Les attaques d'ingénierie sociale (du point de vue du piratage) sont assez similaires à l'exécution d'un spectacle magique. La différence est que, dans les attaques d'ingénierie sociale, c'est une astuce magique où le résultat est un compte bancaire, des médias sociaux, un e-mail, même un accès à un ordinateur cible. Qui a créé le système? UN HUMAIN. Faire une attaque d'ingénierie sociale est facile, croyez-moi, c'est vraiment facile. Aucun système n'est sûr. Les humains sont la meilleure ressource et le point final des vulnérabilités de sécurité.
Dans le dernier article, j'ai fait une démo de ciblage du compte Google, Kali Linux: Social Engineering Toolkit, c'est une autre leçon pour vous.
Avons-nous besoin d'un certain système d'exploitation de test de pénétration pour effectuer une attaque d'ingénierie sociale? En fait, non, l'attaque d'ingénierie sociale est flexible, les outils, tels que Kali Linux, ne sont que des outils. Le point principal de l'attaque d'ingénierie sociale consiste à «concevoir le flux d'attaque».
Dans le dernier article d'attaque d'ingénierie sociale, nous avons appris l'attaque d'ingénierie sociale en utilisant la «confiance». Et dans cet article, nous apprendrons «l'attention». J'ai obtenu cette leçon d'un «roi de voleurs» Apollo Robbins. Son parcours est un magicien qualifié, Magicien de rue. Vous pourriez voir son émission sur YouTube. Il a expliqué une fois dans une conversation TED, sur la façon de voler des choses. Sa capacité est principalement, en jouant avec l'attention de la victime à voler leurs affaires, des montres, un portefeuille, de l'argent, une carte, tout ce qui est dans la poche des victimes, sans reconnaissance. Je vais vous montrer comment mener une attaque d'ingénierie sociale pour pirater le compte Facebook de quelqu'un en utilisant «confiance» et «attention». La clé de «l'attention» est de continuer à parler rapidement et de poser des questions. Vous êtes le pilote de la conversation.
Salut, je suis bimando, l'auteur de cet article. Si vous aimez cet article, veuillez consulter l'achat de mon livre Practical Ethical Hacking: pour les testeurs de pénétration avec Kali Linux. J'ai travaillé dur dessus avec l'équipe d'insouvrants Linux pour produire un produit de haute qualité, je sais que vous l'aimerez et apprenez beaucoup.
Le scénario d'attaque d'ingénierie sociale
Ce scénario implique 2 acteurs, John en tant qu'attaquant et Bima en tant que victime. John définira Bima comme cible. L'objectif de l'attaque d'ingénierie sociale ici est, pour avoir accès au compte Facebook de la victime. Le flux d'attaque utilisera une approche et une méthode différente. John et Bima sont amis, ils se rencontrent souvent à la cantine à l'heure du déjeuner pendant le repos dans leur bureau. John et Bima travaillent dans différents départements, la seule occasion qu'ils rencontrent est lorsqu'ils déjeuner à la cantine. Ils se rencontrent souvent et se parlent jusqu'à présent, ils sont des amis.
Un jour, John «Bad Guy», est déterminé à pratiquer l'attaque d'ingénierie sociale en utilisant le jeu «ATTENTION», que j'ai mentionné plus tôt, il s'est inspiré par «le roi des voleurs» Apollo Robbins. Dans l'une de ses présentations, Robbins a dit que nous avons deux yeux, mais notre cerveau ne peut se concentrer que sur une chose. Nous pouvons faire du multitâche, mais il ne fait pas les différentes tâches ensemble en même temps, mais nous passons simplement notre attention à chaque tâche.
Au début de la journée, lundi, dans le bureau, comme d'habitude, John est dans sa chambre en train de se rendre à son bureau. Il prévoit d'obtenir la stratégie pour pirater le compte Facebook de son ami. Il devrait être prêt avant le déjeuner. Il pense et se demande en étant assis à son bureau.
Puis il prend une feuille de papier, se trouve sur sa chaise, qui fait face à son ordinateur. Il visite la page Facebook pour trouver un moyen de pirater le compte de quelqu'un.
Étape 1: Trouvez la fenêtre du démarreur A.k.un trou
Sur le journal à l'écran, il remarque un lien nommé «Compte Forgotten», Ici John utilisera le bénéfice de «compte oublié (Récupération de mot de passe) »fonctionnalité. Facebook a déjà servi notre fenêtre de démarrage à: «https: // www.Facebook.com / connexion / identifier?ctx = récupérer ".
La page devrait ressembler à ceci:
Sur le terrain "Trouvez votre compte"Section, il y a une phrase qui dit:"Veuillez saisir votre adresse e-mail ou votre numéro de téléphone pour rechercher votre compte". De là, nous obtenons un autre ensemble de fenêtres: l'adresse e-mail fait référence à «Compte email" Et le numéro de téléphone fait référence à «Mobile Téléphone". Ainsi, John a une hypothèse selon laquelle, s'il avait le compte de messagerie ou le téléphone portable de la victime, il aura accès au compte Facebook de la victime.
Étape 2: Remplissez le formulaire pour identifier le compte
D'accord, à partir d'ici John commence à réfléchir profondément. Il ne sait pas quelle est l'adresse e-mail de Bima, mais il a enregistré le numéro de téléphone de Bima sur son téléphone portable. Il attrape ensuite son téléphone et cherche le numéro de téléphone de Bima. Et là il va, il l'a trouvé. Il commence à taper le numéro de téléphone de Bima dans ce champ. Après cela, il appuie sur le bouton «Rechercher». L'image doit ressembler à ceci:
Il l'a obtenu, il a découvert que le numéro de téléphone de Bima est connecté à son compte Facebook. De là, il tient juste et n'appuie pas le Continuer bouton. Pour l'instant, il s'est assuré que ce numéro de téléphone est connecté au compte Facebook de la victime, ce qui se rapproche de son hypothèse.
Ce que John a réellement fait, c'est de la reconnaissance ou de la collecte d'informations sur la victime. De là, John a suffisamment d'informations et est prêt à exécuter. Mais, John rencontrera Bima dans la cantine, il est impossible pour John d'apporter son ordinateur, à droite? Pas de problème, il a une solution pratique, qui est son propre téléphone portable. Alors, avant de rencontrer Bima, il répète le ÉTAPE 1 et 2 sur le navigateur Chrome dans son téléphone mobile Android. Cela ressemblerait à ceci:
Étape 3: Rencontrez la victime
Très bien, maintenant tout est configuré et prêt. Tout ce que John doit faire est de saisir le téléphone de Bima, cliquez Continuer Le bouton de son téléphone, lisez le message de boîte de réception SMS envoyé par Facebook (le code de réinitialisation) sur le téléphone de Bima, n'oubliez pas et supprimez le message en une seule fraction de temps, rapidement.
Ce plan se tient dans sa tête pendant qu'il se rend maintenant à la cantine. John a mis son téléphone dans sa poche. Il est entré dans la zone de la cantine, à la recherche de Bima. Il tourna la tête à gauche à droite pour déterminer où est le bima. Comme d'habitude, il est dans le siège d'angle, agitant sa main à John, il était prêt avec son repas.
Immédiatement, John prend une petite partie du repas à midi et se rapproche de la table avec Bima. Il dit bonjour à Bima, puis ils mangent ensemble. En mangeant, John regarde autour de lui, il remarque que le téléphone de Bima est sur la table.
Après avoir fini le déjeuner, ils parlent de tous les jours. Comme d'habitude, jusqu'à ce que, à un moment, John ouvre un nouveau sujet sur les téléphones. John lui dit que John a besoin d'un nouveau téléphone, et John a besoin de ses conseils sur le téléphone adapté à John. Puis il a posé des questions sur le téléphone de Bima, il a tout demandé, le modèle, les spécifications, tout. Et puis John lui demande d'essayer son téléphone, John agit comme s'il était vraiment un client à la recherche d'un téléphone. La main gauche de John attrape son téléphone avec sa permission, tandis que sa main droite est sous la table, se préparant à ouvrir son propre téléphone. John met son attention sur sa main gauche, son téléphone, John a tellement parlé de son téléphone, de son poids, de sa vitesse, etc.
Maintenant, John commence l'attaque en éteignant le volume de la sonnerie du téléphone de Bima à zéro, pour l'empêcher de reconnaître si une nouvelle notification arrive. La main gauche de John a toujours son attention, tandis que sa main droite presse en fait le Continuer bouton. Dès que John a appuyé sur le bouton, le message arrive.
Ding… pas de sons. Bima n'a pas reconnu le message entrant car le moniteur fait face à John. John ouvre immédiatement le message, lit et se souvient du Pin à 6 chiffres dans le SMS, puis le supprime bientôt. Maintenant, il a fini avec le téléphone de Bima, John lui rend le téléphone de Bima tandis que la main droite de John sort son propre téléphone et commence à taper immédiatement le Pin à 6 chiffres Il vient de se souvenir.
Puis John presse Continuer. La nouvelle page apparaît, il a demandé s'il voulait faire un nouveau mot de passe ou non.
John ne changera pas le mot de passe parce qu'il n'est pas mauvais. Mais, il a maintenant le compte Facebook de Bima. Et il a réussi avec sa mission.
Comme vous pouvez le voir, le scénario semble si simple, mais bon, avec quelle facilité vous pouvez saisir et emprunter le téléphone de vos amis? Si vous êtes en corrélation avec l'hypothèse en ayant le téléphone de vos amis, vous pouvez obtenir ce que vous voulez, mal.