Con người là nguồn lực tốt nhất và là điểm cuối của các lỗ hổng bảo mật từ trước đến nay. Social Engineering là một loại tấn công nhắm vào hành vi của con người bằng cách thao túng và chơi đùa với lòng tin của họ, với mục đích lấy được thông tin bí mật, chẳng hạn như tài khoản ngân hàng, mạng xã hội, email, thậm chí cả quyền truy cập vào máy tính mục tiêu. Không có hệ thống nào là an toàn, bởi vì hệ thống được tạo ra bởi con người. Vectơ tấn công phổ biến nhất sử dụng các cuộc tấn công kỹ thuật xã hội là lây lan lừa đảo thông qua gửi thư rác email. Chúng nhắm vào nạn nhân có tài khoản tài chính như thông tin ngân hàng hoặc thẻ tín dụng.
Các cuộc tấn công kỹ thuật xã hội không đột nhập trực tiếp vào hệ thống, thay vào đó nó sử dụng tương tác xã hội của con người và kẻ tấn công đang đối phó trực tiếp với nạn nhân.
Bạn có nhớ Kevin Mitnick ? Truyền thuyết về Kỹ thuật xã hội của thời đại cũ. Trong hầu hết các phương pháp tấn công của mình, anh ta sử dụng để lừa nạn nhân tin rằng anh ta nắm giữ quyền hệ thống. Bạn có thể đã xem video giới thiệu Cuộc tấn công kỹ thuật xã hội của anh ấy trên YouTube. Nhìn nó!
Trong bài đăng này, tôi sẽ chỉ cho bạn một kịch bản đơn giản về cách triển khai Social Engineering Attack trong cuộc sống hàng ngày. Nó rất dễ dàng, chỉ cần làm theo hướng dẫn một cách cẩn thận. Tôi sẽ giải thích kịch bản rõ ràng.
Social Engineering Attack để giành quyền truy cập email
Ghi bàn : Lấy thông tin tài khoản ủy nhiệm email
Kẻ tấn công : TÔI
Mục tiêu : Bạn tôi. (Thực sự có)
Thiết bị : Máy tính hoặc máy tính xách tay chạy Kali Linux. Và điện thoại di động của tôi!
Môi trường : Văn phòng (tại nơi làm việc)
Dụng cụ : Bộ công cụ kỹ thuật xã hội (SET)
Vì vậy, dựa trên tình huống trên, bạn có thể tưởng tượng rằng chúng tôi thậm chí không cần thiết bị của nạn nhân, tôi đã sử dụng máy tính xách tay và điện thoại của mình. Tôi chỉ cần cái đầu và sự tin tưởng của anh ấy, và cả sự ngu ngốc nữa! Bởi vì, bạn biết đấy, sự ngu ngốc của con người không thể được vá, nghiêm túc!
Trong trường hợp này, trước tiên, chúng tôi sẽ thiết lập trang đăng nhập Tài khoản Gmail lừa đảo trong Kali Linux của tôi và sử dụng điện thoại của tôi làm thiết bị kích hoạt. Tại sao tôi sử dụng điện thoại của mình? Tôi sẽ giải thích bên dưới, sau.
May mắn thay, chúng tôi sẽ không cài đặt bất kỳ công cụ nào, máy Kali Linux của chúng tôi đã được cài đặt sẵn SET (Bộ công cụ kỹ thuật xã hội), đó là tất cả những gì chúng tôi cần. Ồ vâng, nếu bạn chưa biết SET là gì, tôi sẽ cung cấp cho bạn thông tin cơ bản về bộ công cụ này.
Bộ công cụ kỹ thuật xã hội, được thiết kế để thực hiện kiểm tra thâm nhập từ phía con người. BỘ ( trong thời gian ngắn ) được phát triển bởi người sáng lập TrustedSec ( https://www.trustedsec.com/social-engineer-toolkit-set/ ) , được viết bằng Python và nó là mã nguồn mở.
Được rồi, vậy là đủ rồi chúng ta hãy thực hành. Trước khi chúng tôi tiến hành cuộc tấn công kỹ thuật xã hội, trước tiên chúng tôi cần thiết lập trang lừa đảo của mình. Ở đây, tôi đang ngồi xuống bàn làm việc, máy tính của tôi (chạy Kali Linux) được kết nối Internet cùng mạng Wi-Fi với điện thoại di động của tôi (tôi đang sử dụng Android).
BƯỚC 1. CÀI ĐẶT TRANG PHISING
Setoolkit đang sử dụng giao diện Dòng lệnh, vì vậy đừng mong đợi 'clicky-clicky' ở đây. Mở thiết bị đầu cuối và nhập:
~# setoolkitBạn sẽ thấy trang chào mừng ở trên cùng và các tùy chọn tấn công ở dưới cùng, bạn sẽ thấy một cái gì đó như thế này.
Vâng, tất nhiên, chúng tôi sẽ biểu diễn Các cuộc tấn công kỹ thuật xã hội , vì vậy hãy chọn số 1 và nhấn ENTER.
Và sau đó bạn sẽ được hiển thị các tùy chọn tiếp theo và chọn số 2. Các Vectơ Tấn công Trang web. Đánh ĐI VÀO.
Tiếp theo, chúng tôi chọn số 3. Phương pháp tấn công người thu thập thông tin xác thực . Đánh Vào.
Các tùy chọn khác hẹp hơn, SET có trang lừa đảo được định dạng trước của các trang web phổ biến, chẳng hạn như Google, Yahoo, Twitter và Facebook. Bây giờ chọn số 1. Mẫu Web .
Bởi vì, PC Kali Linux và điện thoại di động của tôi ở trong cùng một mạng Wi-Fi, vì vậy chỉ cần nhập kẻ tấn công ( PC của tôi ) Địa chỉ IP cục bộ. Va đanh ĐI VÀO.
Tái bút: Để kiểm tra địa chỉ IP thiết bị của bạn, hãy nhập: 'ifconfig'
Được rồi, cho đến nay, chúng tôi đã đặt phương thức của mình và địa chỉ IP của người nghe. Trong tùy chọn này liệt kê các mẫu lừa đảo trên web được xác định trước như tôi đã đề cập ở trên. Vì chúng tôi nhắm đến trang tài khoản Google, vì vậy chúng tôi chọn số 2. Google . Đánh ĐI VÀO .
NSBây giờ, SET khởi động Máy chủ trang web Kali Linux của tôi trên cổng 80, với trang đăng nhập tài khoản Google giả mạo. Thiết lập của chúng tôi đã hoàn tất. Bây giờ tôi đã sẵn sàng bước vào phòng bạn bè của mình để đăng nhập vào trang lừa đảo này bằng điện thoại di động của mình.
BƯỚC 2. SĂN MẶT HÌNH ẢNH
Lý do tại sao tôi đang sử dụng điện thoại di động (Android)? Hãy xem cách trang hiển thị trong trình duyệt Android được tích hợp sẵn của tôi. Vì vậy, tôi đang truy cập máy chủ web Kali Linux của mình trên 192.168.43.99 trong trình duyệt. Và đây là trang:
Nhìn thấy? Nó trông rất thật, không có vấn đề bảo mật nào được hiển thị trên đó. Thanh URL hiển thị tiêu đề thay vì chính URL. Chúng tôi biết rằng những kẻ ngu ngốc sẽ nhận ra đây là trang gốc của Google.
Vì vậy, tôi mang theo điện thoại di động của mình, đến gặp người bạn của mình và nói chuyện với anh ta như thể tôi không đăng nhập được vào Google và hành động nếu tôi đang tự hỏi liệu Google có bị lỗi hay không. Tôi đưa điện thoại của mình và yêu cầu anh ta thử đăng nhập bằng tài khoản của mình. Anh ta không tin lời tôi nói và ngay lập tức bắt đầu nhập thông tin tài khoản của mình như thể sẽ không có chuyện gì tồi tệ xảy ra ở đây. Haha.
Anh ấy đã nhập tất cả các biểu mẫu được yêu cầu và để tôi nhấp vào Đăng nhập cái nút. Tôi nhấp vào nút… Bây giờ Nó đang tải… Và sau đó chúng tôi có trang chính của công cụ tìm kiếm Google như thế này.
Tái bút: Khi nạn nhân nhấp vào Đăng nhập , nó sẽ gửi thông tin xác thực đến máy lắng nghe của chúng tôi và nó sẽ được ghi lại.
Không có gì đang xảy ra, tôi nói với anh ấy, Đăng nhập nút vẫn ở đó, mặc dù bạn không đăng nhập được. Và sau đó tôi đang mở lại trang lừa đảo, trong khi một người bạn khác của kẻ ngu ngốc này đến với chúng tôi. Không, chúng tôi có một nạn nhân khác.
Cho đến khi tôi cắt cuộc nói chuyện, sau đó tôi quay lại bàn làm việc và kiểm tra nhật ký SET của mình. Và ở đây chúng tôi có,
Goccha… Tôi yêu bạn !!!
Tóm lại là
Tôi không giỏi kể chuyện ( đó là điểm ), để tóm tắt cuộc tấn công cho đến nay, các bước là:
- Mở ra ‘setoolkit’
- Lựa chọn 1) Các cuộc tấn công kỹ thuật xã hội
- Lựa chọn 2) Vectơ tấn công trang web
- Lựa chọn 3) Phương pháp tấn công người thu thập thông tin xác thực
- Lựa chọn 1) Mẫu Web
- Nhập địa chỉ IP
- Lựa chọn Google
- Đi săn vui vẻ ^ _ ^