Kali Linux Social Engineering Toolkit

Joey Bartoletti
Kali Linux Social Engineering Toolkit

Os seres humanos são o melhor recurso e ponto final das vulnerabilidades de segurança de todos os tempos. A engenharia social é um tipo de ataque direcionado ao comportamento humano, manipulando e brincando com sua confiança, com o objetivo de obter informações confidenciais, como conta bancária, mídia social, e -mail e até acesso ao computador alvo. Nenhum sistema é seguro, porque o sistema é feito por humanos.O vetor de ataque mais comum usando ataques de engenharia social é espalhado por phishing através de spam em e -mail. Eles têm como alvo uma vítima que tem uma conta financeira, como informações bancárias ou de cartão de crédito.

Os ataques de engenharia social não estão invadindo um sistema diretamente, mas está usando a interação social humana e o invasor está lidando diretamente com a vítima.

Você se lembra Kevin Mitnick? A lenda da engenharia social da antiga era. Na maioria de seus métodos de ataque, ele costumava enganar as vítimas a acreditar que possui a autoridade do sistema. Você pode ter visto seu vídeo de demonstração de ataques de engenharia social no YouTube. Olhe para isso!

Neste post, vou mostrar o cenário simples de como implementar o ataque de engenharia social na vida cotidiana. É tão fácil, basta seguir o tutorial cuidadosamente. Vou explicar o cenário claramente.

Ataque de engenharia social para obter acesso por e -mail

Meta: Ganhar informações de conta de credencial de e -mail

Atacante: Meu

Alvo: Meu amigo. (Realmente? sim)

Dispositivo: Computador ou laptop executando kali linux. E meu celular!

Ambiente: Escritório (no trabalho)

Ferramenta: Kit de ferramentas de engenharia social (conjunto)

Então, com base no cenário acima, você pode imaginar que nem precisamos do dispositivo da vítima, usei meu laptop e meu telefone. Eu só preciso da cabeça dele e da confiança, e estupidez também! Porque, você sabe, a estupidez humana não pode ser corrigida, a sério!

Nesse caso, primeiro vamos configurar a página de login de conta do Gmail no meu kali linux e usar meu telefone para ser um dispositivo de gatilho. Por que eu usei meu telefone? Vou explicar abaixo, mais tarde.

Felizmente não vamos instalar nenhuma ferramenta, nossa máquina Kali Linux possui conjunto pré-instalado (kit de ferramentas de engenharia social), é tudo o que precisamos. Ah, sim, se você não sabe o que está definido, eu darei a você o fundo deste kit de ferramentas.

Kit de ferramentas de engenharia social, é um design para realizar o teste de penetração do lado humano. DEFINIR (Em breve) é desenvolvido pelo fundador da TrustedSec (https: // www.Trustedsec.com/mecanismo social-toolkit-set/), que está escrito em Python, e é de código aberto.

Tudo bem, isso foi suficiente, vamos fazer a prática. Antes de realizarmos o ataque de engenharia social, precisamos configurar nossa página de Phising primeiro. Aqui, estou sentado na minha mesa, meu computador (executando Kali Linux) está conectado à Internet a mesma rede Wi-Fi que meu telefone celular (estou usando Android).

PASSO 1. Configurar a página de phising

Setoolkit está usando a interface da linha de comando, então não espere 'cliques cliques' das coisas aqui. Abra o terminal e o tipo:

~# setoolkit

Você verá a página de boas -vindas na parte superior e as opções de ataque na parte inferior, você deve ver algo assim.

Sim, claro, vamos realizar Ataques de engenharia social, Portanto, escolha o número 1 e pressione Enter.

E então você será exibido as próximas opções e escolherá o número 2. Vetores de ataque de site. Bater DIGITAR.

Em seguida, escolhemos o número 3. Método de ataque de colheita de credenciais. Bater Digitar.

Outras opções são mais estreitas, Set possui uma página de Phising pré-formatada de sites populares, como Google, Yahoo, Twitter e Facebook. Agora escolha o número 1. Modelos da web.

Porque, meu PC Kali Linux e meu telefone celular estavam na mesma rede Wi-Fi, então apenas insira o atacante (meu PC) Endereço IP local. E acertar DIGITAR.

PS: Para verificar o endereço IP do seu dispositivo, digite: 'ifconfig'

Tudo bem até agora, definimos nosso método e o endereço IP do ouvinte. Nestas opções listadas com modelos de phising predefinidos, como mencionei acima. Porque nós apontamos a página da conta do Google, por isso escolhemos o número 2. Google. Bater DIGITAR.

o

Agora, o set inicia meu servidor da web do Kali Linux na porta 80, com a falsa página de login da conta do Google. Nossa configuração está feita. Agora estou pronto entrando no quarto dos meus amigos para fazer login nesta página de phishing usando meu celular.

PASSO 2. Vítimas de caça

A razão pela qual estou usando o celular (Android)? Vamos ver como a página foi exibida no meu navegador Android embutido. Então, estou acessando meu servidor da web do Kali Linux em 192.168.43.99 no navegador. E aqui está a página:

Ver? Parece tão real, não há problemas de segurança exibidos nele. A barra de URL mostrando o título em vez do próprio URL. Sabemos que o estúpido reconhecerá isso como a página original do Google.

Então, eu trago meu telefone celular, entro no meu amigo e converso com ele como se eu não conseguis. Eu dou meu telefone e peço que ele tente fazer login usando sua conta. Ele não acredita nas minhas palavras e imediatamente começa a digitar as informações da sua conta como se nada aconteça mal aqui. Haha.

Ele já digitou todos os formulários necessários e deixe -me clicar no Entrar botão. Eu clico no botão ... agora está carregando ... e então temos a página principal do mecanismo de pesquisa do Google como esta.

PS: Uma vez que a vítima clique no Entrar Botão, ele enviará as informações de autenticação para nossa máquina de ouvinte e está registrado.

Nada está acontecendo, eu digo a ele, o Entrar o botão ainda está lá, você não conseguiu fazer login embora. E então estou abrindo novamente a página de Phising, enquanto outro amigo desse estúpido vindo para nós. Nah, temos outra vítima.

Até eu cortar a conversa, depois volto para minha mesa e verifico o tronco do meu conjunto. E aqui temos,

Goccha… eu te pgonho!!!

Para concluir

Eu não sou bom em contar histórias (essa é a questão), para resumir o ataque até agora, as etapas são:

  • Abrir 'setOolkit'
  • Escolher 1) Ataques de engenharia social
  • Escolher 2) vetores de ataque do site
  • Escolher 3) Método de ataque de colheita de credenciais
  • Escolher 1) Modelos da Web
  • Insira o endereço de IP
  • Escolher Google
  • Feliz caça ^_ ^
php
O que é uma interface no PHP orientado a objetos
Interfaces definem um conjunto padrão de ações que várias classes podem usar para construir código q...
Orlando Green
Powershell
Como usar as variáveis ​​no PowerShell
Variáveis ​​são usadas para armazenar diferentes tipos de valores, como seqüências ou inteiros. Os v...
Joey Bartoletti
Java
Exemplos de método Java
Tutorial sobre métodos Java, como usar os modificadores de acesso para definir o escopo dos métodos ...
Evan Mueller
Pitão
Personagens de contagem de python em string
Tommie Konopelski
Pitão
Python nem todos os argumentos convertidos durante a formatação da string
Tommie Konopelski
Pitão
Seaorn TsPlot
Pedro Macejkovic
Pitão
Converter uma string em json python
Jackie Blanda
html
Como usar a propriedade Mouseevent Pagey?
Evan Mueller
JavaScript
Como verificar a versão do TypeScript
Ed Treutel IV
Powershell
Como usar o cmdlet de movimento em PowerShell?
Pedro Macejkovic
Powershell
O que é comando renomear-itens em PowerShell?
Tommie Konopelski
AWS
Por que devo usar organizações da AWS?
Bryant Rowe Sr.
C nítido
Como usar a palavra -chave Throw em C#
Orlando Green