人間は、これまでで最高のリソースであり、セキュリティの脆弱性のエンドポイントです。ソーシャルエンジニアリングは、銀行口座、ソーシャルメディア、電子メール、さらには標的のコンピューターへのアクセスなどの機密情報を取得することを目的として、信頼を操作して遊ぶことにより、人間の行動を標的とする一種の攻撃です。システムは人間によって作成されているため、安全なシステムはありません。ソーシャルエンジニアリング攻撃を使用する最も一般的な攻撃ベクトルは、電子メールスパムによるフィッシングの拡散です。彼らは、銀行やクレジットカード情報などの金融口座を持っている被害者を標的としています。
ソーシャルエンジニアリング攻撃はシステムに直接侵入するのではなく、人間の社会的相互作用を使用しており、攻撃者は被害者に直接対処しています。
覚えていますか ケビン・ミトニック ?旧時代のソーシャルエンジニアリングの伝説。彼の攻撃方法のほとんどでは、彼は被害者をだまして、自分がシステムの権限を持っていると信じ込ませていました。彼のソーシャルエンジニアリング攻撃のデモビデオをYouTubeで見たことがあるかもしれません。それを見てください!
この投稿では、日常生活でソーシャルエンジニアリング攻撃を実装する方法の簡単なシナリオを紹介します。とても簡単です。チュートリアルに注意深く従ってください。シナリオを明確に説明します。
電子メールアクセスを取得するためのソーシャルエンジニアリング攻撃
ゴール :電子メールクレデンシャルアカウント情報の取得
アタッカー : 私
目標 : 私の友人。 (本当に?はい)
端末 :KaliLinuxを実行しているコンピューターまたはラップトップ。そして私の携帯電話!
環境 :オフィス(職場)
道具 :ソーシャルエンジニアリングツールキット(SET)
したがって、上記のシナリオに基づいて、被害者のデバイスすら必要ないことが想像できます。私はラップトップと電話を使用しました。私は彼の頭と信頼、そして愚かさだけが必要です!なぜなら、あなたが知っているように、人間の愚かさは真剣にパッチを当てることができないからです!
この場合、最初にKali LinuxでフィッシングGmailアカウントのログインページを設定し、電話をトリガーデバイスとして使用します。なぜ電話を使ったのですか?後で説明します。
幸い、ツールをインストールするつもりはありません。KaliLinuxマシンにはSET(Social Engineering Toolkit)がプリインストールされています。必要なのはそれだけです。そうそう、SETとは何かわからない場合は、このツールキットの背景を説明します。
Social Engineering Toolkitは、人間側の侵入テストを実行するための設計です。設定 ( まもなく )TrustedSecの創設者によって開発されました (( https://www.trustedsec.com/social-engineer-toolkit-set/ )。 、Pythonで記述されており、オープンソースです。
さて、それで十分でした。練習しましょう。ソーシャルエンジニアリング攻撃を実行する前に、まずフィッシングページを設定する必要があります。ここでは、机の上に座って、コンピューター(Kali Linuxを実行)が携帯電話(Androidを使用)と同じWi-Fiネットワークでインターネットに接続されています。
ステップ1.フィッシングページを設定する
Setoolkitはコマンドラインインターフェイスを使用しているため、ここでは「クリッククリック」を期待しないでください。ターミナルを開いて、次のように入力します。
〜#setoolkit上部にウェルカムページが表示され、下部に攻撃オプションが表示されます。次のように表示されます。
はい、もちろん、私たちは実行するつもりです ソーシャルエンジニアリング攻撃 、番号を選択してください 1 ENTERを押します。
次に、次のオプションが表示され、番号を選択します 2.ウェブサイトの攻撃ベクトル。 打つ 入力。
次に、番号を選択します 3.クレデンシャルハーベスター攻撃方法 。打つ 入力。
さらなるオプションはより狭く、SETはグーグル、ヤフー、ツイッター、フェイスブックなどの人気のあるウェブサイトのフィッシングページを事前にフォーマットしています。今番号を選択してください 1.Webテンプレート 。
なぜなら、私のKali Linux PCと私の携帯電話は同じWi-Fiネットワークにあったので、攻撃者を入力するだけです( 私のPC )ローカルIPアドレス。そしてヒット 入力。
PS:デバイスのIPアドレスを確認するには、「ifconfig」と入力します
これまでのところ、メソッドとリスナーのIPアドレスを設定しました。このオプションには、前述のように事前定義されたWebフィッシングテンプレートがリストされています。グーグルアカウントページを狙ったので、番号を選びます 2.グーグル 。打つ 入力 。
これで、SETは偽のGoogleアカウントのログインページを使用して、ポート80でKali LinuxWebサーバーを起動します。セットアップが完了しました。これで、友達の部屋に足を踏み入れて、携帯電話を使用してこのフィッシングページにログインする準備ができました。
ステップ2.被害者の狩猟
携帯電話(アンドロイド)を使っている理由は?組み込みのAndroidブラウザでページがどのように表示されるかを見てみましょう。だから、私は私のKaliLinuxウェブサーバーにアクセスしています 192.168.43.99 ブラウザで。そしてここにページがあります:
見る?見た目はとてもリアルで、セキュリティ上の問題は表示されていません。 URL自体の代わりにタイトルを表示するURLバー。愚か者がこれを元のGoogleページとして認識することを私たちは知っています。
それで、私は携帯電話を持ってきて、友達のところに行き、グーグルにログインできなかったかのように彼に話しかけ、グーグルがクラッシュしたのかエラーになったのか疑問に思ったら行動します。私は自分の電話を渡して、彼に彼のアカウントを使用してログインしてみるように頼みます。彼は私の言葉を信じず、ここで何も悪いことが起こらないかのようにすぐに自分のアカウント情報を入力し始めます。はは。
彼はすでに必要なすべてのフォームを入力しました、そして私にクリックさせてください ログイン ボタン。ボタンをクリックします…ロード中です…そして、このようなグーグル検索エンジンのメインページを取得しました。
PS:被害者がクリックすると ログイン ボタンをクリックすると、認証情報がリスナーマシンに送信され、ログに記録されます。
何も起こっていない、私は彼に言います、 ログイン ボタンはまだありますが、ログインに失敗しました。そして、この愚かな別の友人が私たちのところにやってくる間、私は再びフィッシングページを開いています。いや、別の犠牲者が出た。
話を切るまで、机に戻ってSETのログを確認します。そして、ここで私たちは得ました、
ゴッチャ…私はあなたをpwnd !!!
結論は
ストーリーテリングが苦手です( それがポイントです )、これまでの攻撃を要約すると、手順は次のとおりです。
- 開ける 「setoolkit」
- 選ぶ 1)ソーシャルエンジニアリング攻撃
- 選ぶ 2)ウェブサイト攻撃ベクトル
- 選ぶ 3)クレデンシャルハーベスター攻撃方法
- 選ぶ 1)Webテンプレート
- 入力します IPアドレス
- 選ぶ グーグル
- ハッピーハンティング^ _ ^