu sisään -painike on edelleen olemassa, mutta kirjautuminen ei onnistunut. Ja sitten avaan jälleen phising -sivun, kun taas tämän tyhmän ystävä tulee luoksemme. Meillä on toinen uhri.

Kunnes lopetan puheen, palaan työpöydälleni ja tarkistan SET -lokin. Ja tässä me saimme,

Goccha… iww you !!!

Tiivistettynä

En ole hyvä kertomaan tarinoita ( se on asian ydin ), yhteenvetona hyökkäyksestä toistaiseksi seuraavat vaiheet:

  • Avata 'setoolkit'
  • Valita 1) Yhteiskuntatekniikan hyökkäykset
  • Valita 2) Verkkosivustohyökkäysvektorit
  • Valita 3) Credential Harvester Attack -menetelmä
  • Valita 1) Verkkomallit
  • Syötä IP-osoite
  • Valita Google
  • Hyvää metsästystä ^_ ^