Kali Linux Social Engineering Toolkit

Dante Palumbo
Kali Linux Social Engineering Toolkit

Gli umani sono la migliore risorsa e il punto finale delle vulnerabilità di sicurezza di sempre. L'ingegneria sociale è una sorta di attacco rivolto al comportamento umano manipolando e giocando con la loro fiducia, con l'obiettivo di ottenere informazioni riservate, come account banking, social media, e -mail, persino accesso al computer di destinazione. Nessun sistema è sicuro, perché il sistema è realizzato dall'uomo.Il vettore di attacco più comune che utilizza attacchi di ingegneria sociale è diffondere il phishing attraverso lo spamming e -mail. Mi sono rivolti a una vittima che ha un conto finanziario come informazioni bancarie o delle carte di credito.

Gli attacchi di ingegneria sociale non stanno entrando direttamente in un sistema, invece sta usando l'interazione sociale umana e l'attaccante sta affrontando direttamente la vittima.

Ti ricordi Kevin Mitnick? La leggenda dell'ingegneria sociale della vecchia era. Nella maggior parte dei suoi metodi di attacco, ha incolpato le vittime nel credere che detenga l'autorità del sistema. Potresti aver visto il suo video demo di attacco di ingegneria sociale su YouTube. Guardarlo!

In questo post ti mostrerò il semplice scenario di come implementare l'attacco di ingegneria sociale nella vita quotidiana. È così facile, basta seguire con cura il tutorial. Spiegherò chiaramente lo scenario.

Attacco di ingegneria sociale per ottenere l'accesso e -mail

Obiettivo: Guadagnare informazioni sull'account credenziale e -mail

Attaccante: Me

Bersaglio: Mio amico. (Veramente? SÌ)

Dispositivo: Computer o laptop in esecuzione Kali Linux. E il mio telefono cellulare!

Ambiente: Ufficio (al lavoro)

Attrezzo: Social Engineering Toolkit (set)

Quindi, in base allo scenario sopra puoi immaginare che non abbiamo nemmeno bisogno del dispositivo della vittima, ho usato il mio laptop e il mio telefono. Ho solo bisogno della sua testa e della sua fiducia e anche la sua stupidità! Perché, sai, la stupidità umana non può essere rattoppata, sul serio!

In questo caso, imposterà la pagina di accesso all'account Gmail di phishing nella mia Kali Linux e useremo il mio telefono per essere un dispositivo di trigger. Perché ho usato il mio telefono? Spiegherò di seguito, più tardi.

Fortunatamente non installeremo alcuna strumento, la nostra macchina Kali Linux ha un set preinstallato (Social Engineering Toolkit), è tutto ciò di cui abbiamo bisogno. Oh sì, se non sai cosa è impostato, ti darò lo sfondo su questo kit di strumenti.

Social Engineering Toolkit, è un design per eseguire test di penetrazione sul lato umano. IMPOSTATO (in breve) è sviluppato dal fondatore di TrustSec (https: // www.TrustedSec.com/social-ingegnere-toolkit-set/), che è scritto in Python ed è open source.

Va bene, basta, facciamo la pratica. Prima di condurre l'attacco di ingegneria sociale, dobbiamo prima impostare la nostra pagina di phising. Qui, sono seduto sulla mia scrivania, il mio computer (eseguendo Kali Linux) è collegato a Internet la stessa rete Wi-Fi del mio telefono cellulare (sto usando Android).

PASSO 1. Pagina di phising di configurazione

Setoolkit sta usando l'interfaccia della riga di comando, quindi non aspettarti "Clicky-Clicky" delle cose qui. Apri il terminale e il tipo:

~# setoolkit

Vedrai la pagina di benvenuto in alto e le opzioni di attacco in fondo, dovresti vedere qualcosa del genere.

Sì, certo, ci esibiremo Attacchi di ingegneria sociale, Quindi scegli il numero 1 e premi ENTER.

E poi verrai visualizzato le opzioni successive e scegli il numero 2. Vettori di attacco del sito Web. Colpo ACCEDERE.

Successivamente, scegliamo il numero 3. Metodo di attacco della mietitrice credenziale. Colpo accedere.

Ulteriori opzioni sono più strette, il set ha una pagina di phising pre-formattato di siti Web popolari, come Google, Yahoo, Twitter e Facebook. Ora scegli il numero 1. Modelli Web.

Perché, il mio PC Kali Linux e il mio telefono cellulare erano nella stessa rete Wi-Fi, quindi inserisci l'attaccante (il mio PC) Indirizzo IP locale. E colpito ACCEDERE.

PS: per controllare l'indirizzo IP del dispositivo, digitare: "ifconfig"

Va bene finora, abbiamo impostato il nostro metodo e l'indirizzo IP dell'ascoltatore. In queste opzioni elencate modelli di phising web predefiniti come ho detto sopra. Perché abbiamo mirato la pagina dell'account Google, quindi scegliamo il numero 2. Google. Colpo ACCEDERE.

IL

Ora, Imposta avvia il mio server Web Kali Linux sulla porta 80, con la pagina di accesso all'account Google falso. La nostra configurazione è eseguita. Ora sono pronto a camminare nella stanza dei miei amici per accedere a questa pagina di phishing usando il mio telefono cellulare.

PASSO 2. Le vittime di caccia

Il motivo per cui sto usando il cellulare (Android)? Vediamo come viene visualizzata la pagina nel mio browser Android integrato. Quindi, accedo al mio server Web Kali Linux 192.168.43.99 nel browser. Ed ecco la pagina:

Vedere? Sembra così reale, non ci sono problemi di sicurezza visualizzati su di esso. La barra dell'URL che mostra il titolo invece l'URL stesso. Sappiamo che lo stupido lo riconoscerà come la pagina di Google originale.

Quindi, porto il mio telefono cellulare e entro nel mio amico e gli parlo come se non riuscissi ad accedere a Google e ad agire se mi chiedo se Google si sia schiantato o erro. Do il mio telefono e gli chiedo di provare ad accedere usando il suo account. Non crede alle mie parole e inizia immediatamente a scrivere nelle informazioni sul suo account come se nulla accadrà male qui. Haha.

Ha già digitato tutti i moduli richiesti e mi ha fatto fare clic su Registrazione pulsante. Faccio clic sul pulsante ... ora sta caricando ... e poi abbiamo la pagina principale del motore di ricerca di Google in questo modo.

PS: una volta che la vittima fa clic sul Registrazione pulsante, invierà le informazioni di autenticazione al nostro ascoltatore ed è registrato.

Non sta succedendo niente, gli dico, il Registrazione Il pulsante è ancora lì, non sei riuscito ad accedere. E poi sto di nuovo aprendo la pagina del phising, mentre un altro amico di questo stupido viene da noi. No, abbiamo ottenuto un'altra vittima.

Fino a quando non ho fatto il discorso, poi torno alla mia scrivania e controllo il registro del mio set. E qui abbiamo ottenuto,

Goccha ... ti ho fatto!!!

Insomma

Non sono bravo a raccontare la storia (questo è il punto), per riassumere l'attacco finora i passaggi sono:

  • Aprire 'setoolkit'
  • Scegliere 1) Attacchi di ingegneria sociale
  • Scegliere 2) Vettori di attacco del sito Web
  • Scegliere 3) Metodo di attacco della mietitrice credenziale
  • Scegliere 1) Modelli Web
  • Inserisci il indirizzo IP
  • Scegliere Google
  • Happy Hunting ^_ ^
c affilato
Come l'operatore Lambda '=>' viene utilizzato in C#
L'operatore '=>' crea funzioni anonime in C#, separando i parametri di input dal corpo della funzion...
Nestore Caruso
PHP
Come utilizzare la funzione php str_split
La funzione PHP Str_split () è uno strumento utile per dividere le stringhe in singoli caratteri o s...
Felicia Giuliani
C ++
Cosa sono gli identificatori in C++?
In un programma, gli identificatori C ++ vengono utilizzati per fare riferimento ai nomi di variabil...
Sarita Negri
Golang
Come convertire la stringa in tipo intero in Golang?
Felicia Giuliani
Golang
Come usare il tempo.Ora funziona in golang - esempi
Nick Marini
AWS
Come utilizzare il ciclo di vita delle istanze in AWS?
Cristyn De Santis
Golang
Cosa è eredità nel golang
Dr. Folco Leone
Oracle Database
Che tipo di database è Oracle Top 10G?
Piererminio De luca
Giava
Cos'è l'importazione Java.io.*; in Java?
Piererminio De luca
Powershell
Puoi spiegare la funzionalità del comando Get-Location di PowerShell?
Domiziano Conte
Oracle Database
Come memorizzare nella cache la sequenza Oracle per migliorare le risorse del dizionario dei dati?
Sig. Valdo Marchetti
Idiota
Come funziona Git?
Felicia Giuliani
PHP
Come aggiungere a un array in PHP?
Piererminio De luca