Kali Linux Social Engineering Toolkit

Mennesker er den beste ressursen og endepunktet for sikkerhetsproblemer noensinne. Social Engineering er et slags angrep som retter seg mot menneskelig atferd ved å manipulere og leke med deres tillit, med sikte på å få konfidensiell informasjon, som bankkonto, sosiale medier, e-post, til og med tilgang til måldatamaskinen. Intet system er trygt, fordi systemet er laget av mennesker.Den vanligste angrepsvektoren ved bruk av sosialtekniske angrep er spredning av phishing via nettsøppel. De retter seg mot et offer som har en finansiell konto som bank- eller kredittkortinformasjon.

Sosialtekniske angrep bryter ikke inn i et system direkte, men bruker menneskelig sosial interaksjon, og angriperen har å gjøre med offeret direkte.

Husker du Kevin Mitnick? Sosialteknikk-legenden fra den gamle tiden. I de fleste av hans angrepsmetoder pleide han å lure ofre til å tro at han innehar systemmyndigheten. Du har kanskje sett demo-videoen hans for Social Engineering Attack på YouTube. Se på det!

I dette innlegget skal jeg vise deg det enkle scenariet for hvordan du implementerer Social Engineering Attack i det daglige. Det er så enkelt, bare følg veiledningen nøye. Jeg vil forklare scenariet tydelig.

Social Engineering Attack for å få tilgang til e-post

Mål: Få kontoinformasjon for e-postlegitimering

Angriper: Jeg

Mål: Min venn. (Egentlig? ja)

Enhet: Datamaskin eller bærbar PC som kjører Kali Linux. Og mobiltelefonen min!

Miljø: Kontor (på jobb)

Verktøy: Social Engineering Toolkit (SET)

Så, basert på scenariet ovenfor, kan du forestille deg at vi ikke en gang trenger offerets enhet, jeg brukte den bærbare datamaskinen min og telefonen min. Jeg trenger bare hodet hans og tilliten, og dumhet også! Fordi, vet du, menneskelig dumhet ikke kan lappes, seriøst!

I dette tilfellet skal vi først konfigurere phishing-Gmail-påloggingssiden i Kali Linux, og bruke telefonen min til å være en utløserenhet. Hvorfor jeg brukte telefonen min? Jeg vil forklare nedenfor, senere.

Heldigvis skal vi ikke installere noen verktøy, vår Kali Linux-maskin har forhåndsinstallert SET (Social Engineering Toolkit), det er alt vi trenger. Å ja, hvis du ikke vet hva SET er, vil jeg gi deg bakgrunnen for dette verktøysettet.

Social Engineering Toolkit, er designet for å utføre penetrasjonstest på menneskelig side. SETT (om kort tid) er utviklet av grunnleggeren av TrustedSec (https: // www.trustedsec.com / social-engineer-toolkit-set /), som er skrevet i Python, og den er åpen kildekode.

Ok, det var nok, la oss gjøre øvelsen. Før vi gjennomfører et sosialteknisk angrep, må vi først sette opp phising-siden vår. Her setter jeg meg ned på skrivebordet mitt, datamaskinen min (som kjører Kali Linux) er koblet til internett det samme Wi-Fi-nettverket som mobiltelefonen min (jeg bruker android).

TRINN 1. OPPSETT FISISIDE

Setoolkit bruker kommandolinjegrensesnitt, så forvent ikke 'klikk-klikk' ting her. Åpne terminalen og skriv:

~ # setoolkit

Du vil se velkomstsiden øverst og angrepsalternativene nederst. Du bør se noe slikt.

Ja, selvfølgelig, vi skal opptre Sosiale ingeniørangrep, så velg nummer 1 og trykk ENTER.

Og så vil du bli vist de neste alternativene, og velg nummer 2. Nettstedsangrepvektorer. Truffet TAST INN.

Deretter velger vi nummer 3. Credential Harvester Attack Method. Truffet Tast inn.

Flere alternativer er smalere, SET har forhåndsformatert phising-side med populære nettsteder, som Google, Yahoo, Twitter og Facebook. Velg nå nummer 1. Webmaler.

Fordi Kali Linux-PC-en min og mobiltelefonen min var i samme Wi-Fi-nettverk, så bare skriv inn angriperen (PCen min) lokal IP-adresse. Og slå TAST INN.

PS: For å sjekke enhetens IP-adresse, skriv: 'ifconfig'

Greit så langt, vi har satt vår metode og lytterens IP-adresse. I disse alternativene er forhåndsdefinerte web phising-maler oppført som nevnt ovenfor. Fordi vi målrettet Google-kontosiden, velger vi nummer 2. Google. Truffet TAST INN.

Nå starter SET min Kali Linux webserver på port 80, med den falske påloggingssiden for Google-kontoen. Oppsettet vårt er gjort. Nå er jeg klar til å gå inn på vennerommet mitt for å logge inn på denne phishing-siden ved hjelp av mobiltelefonen min.

STEG 2. JAKTESOFFER

Grunnen til at jeg bruker mobiltelefon (Android)? La oss se hvordan siden vises i den innebygde Android-nettleseren min. Så jeg får tilgang til Kali Linux-webserveren min 192.168.43.99 i nettleseren. Og her er siden:

Se? Det ser så ekte ut at det ikke vises noen sikkerhetsproblemer på det. URL-linjen som viser tittelen i stedet selve URL-en. Vi vet at de dumme vil gjenkjenne dette som den opprinnelige Google-siden.

Så jeg tar med mobiltelefonen min og går inn i vennen min og snakker med ham som om jeg ikke klarte å logge inn på Google og handle hvis jeg lurer på om Google krasjet eller gjorde feil. Jeg gir telefonen min og ber ham prøve å logge inn med kontoen hans. Han tror ikke på mine ord og begynner umiddelbart å skrive inn kontoinformasjonen sin som om ingenting vil skje dårlig her. Ha ha.

Han skrev allerede alle nødvendige skjemaer, og lot meg klikke på Logg inn knapp. Jeg klikker på knappen ... Nå lastes den inn ... Og så har vi Googles søkemotorside som denne.

PS: Når offeret klikker på Logg inn knappen, vil den sende autentiseringsinformasjonen til lyttermaskinen vår, og den logges.

Ingenting skjer, sier jeg ham Logg inn knappen fortsatt er der, men du klarte ikke å logge inn. Og så åpner jeg phising-siden igjen, mens en annen venn av denne dumme kommer til oss. Nei, vi har et nytt offer.

Inntil jeg klipper samtalen, går jeg tilbake til skrivebordet mitt og sjekker loggen til SETTET mitt. Og her har vi fått,

Goccha ... Jeg svir deg!!!

For å konkludere

Jeg er ikke god til å fortelle historier (det er poenget), for å oppsummere angrepet så langt er trinnene:

Åpen 'setoolkit'
Velge 1) Sosialtekniske angrep
Velge 2) Nettstedsangrepvektorer
Velge 3) Credential Harvester Attack Method
Velge 1) Webmaler
Skriv inn IP adresse
Velge Google
Lykkelig jakt ^ _ ^