Kali Linux Social Engineering Toolkit

Menschen sind die beste Ressource und Endpunkt für Sicherheitslücken aller Zeiten. Social Engineering ist eine Art Angriff, das auf menschliches Verhalten abzielt, indem sie mit ihrem Vertrauen manipulieren und spielen, mit dem Ziel, vertrauliche Informationen wie Bankkonto, Social Media, E -Mail und sogar Zugriff auf Zielcomputer zu erhalten. Kein System ist sicher, da das System von Menschen hergestellt wird.Der häufigste Angriffsvektor, der Social Engineering -Angriffe anhand von Social Engineering -Angriffen durch die E -Mail -Spam verbreitet. Sie zielen auf ein Opfer ab, das ein Finanzkonto wie Bank- oder Kreditkarteninformationen hat.

Social Engineering -Angriffe brachen nicht direkt in ein System ein, sondern nutzt die soziale Interaktion des Menschen und der Angreifer befasst sich direkt mit dem Opfer.

Erinnerst du dich Kevin Mitnick? Die Social Engineering -Legende der alten Ära. In den meisten seiner Angriffsmethoden trickte er Opfer dazu, zu glauben, dass er die System Autorität innehatte. Vielleicht haben Sie sein Social Engineering -Angriffs -Demo -Video auf YouTube gesehen. Schau es dir an!

In diesem Beitrag werde ich Ihnen das einfache Szenario zeigen, wie Sie Social Engineering -Angriff im täglichen Leben umsetzen können. Es ist so einfach, folge einfach dem Tutorial sorgfältig mit. Ich werde das Szenario klar erklären.

Social Engineering -Angriff, um E -Mail -Zugang zu erhalten

Ziel: Information von E -Mail -Anmeldeinformationen erhalten

Angreifer: Mich

Ziel: Mein Freund. (Wirklich? Ja)

Gerät: Computer oder Laptop, das Kali Linux ausführt. Und mein Handy!

Umfeld: Büro (bei der Arbeit)

Werkzeug: Social Engineering Toolkit (Set)

Basierend auf dem obigen Szenario können Sie sich vorstellen, dass wir nicht einmal das Gerät des Opfers brauchen. Ich habe meinen Laptop und mein Handy verwendet. Ich brauche nur seinen Kopf und seinen Vertrauen und seine Dummheit auch! Weil, wissen Sie, die menschliche Dummheit kann nicht ernsthaft gepatcht werden!

In diesem Fall werden wir zum ersten Mal die Anmeldeseite des Google Mail -Kontokontos in meinem Kali -Linux einrichten und mit meinem Telefon ein Trigger -Gerät sein. Warum ich mein Telefon benutzt habe? Ich werde später unten erklären.

Glücklicherweise werden wir keine Tools installieren, unser Kali Linux-Computer hat ein vorinstalliertes Set (Social Engineering Toolkit), das ist alles, was wir brauchen. Oh ja, wenn Sie nicht wissen, was Set ist, werde ich Ihnen den Hintergrund zu diesem Toolkit geben.

Social Engineering Toolkit ist Design zur Durchführung von Human-Seite-Penetrationstests. SATZ (in Kürze) wird vom Gründer von TrustedSec entwickelt (https: // www.TrustedSec.com/Social-Engineer-Toolkit-Set/), die in Python geschrieben ist und es ist Open Source.

Okay, das war genug, lass uns die Praxis machen. Bevor wir den Social Engineering -Angriff durchführen, müssen wir zuerst unsere Phising -Seite einrichten. Hier sitze ich auf meinem Schreibtisch, mein Computer (ausführlich Kali Linux) ist mit dem gleichen Wi-Fi-Netzwerk mit dem gleichen Wi-Fi-Netzwerk verbunden wie mein Handy (ich benutze Android).

SCHRITT 1. Phising -Seite einrichten

Setoolkit verwendet die Befehlszeilenschnittstelle. Erwarten Sie also nicht "Clicky-Clicky" von Dingen hier. Öffnen Sie Terminal und Typ:

Sie werden die Begrüßungsseite oben und die Angriffsoptionen unten sehen. Sie sollten so etwas sehen.

Ja, natürlich werden wir auftreten Social Engineering -Angriffe, Wählen Sie also die Nummer 1 und drücken Sie die Eingabetaste.

Und dann werden Sie die nächsten Optionen angezeigt und wählen Sie die Nummer aus 2. Website -Angriffsvektoren. Schlag EINGEBEN.

Als nächstes wählen wir die Nummer 3. Anfristungsangriffsmethode für Anmeldeinformationen. Schlag Eingeben.

Weitere Optionen sind schmaler, SET hat eine vorformatierte Phising-Seite der beliebten Websites, wie Google, Yahoo, Twitter und Facebook. Wählen Sie nun die Nummer 1. Webvorlagen.

Denn mein Kali Linux PC und mein Handy befanden sich im selben Wi-Fi-Netzwerk, geben Sie also einfach den Angreifer ein (mein PC) Lokale IP -Adresse. Und schlagen EINGEBEN.

PS: Um Ihre Geräte -IP -Adresse zu überprüfen, geben Sie: 'ifconfig' ein

In Ordnung, bisher haben wir unsere Methode und die IP -Adresse der Listener festgelegt. In diesen Optionen wurden vordefinierte Web-Phising-Vorlagen aufgeführt, wie ich oben erwähnt habe. Weil wir auf Google -Konto -Seite gerichtet sind, wählen wir die Nummer aus 2. Google. Schlag EINGEBEN.

Die

Jetzt startet Set meinen Kali Linux -Webserver auf Port 80 mit der Fake -Google -Konto -Anmeldeseite. Unser Setup ist abgeschlossen. Jetzt bin ich bereit, in den Raum meines Freundes zu gehen, um mich mit meinem Handy auf diese Phishing -Seite anzumelden.

SCHRITT 2. Jagdopfer

Der Grund, warum ich Mobiltelefon benutze (Android)? Lassen Sie sich ansehen, wie die Seite in meinem integrierten Android-Browser angezeigt wird. Also greife ich auf meinen Kali Linux -Webserver auf 192.168.43.99 im Browser. Und hier ist die Seite:

Sehen? Es sieht so real aus, dass keine Sicherheitsprobleme angezeigt werden. Die URL -Leiste zeigt den Titel stattdessen die URL selbst. Wir wissen, dass der Dumme dies als die ursprüngliche Google -Seite erkennen wird.

Also bringe ich mein Handy mit und gehe in meinen Freund und spreche mit ihm, als ob ich mich nicht bei Google anmelden und handeln würde, wenn ich mich frage, ob Google abstürzt oder fehlerhaft ist. Ich gebe mein Telefon und bitte ihn, sich mit seinem Konto anzumelden. Er glaubt meinen Worten nicht und beginnt sofort seine Kontoinformationen einzuschreiben, als ob hier nichts schlecht passieren wird. Haha.

Er tippte bereits alle erforderlichen Formulare ein und ließ mich auf die Klicken auf die erforderlichen Formulare haben anmelden Taste. Ich klicke auf die Schaltfläche… jetzt laden es… und dann haben wir die Hauptseite der Google -Suchmaschinen wie diese erhalten.

PS: Sobald das Opfer auf das klickt anmelden Die Schaltfläche sendet die Authentifizierungsinformationen an unseren Listener -Computer und ist protokolliert.

Nichts passiert, sage ich ihm, die Anmelden Die Taste ist immer noch da, Sie haben sich jedoch nicht angemeldet. Und dann öffne ich wieder die Phising -Seite, während ein anderer Freund dieses Dummen zu uns kommt. Nein, wir haben ein anderes Opfer.

Bis ich das Gespräch geschnitten habe, gehe ich zurück zu meinem Schreibtisch und überprüfe das Protokoll meines Sets. Und hier haben wir,

Goccha ... ich habe dich geplagt!!!

Abschließend

Ich bin nicht gut im Geschichtenerzählen (das ist der Punkt), um den bisherigen Angriff zusammenzufassen, sind die Schritte:

• Offen "setoolkit"
• Wählen 1) Social Engineering -Angriffe
• Wählen 2) Website -Angriffsvektoren
• Wählen 3) Methode für Anmeldeinformationen Harvester Angriff
• Wählen 1) Webvorlagen
• Eingeben die IP Adresse
• Wählen Google
• Glückliche Jagd ^_ ^