Hack facebook ved hjelp av sosialteknikk
Sosialtekniske angrep (fra hackingperspektivet) ligner ganske på å utføre et magisk show. Forskjellen er at i sosiale ingeniørangrep er det et magisk triks der resultatet er en bankkonto, sosiale medier, e -post, til og med tilgang til en måldatamaskin. Som opprettet systemet? ET MENNESKE. Å gjøre sosialteknisk angrep er enkelt, stol på meg, det er veldig enkelt. Ingen systemer er trygt. Mennesker er den beste ressursen og sluttpunktet for sikkerhetsproblemer noensinne.
I den siste artikkelen gjorde jeg en demo av Google Account Targeting, Kali Linux: Social Engineering Toolkit, dette er en annen leksjon for deg.
Trenger vi visse penetrasjonstesting OS for å gjøre sosialtekniske angrep? Egentlig ikke, sosialteknikkangrep er fleksibelt, verktøyene, som Kali Linux er bare verktøy. Hovedpoenget med sosial ingeniørangrep handler om å "designe angrepsstrømmen".
I den siste artikkelen om sosial ingeniørangrep lærte vi det sosiale ingeniørangrepet ved hjelp av "tillit". Og i denne artikkelen vil vi lære om "oppmerksomhet". Jeg fikk denne leksjonen fra en "King of Thieves" Apollo Robbins. Hans bakgrunn er dyktig tryllekunstner, gatemagiker. Du kunne se showet hans på YouTube. En gang forklarte han i en TED -prat, om hvordan man kan stjele ting. Hans evne er hovedsakelig å leke med offerets oppmerksomhet for å lomme og slike klokker, lommebok, penger, kort, alt i ofrenes lomme, uten anerkjennelse. Jeg vil vise deg hvordan du kan utføre sosialteknisk angrep for å hacke noens Facebook -konto ved å bruke "tillit" og "oppmerksomhet". Nøkkelen med "oppmerksomhet" er å fortsette å snakke raskt, og stille spørsmål. Du er piloten i samtalen.
Hei, jeg er Bimando, forfatteren av denne artikkelen. Hvis du liker denne artikkelen, kan du se på å kjøpe boken min PRAKTISK ETISK HACKING: For penetrasjonstestere med Kali Linux. Jeg jobbet hardt med det med Linux -hint -teamet for å produsere et produkt av høy kvalitet. Jeg vet at du vil elske det og lære mye.
Social Engineering Attack -scenariet
Dette scenariet involverer 2 skuespillere, John som angriper og Bima som et offer. John vil sette Bima som et mål. Målet med sosialteknisk angrep her er å få tilgang til offerets Facebook -konto. Angrepsstrømmen vil bruke en annen tilnærming og metode. John og Bima er venner, de møtes ofte i kantinen ved lunsjtid i hviletid på kontoret deres. John og Bima jobber i forskjellige avdelinger, den eneste anledningen de møtes er når de spiser lunsj i kantinen. De møtes ofte og snakker med hverandre til nå er de kamerater.
En dag, John “Bad Guy”, er fast bestemt på å praktisere sosialteknisk angrep ved hjelp av "oppmerksomhet" -spill, som jeg nevnte tidligere, ble han inspirert av “The King of Thieves” Apollo Robbins. I en av presentasjonene hans sa Robbins at vi har to øyne, men hjernen vår kan bare fokusere på en ting. Vi kan gjøre multitasking, men det gjør ikke de forskjellige oppgavene sammen samtidig, i stedet bytter vi bare oppmerksomheten mot hver oppgave raskt.
På begynnelsen av dagen, på mandag, på kontoret, sitter John som vanlig på rommet sitt ved skrivebordet sitt. Han planlegger å få strategien til å hacke vennens Facebook -konto. Han skal være klar før lunsj. Han tenker og lurer på mens han sitter ved skrivebordet sitt.
Så tar han et papirark, sitter i stolen, som vender mot datamaskinen hans. Han besøker Facebook -siden for å finne en måte å hacke noens konto.
Trinn 1: Finn startvindu a.k.et hull
På loggen på skjermen legger han merke til en lenke som heter "Forgotten Account", her vil John bruke fordelen av "glemt konto (Passordgjenoppretting) ”-funksjon. Facebook har allerede servert startvinduet vårt på: “https: // www.Facebook.com/pålogging/identifiser?ctx = gjenopprette ”.
Siden skal se slik ut:
I felten "Finn Din Konto”Seksjon, det er en setning som sier:”Vennligst skriv inn e -postadressen eller telefonnummeret ditt for å søke etter kontoen din”. Herfra får vi et annet sett med Windows: E -postadresse refererer til “Epost konto" og telefonnummer refererer til “mobil Telefon”. Så John har en hypotese om at hvis han hadde offerets e -postkonto eller mobiltelefon, så vil han ha tilgang til offerets Facebook -konto.
Trinn 2: Fyll ut skjemaet for å identifisere kontoen
Ok, herfra begynner John å tenke dypt. Han vet ikke hva som er Bimas e-postadresse, men han lagret BIMA-telefonnummer på mobiltelefonen sin. Han griper deretter telefonen sin, og ser etter Bimas telefonnummer. Og der går han, fant han det. Han begynner å skrive Bimas telefonnummer i det feltet. Etter det trykker han på "Search" -knappen. Bildet skal se slik ut:
Han fikk det, han fant ut at Bimas telefonnummer er koblet til Facebook -kontoen sin. Herfra holder han bare, og trykker ikke på Fortsette knapp. Foreløpig sørget han bare for at dette telefonnummeret er koblet til offerets Facebook -konto, så det kommer nærmere hypotesen hans.
Det John faktisk gjorde, gjør rekognosering, eller informasjonssamling om offeret. Herfra har John nok informasjon, og er klar til å utføre. Men John vil møte Bima i kantinen, det er umulig for John å ta med datamaskinen sin, til høyre? Ikke noe problem, han har en praktisk løsning, som er hans egen mobiltelefon. Så før han møter Bima, gjentar han TRINN 1 og 2 på Chrome -nettleseren i Android -mobiltelefonen sin. Det ville se slik ut:
Trinn 3: Møt offeret
OK, nå er alt satt opp og klart. Alt John trenger å gjøre er å ta Bimas telefon, klikk på Fortsette Knapp på telefonen hans, les SMS -innboks -melding sendt av Facebook (tilbakestillingskoden) på Bimas telefon, husk den og slett meldingen i en enkelt brøkdel av tiden, raskt.
Denne planen stikker inn i hodet hans mens han nå går til kantinen. John la telefonen sin i lommen. Han kom inn i kantineområdet og lette etter bima. Han vendte hodet til venstre mot høyre og fant ut hvor pokker er bima. Som vanlig er han i hjørnesetet og vinket hånden til John, han var klar med måltidet.
Umiddelbart tar John en liten del av måltidet denne middag, og kommer nær bordet med Bima. Han sier hei til Bima, og så spiser de sammen. Mens han spiser, ser John seg rundt, legger han merke til at Bimas telefon er på bordet.
Etter at de er ferdige med lunsj, snakker de om hverandres dag. Som vanlig, inntil, på et tidspunkt, åpner John et nytt tema om telefoner på et tidspunkt om telefoner. John forteller ham at John trenger en ny telefon, og John trenger rådene sine om hvilken telefon som passer for John. Så spurte han om Bimas telefon, spurte han alt, modellen, spesifikasjonene, alt. Og så ber John ham om å prøve telefonen sin, John opptrer som om han virkelig er en kunde som leter etter en telefon. Johns venstre hånd griper telefonen sin med sin tillatelse, mens høyre hånd er under bordet, og forbereder seg på å åpne sin egen telefon. John setter oppmerksomheten på venstre hånd, telefonen hans, John snakket så mye om telefonen, dens vekt, hastigheten og så videre.
Nå begynner John angrep. Johns venstre hånd har fortsatt oppmerksomheten, mens hans høyre hånd faktisk presser på Fortsette knapp. Så snart John trykket på knappen, kommer meldingen inn.
Ding ... ingen lyder. Bima har ikke gjenkjent den innkommende meldingen fordi skjermen står overfor John. John åpner umiddelbart meldingen, leser og husker 6 -sifret pinne i SMS, og sletter den snart. Nå er han ferdig med Bimas telefon, John gir Bimas telefon tilbake til ham mens Johns høyre hånd tar sin egen telefon ut og begynner å skrive umiddelbart 6 -sifret pinne Han husket bare.
Så presser John Fortsette. Den nye siden vises, spurte den om han vil lage nytt passord eller ikke.
John vil ikke endre passordet fordi han ikke er ondt. Men han har nå Bimas Facebook -konto. Og han har lykkes med oppdraget sitt.
Som du ser virker scenariet så enkelt, men hei, hvor lett du kan ta tak i og låne vennenes telefon? Hvis du korrelerer med hypotesen ved å ha vennenes telefon, kan du få hva du vil, dårlig.