ソーシャルエンジニアリング攻撃(ハッキングの観点から)は、マジックショーの実行と非常によく似ています。違いは、ソーシャルエンジニアリング攻撃では、その結果が銀行口座、ソーシャルメディア、電子メール、さらにはターゲットコンピューターへのアクセスになるという魔法のトリックです。誰がシステムを作成しましたか?人間。ソーシャルエンジニアリング攻撃を行うのは簡単です、私を信じてください、それは本当に簡単です。安全なシステムはありません。人間はこれまでで最高のリソースであり、セキュリティの脆弱性のエンドポイントです。
前回の記事では、Googleアカウントターゲティングのデモを行いました。 Kali Linux:ソーシャルエンジニアリングツールキット 、これはあなたのための別のレッスンです。
ソーシャルエンジニアリング攻撃を行うには、特定の侵入テストOSが必要ですか?実際にはそうではありません。ソーシャルエンジニアリング攻撃は柔軟性があり、KaliLinuxなどのツールは単なるツールです。ソーシャルエンジニアリング攻撃の要点は、攻撃フローの設計です。
前回のソーシャルエンジニアリング攻撃の記事では、TRUSTを使用したソーシャルエンジニアリング攻撃について学びました。そして、この記事では、注意について学びます。このレッスンは泥棒の王から受けました アポロロビンス 。彼の経歴は熟練したマジシャン、ストリートマジシャンです。彼の番組はYouTubeで見ることができます。彼はかつてTEDトークで物を盗む方法について説明しました。彼の能力は主に、時計、財布、お金、カードなど、被害者のポケットにあるものを認識せずにスリにしようとする被害者の注意を引くことです。 TRUSTとATTENTIONを使用して、ソーシャルエンジニアリング攻撃を実行して誰かのFacebookアカウントをハッキングする方法を紹介します。注意の鍵は、速く話し続け、質問をすることです。あなたは会話のパイロットです。
ソーシャルエンジニアリング攻撃のシナリオ
このシナリオには、攻撃者としてのJohnと被害者としてのBimaの2人のアクターが含まれます。ジョンはビマをターゲットに設定します。ここでのソーシャルエンジニアリング攻撃の目標は、被害者のFacebookアカウントにアクセスすることです。攻撃フローは、異なるアプローチと方法を使用します。ジョンとビマは友達で、彼らはしばしば彼らのオフィスでの休憩時間の昼食時に食堂で会います。ジョンとビマは異なる部門で働いています。彼らが出会うのは、食堂で昼食をとるときだけです。彼らはしばしば会い、今まで彼らは仲間です。
ある日、ジョンの悪者は、先に述べたATTENTIONゲームを使用してソーシャルエンジニアリング攻撃を実践することを決意しました。彼は、キングオブシーブスのアポロロビンスに触発されました。彼のプレゼンテーションの1つで、ロビンズは、私たちには2つの目がありますが、私たちの脳は1つのことにしか焦点を合わせることができないと述べました。マルチタスクを実行することはできますが、異なるタスクを同時に実行するのではなく、各タスクにすばやく注意を向けるだけです。
一日の始まり、月曜日のオフィスで、いつものようにジョンは自分の部屋の机に座っています。彼は友人のFacebookアカウントをハッキングする戦略を立てることを計画しています。彼は昼食前に準備ができているはずです。彼は自分の机に座って考え、疑問に思っています。
それから彼は一枚の紙を取り、彼のコンピューターに面している彼の椅子に座ります。彼はFacebookページにアクセスして、誰かのアカウントをハッキングする方法を見つけます。
ステップ1:スターターウィンドウ(別名穴)を探す
ログオン画面で、彼は忘れられたアカウントという名前のリンクに気づきました。ここでジョンは アカウントを忘れた( パスワード回復)機能。 Facebookはすでにhttps://www.facebook.com/login/identify?ctx=recoverでスターターウィンドウを提供しています。
ページは次のようになります。
現場で あなたのアカウントを見つけてください セクションには、次のような文があります。 アカウントを検索するには、メールアドレスまたは電話番号を入力してください 。ここから、別のウィンドウのセットを取得します。電子メールアドレスは メールアカウント 電話番号はモバイルを指します 電話 。したがって、ジョンは、被害者の電子メールアカウントまたは携帯電話を持っていれば、被害者のFacebookアカウントにアクセスできるという仮説を立てています。
ステップ2:アカウントを特定するためのフォームに記入します
さて、ここからジョンは深く考え始めます。彼はビマの電子メールアドレスが何であるかを知りませんが、彼は自分の携帯電話にビマの電話番号を保存しました。次に、彼は自分の電話をつかみ、ビマの電話番号を探します。そしてそこに行くと、彼はそれを見つけました。彼はそのフィールドにビマの電話番号を入力し始めます。その後、彼は検索ボタンを押します。画像は次のようになります。
彼はそれを理解しました、彼はビマの電話番号が彼のFacebookアカウントに接続されていることを発見しました。ここから、彼はただ握り、押しません 継続する ボタン。今のところ、彼はこの電話番号が被害者のFacebookアカウントに接続されていることを確認しただけなので、それは彼の仮説に近づいています。
ジョンが実際にしたことは、被害者に対して偵察または情報収集を行うことです。ここから、ジョンは十分な情報を入手し、実行する準備ができています。しかし、ジョンは食堂でビマに会うでしょう、ジョンが彼のコンピューターを持ってくることは不可能ですよね?問題ありません、彼は彼自身の携帯電話である便利な解決策を持っています。それで、彼がビマに会う前に、彼は繰り返します ステップ1 と 2 彼のAndroid携帯電話のChromeブラウザで。次のようになります。
ステップ3:犠牲者に会う
さて、これですべてがセットアップされ、準備が整いました。ジョンがする必要があるのは、ビマの電話をつかむことだけです。 継続する 彼の電話のボタンをクリックし、Facebookから送信されたSMS受信ボックスメッセージ(リセットコード)をBimaの電話で読み、それを覚えて、ほんのわずかな時間でメッセージをすばやく削除します。
彼が今食堂に歩いている間、この計画は彼の頭に突き刺さります。ジョンは自分の携帯電話をポケットに入れた。彼はビマを探して食堂エリアに入った。彼は頭を左から右に向けて、一体どこがビマであるかを理解しました。いつものように、彼は隅の席にいて、ジョンに手を振って、食事の準備ができていました。
すぐにジョンはこの正午に食事のごく一部を取り、ビマと一緒にテーブルに近づきます。彼はビマに挨拶し、そして彼らは一緒に食事をします。食事をしている間、ジョンは周りを見回し、ビマの電話がテーブルの上にあることに気づきます。
彼らは昼食を終えた後、お互いの日について話し合っています。いつものように、それまで、ある時点でジョンは電話についての新しいトピックを開きます。ジョンは彼に、ジョンには新しい電話が必要であり、ジョンはどの電話がジョンに適しているかについてのアドバイスが必要だと言います。それから彼はビマの電話について尋ねました、彼はすべて、モデル、スペック、すべてを尋ねました。そして、ジョンは彼に彼の電話を試すように頼みます、ジョンは彼が本当に電話を探している顧客であるように振る舞います。ジョンの左手は彼の許可を得て彼の電話をつかみ、彼の右手はテーブルの下にあり、彼自身の電話を開く準備をしています。ジョンは彼の左手、彼の電話に注意を向け、ジョンは彼の電話、その重さ、その速度などについて多くのことを話しました。
ジョンは、新しい通知が届いたかどうかを認識できないように、ビマの電話の着信音の音量をゼロにして攻撃を開始します。ジョンの左手はまだ注意を向けていますが、右手は実際に 継続する ボタン。ジョンがボタンを押すとすぐに、メッセージが届きます。
丁..音が出ない。モニターがジョンに面しているため、ビマは着信メッセージを認識していません。ジョンはすぐにメッセージを開き、読んで覚えています 6桁のピン SMSで、すぐに削除します。これで彼はビマの電話を使い終えました。ジョンはビマの電話を彼に返し、ジョンの右手は自分の電話を取り出してすぐに入力を開始します。 6桁のピン 彼はちょうど思い出した。
それからジョンは押す 継続する。 新しいページが表示され、新しいパスワードを作成するかどうかを尋ねられます。
ジョンは悪ではないので、パスワードを変更しません。しかし、彼は現在、BimaのFacebookアカウントを持っています。そして彼は彼の使命で成功しました。
ご覧のとおり、シナリオは非常に単純に見えますが、友達の電話を簡単に手に取って借りることができますか?友達の電話を持って仮説と相関させると、ひどく、欲しいものを何でも手に入れることができます。