Social Engineering Attacks (từ góc độ hack) khá giống với việc biểu diễn một màn ảo thuật. Sự khác biệt là, trong Social Engineering Attacks, nó là một trò ảo thuật mà kết quả là tài khoản ngân hàng, mạng xã hội, email, thậm chí là quyền truy cập vào máy tính mục tiêu. Ai đã tạo ra hệ thống? MỘT CON NGƯỜI. Thực hiện Social Engineering Attack rất dễ dàng, tin tôi đi, nó thực sự rất dễ dàng. Không có hệ thống nào là an toàn. Con người là nguồn tài nguyên tốt nhất và là điểm cuối của các lỗ hổng bảo mật từ trước đến nay.
Trong bài viết trước, tôi đã thực hiện một bản demo về nhắm mục tiêu tài khoản Google, Kali Linux: Bộ công cụ kỹ thuật xã hội , đây là một bài học khác cho bạn.
Chúng ta có cần một hệ điều hành Penetration Testing OS nào đó để thực hiện Social Engineering Attack không? Thực ra thì không, Social Engineering Attack rất linh hoạt, các công cụ, chẳng hạn như Kali Linux chỉ là công cụ. Điểm chính của Social Engineering Attack là thiết kế luồng tấn công.
Trong bài viết trước về Cuộc tấn công kỹ thuật xã hội, chúng ta đã tìm hiểu về Cuộc tấn công kỹ thuật xã hội bằng cách sử dụng TRUST. Và trong bài viết này chúng ta sẽ cùng nhau tìm hiểu về SỰ LƯU Ý. Tôi nhận được bài học này từ một Vua trộm Apollo Robbins . Xuất thân của anh là ảo thuật gia điêu luyện, ảo thuật gia đường phố. Bạn có thể xem chương trình của anh ấy trên YouTube. Anh ấy đã từng giải thích trong một bài TED Talk, về cách ăn cắp đồ đạc. Khả năng của anh ta chủ yếu là chơi với sự chú ý của nạn nhân để móc túi đồ của họ, chẳng hạn như đồng hồ, ví, tiền, thẻ, bất cứ thứ gì trong túi của nạn nhân mà không được công nhận. Tôi sẽ chỉ cho bạn cách tiến hành Social Engineering Attack để hack tài khoản Facebook của ai đó bằng cách sử dụng SỰ TIN TƯỞNG và CHÚ Ý. Chìa khóa của ATTENTION là tiếp tục nói nhanh và đặt câu hỏi. Bạn là người điều khiển cuộc trò chuyện.
Kịch bản tấn công kỹ thuật xã hội
Kịch bản này có sự tham gia của 2 diễn viên, John trong vai kẻ tấn công và Bima là nạn nhân. John sẽ đặt Bima làm mục tiêu. Mục tiêu của Social Engineering Attack ở đây là truy cập vào tài khoản Facebook của nạn nhân. Luồng tấn công sẽ sử dụng một cách tiếp cận và phương pháp khác. John và Bima là bạn của nhau, họ thường gặp nhau ở canteen vào giờ ăn trưa trong thời gian nghỉ ngơi tại văn phòng của họ. John và Bima đang làm việc ở các phòng ban khác nhau, dịp duy nhất họ gặp nhau là khi họ ăn trưa trong canteen. Họ thường xuyên gặp gỡ và nói chuyện với nhau cho đến bây giờ họ đã là bạn đời của nhau.
Một ngày nọ, kẻ xấu John, quyết tâm thực hành Social Engineering Attack bằng trò chơi ATTENTION, mà tôi đã đề cập trước đó, anh ta lấy cảm hứng từ The King of Thieves Apollo Robbins. Trong một bài thuyết trình của mình, Robbins đã nói rằng, chúng ta có hai mắt, nhưng bộ não của chúng ta chỉ có thể tập trung vào một thứ. Chúng ta có thể thực hiện đa nhiệm, nhưng nó không thực hiện các nhiệm vụ khác nhau cùng một lúc, thay vào đó chúng ta chỉ chuyển sự chú ý sang từng tác vụ một cách nhanh chóng.
Vào đầu ngày, vào thứ Hai, tại văn phòng, như thường lệ, John ở trong phòng và ngồi vào bàn làm việc. Anh ta đang lên kế hoạch thực hiện chiến lược để hack tài khoản facebook của bạn mình. Anh ấy nên sẵn sàng trước bữa trưa. Anh ấy đang suy nghĩ và băn khoăn khi ngồi vào bàn làm việc của mình.
Sau đó, anh ta lấy một tờ giấy, ngồi trên ghế của mình, đang đối mặt với máy tính của mình. Anh ta truy cập trang Facebook để tìm cách hack tài khoản của ai đó.
BƯỚC 1: TÌM CỬA SỔ KHỞI ĐỘNG a.k.a LỖ
Trên màn hình nhật ký, anh ta nhận thấy một liên kết có tên tài khoản bị quên, Ở đây John sẽ sử dụng lợi ích của tài khoản bị quên ( tính năng khôi phục mật khẩu). Facebook đã cung cấp cửa sổ bắt đầu của chúng tôi tại: https://www.facebook.com/login/identify?ctx=recover.
Trang sẽ trông như thế này:
Trên đồng ruộng tìm tài khoản của bạn , có một câu nói, Vui lòng nhập địa chỉ email hoặc số điện thoại của bạn để tìm kiếm tài khoản của bạn . Từ đây, chúng tôi nhận được một bộ cửa sổ khác: địa chỉ email đề cập đến Tài khoản email và số điện thoại đề cập đến Điện thoại di động Điện thoại . Vì vậy, John có một giả thuyết rằng, nếu anh ta có tài khoản email hoặc điện thoại di động của nạn nhân, thì anh ta sẽ có quyền truy cập vào tài khoản Facebook của nạn nhân.
BƯỚC 2: ĐIỀN VÀO MẪU ĐỂ XÁC ĐỊNH TÀI KHOẢN
Được rồi, từ đây John bắt đầu suy nghĩ sâu sắc. Anh ấy không biết địa chỉ e-mail của Bima là gì, nhưng anh ấy đã lưu số điện thoại của Bima trên điện thoại di động của mình. Sau đó, anh ấy lấy điện thoại của mình và tìm số điện thoại của Bima. Và anh ấy đã đi, anh ấy đã tìm thấy nó. Anh ấy bắt đầu nhập số điện thoại của Bima vào trường đó. Sau đó, anh ta nhấn nút Tìm kiếm. Hình ảnh sẽ như thế này:
Anh ấy đã hiểu, anh ấy thấy rằng số điện thoại của Bima được kết nối với tài khoản Facebook của anh ấy. Từ đây, anh ta chỉ giữ và không nhấn Tiếp tục cái nút. Hiện tại, anh ta chỉ đảm bảo rằng số điện thoại này được kết nối với tài khoản Facebook của nạn nhân, để điều đó tiến gần hơn đến giả thuyết của anh ta.
Những gì John thực sự đã làm, là do thám, hoặc Thu thập thông tin về nạn nhân. Từ đây John có đủ thông tin, và sẵn sàng thực hiện. Nhưng John sẽ gặp Bima ở canteen, John không thể mang theo máy tính của mình được, đúng không? Không sao, anh ấy có một giải pháp tiện dụng, đó là điện thoại di động của chính mình. Vì vậy, trước khi gặp Bima, anh ấy đã lặp lại BƯỚC 1 và 2 trên trình duyệt Chrome trong điện thoại di động Android của anh ấy. Nó sẽ trông như thế này:
BƯỚC 3: GẶP LẠI VICTIM
Được rồi, bây giờ mọi thứ đã được thiết lập và sẵn sàng. Tất cả những gì John cần làm là lấy điện thoại của Bima, nhấp vào Tiếp tục trên điện thoại của anh ấy, đọc tin nhắn hộp thư đến SMS do Facebook gửi (mã đặt lại) trên điện thoại của Bima, ghi nhớ nó và xóa tin nhắn nhanh chóng trong một phần nhỏ thời gian.
Kế hoạch này nảy sinh trong đầu anh khi anh đang đi đến căng tin. John bỏ điện thoại vào túi. Anh vào khu căng tin, tìm Bima. Anh quay đầu từ trái sang phải để tìm xem Bima đang ở đâu. Như thường lệ, anh ta ngồi ở ghế trong góc, vẫy tay với John, anh ta đã sẵn sàng với bữa ăn của mình.
Ngay lập tức John ăn một phần nhỏ bữa trưa nay, và đến gần bàn với Bima. Anh ấy nói lời chào với Bima, và sau đó họ đi ăn cùng nhau. Trong khi ăn, John nhìn xung quanh, anh nhận thấy điện thoại của Bima đang để trên bàn.
Sau khi ăn xong bữa trưa, họ đang nói về nhau trong ngày. Như thường lệ, cho đến lúc đó, John lại mở một chủ đề mới về điện thoại. John nói với anh ta rằng John cần một chiếc điện thoại mới và John cần lời khuyên của anh ta về chiếc điện thoại nào phù hợp với John. Sau đó, anh ấy hỏi về điện thoại của Bima, anh ấy hỏi mọi thứ, kiểu máy, thông số kỹ thuật, mọi thứ. Và sau đó John yêu cầu anh ta thử điện thoại của mình, John hành động như thể anh ta thực sự là một khách hàng đang tìm kiếm một chiếc điện thoại. Tay trái của John cầm lấy điện thoại của anh ấy với sự cho phép của anh ấy, trong khi tay phải của anh ấy ở dưới bàn, chuẩn bị mở điện thoại của chính anh ấy. John tập trung vào tay trái, chiếc điện thoại của anh ấy, John đã nói rất nhiều về chiếc điện thoại của anh ấy, trọng lượng của nó, tốc độ của nó, v.v.
Bây giờ, John bắt đầu Cuộc tấn công bằng cách tắt âm lượng chuông điện thoại của Bima về 0, để ngăn anh ta nhận ra liệu có thông báo mới đến hay không. Tay trái của John vẫn chú ý, trong khi tay phải thực sự nhấn Tiếp tục cái nút. Ngay sau khi John nhấn nút, tin nhắn đến.
Ding .. Không có âm thanh. Bima không nhận dạng được tin nhắn đến vì màn hình hướng về phía John. John ngay lập tức mở tin nhắn, đọc và ghi nhớ Ghim 6 chữ số trong SMS, và sau đó sẽ sớm xóa nó. Bây giờ anh ấy đã hoàn thành với điện thoại của Bima, John trả lại điện thoại của Bima cho anh ấy trong khi tay phải của John lấy điện thoại của mình ra và bắt đầu nhập ngay lập tức Ghim 6 chữ số anh ấy chỉ nhớ.
Sau đó, John nhấn Tiếp tục. Trang mới xuất hiện, nó hỏi anh ta có muốn tạo mật khẩu mới hay không.
John sẽ không thay đổi mật khẩu vì anh ta không xấu xa. Nhưng giờ anh ấy đã có tài khoản facebook của Bima. Và anh ấy đã thành công với nhiệm vụ của mình.
Như bạn có thể thấy, kịch bản có vẻ rất đơn giản, nhưng này, bạn có thể lấy và mượn điện thoại của bạn bè mình dễ dàng như thế nào? Nếu bạn liên quan đến giả thuyết bằng cách sử dụng điện thoại của bạn bè, bạn có thể lấy bất cứ thứ gì bạn muốn, thật tệ.