Kali Linux Social Engineering Toolkit

Mennesker er den beste ressursen og sluttpunktet for sikkerhetsproblemer noensinne. Sosialteknikk er en slags angrep som er målrettet mot menneskelig atferd ved å manipulere og leke med deres tillit, med sikte på å få konfidensiell informasjon, for eksempel bankkonto, sosiale medier, e -post, til og med tilgang til Target Computer. Ingen systemer er trygt, fordi systemet er laget av mennesker.Den vanligste angrepsvektoren ved bruk av sosiale ingeniørangrep er spredt phishing gjennom e -postspamming. De retter seg mot et offer som har en finansiell konto som bank- eller kredittkortinformasjon.

Sosialtekniske angrep bryter ikke direkte inn i et system, i stedet bruker det menneskelig sosialt samspill og angriperen har å gjøre med offeret direkte.

Husker du Kevin Mitnick? Social Engineering Legend of the Old Era. I de fleste av sine angrepsmetoder pleide han å lure ofre til å tro at han har systemmyndigheten. Du har kanskje sett hans sosiale ingeniørangrepsdemovideo på YouTube. Se på det!

I dette innlegget skal jeg vise deg det enkle scenariet med hvordan du implementerer sosialteknisk angrep i dagliglivet. Det er så enkelt, bare følg med opplæringen nøye. Jeg vil forklare scenariet tydelig.

Sosialteknisk angrep for å få tilgang til e -post

Mål: Få informasjon om e -post legitimasjon

Angriper: Meg

Mål: Min venn. (Egentlig? ja)

Enhet: Datamaskin eller bærbar PC som kjører Kali Linux. Og mobiltelefonen min!

Miljø: Kontor (på jobb)

Verktøy: Social Engineering Toolkit (sett)

Så basert på scenariet ovenfor kan du forestille deg at vi ikke engang trenger offerets enhet, jeg brukte den bærbare datamaskinen og telefonen min. Jeg trenger bare hodet og tilliten hans og dumheten også! For, du vet, kan menneskelig dumhet ikke lappes, seriøst!

I dette tilfellet skal vi først konfigurere phishing Gmail -kontoinnloggingsside i Kali Linux, og bruke telefonen min til å være en triggerenhet. Hvorfor jeg brukte telefonen min? Jeg vil forklare nedenfor, senere.

Heldigvis skal vi ikke installere noen verktøy, vår Kali Linux-maskin har forhåndsinstallert sett (Social Engineering Toolkit), det er alt vi trenger. Å ja, hvis du ikke vet hva som er satt, vil jeg gi deg bakgrunnen for dette verktøysettet.

Social Engineering Toolkit, er design for å utføre penetrasjonstest for menneskelig side. Sett (om kort tid) er utviklet av grunnleggeren av TrustedSec (https: // www.Trustedsec.com/sosialt konstruksjons-toolkit-sett/), som er skrevet i Python, og det er åpen kildekode.

OK, det var nok, la oss gjøre praksis. Før vi utfører sosialteknisk angrep, må vi først sette opp phising -siden vår. Her setter jeg meg på skrivebordet mitt, datamaskinen min (kjører Kali Linux) er koblet til Internett det samme Wi-Fi-nettverket som mobiltelefonen min (jeg bruker Android).

TRINN 1. Sett opp Phising Page

Setoolkit bruker Command Line-grensesnittet, så ikke forvent 'Clicky-Clicky' av ting her. Åpne opp terminal og type:

Du vil se velkomstsiden øverst og angrepsalternativene nederst, du bør se noe slikt.

Ja, selvfølgelig skal vi opptre Sosialtekniske angrep, Så velg nummer 1 og treff Enter.

Og så vil du bli vist de neste alternativene, og velg nummer 2. Nettstedsangrepsvektorer. Truffet TAST INN.

Deretter velger vi nummer 3. Legitimasjonsharvesterangrepsmetode. Truffet Tast inn.

Ytterligere alternativer er smalere, Set har forhåndsformatert Phising-side med populære nettsteder, slik Google, Yahoo, Twitter og Facebook. Velg nå nummer 1. Nettmaler.

Fordi Kali Linux PC og mobiltelefonen min var i samme Wi-Fi-nettverk, så bare skriv inn angriperen (PCen min) Lokal IP -adresse. Og slå TAST INN.

PS: For å sjekke enheten IP -adresse, skriv: 'ifconfig'

OK så langt har vi satt vår metode og lytterens IP -adresse. I disse alternativene listet pre-definerte web phising-maler som jeg nevnte ovenfor. Fordi vi siktet Google Account Page, så vi velger nummer 2. Google. Truffet TAST INN.

de

Nå starter Set min Kali Linux -webserver på port 80, med den falske Google -kontoinnloggingssiden. Vårt oppsett er ferdig. Nå er jeg klar på å gå inn på vennestuen min for å logge inn på denne phishing -siden ved hjelp av mobiltelefonen min.

STEG 2. Jakt ofre

Årsaken til at jeg bruker mobiltelefon (Android)? La se hvordan siden som vises i den innebygde Android-nettleseren min. Så jeg får tilgang til Kali Linux Webserver på 192.168.43.99 i nettleseren. Og her er siden:

Se? Det ser så ekte ut, det vises ingen sikkerhetsproblemer på det. URL -linjen som viser tittelen i stedet selve nettadressen. Vi vet at de dumme vil gjenkjenne dette som den originale Google -siden.

Så jeg tar med meg mobiltelefonen og går inn i vennen min, og snakker med ham som om jeg ikke klarte å logge inn på Google og handle hvis jeg lurer på om Google krasjet eller feilet. Jeg gir telefonen min og ber ham prøve å logge inn ved hjelp av kontoen hans. Han tror ikke ordene mine og begynner umiddelbart å skrive inn kontoinformasjonen sin som om ingenting vil skje dårlig her. Ha ha.

Han skrev allerede alle nødvendige skjemaer, og lot meg klikke på Logg inn knapp. Jeg klikker på knappen ... nå lastes den ... og så får vi Google Search Engine hovedsiden som dette.

PS: Når offeret klikker på Logg inn Knapp, den vil sende autentiseringsinformasjonen til lyttermaskinen vår, og den er logget.

Ingenting skjer, sier jeg ham, Logg inn knappen er fremdeles der, du klarte ikke å logge inn. Og så åpner jeg igjen Phising -siden, mens en annen venn av denne dumme kommer til oss. Nah, vi fikk et annet offer.

Inntil jeg kuttet samtalen, så går jeg tilbake til skrivebordet mitt og sjekker loggen til settet mitt. Og her fikk vi,

Goccha ... jeg pwnd deg!!!

For å konkludere

Jeg er ikke flink til å fortelle historien (det er poenget), for å oppsummere angrepet så langt er trinnene:

• Åpen 'Setoolkit'
• Velge 1) Sosialtekniske angrep
• Velge 2) Angrepsvektorer for nettsteder
• Velge 3) Angrepsmetode for legitimasjonsharvester
• Velge 1) Nettmaler
• Legg inn IP adresse
• Velge Google
• Lykkelig jakt ^_ ^