Boîte à outils d'ingénierie sociale Kali Linux

Les humains sont les meilleures ressources et points finaux des vulnérabilités de sécurité de tous les temps. L'ingénierie sociale est une sorte d'attaque ciblant le comportement humain en manipulant et en jouant avec leur confiance, dans le but d'obtenir des informations confidentielles, telles que le compte bancaire, les médias sociaux, le courrier électronique, même l'accès à l'ordinateur cible. Aucun système n'est sûr, car le système est fabriqué par les humains.Le vecteur d'attaque le plus courant utilisant des attaques d'ingénierie sociale est la propagation du phishing par le spam de messagerie. Ils ciblent une victime qui a un compte financier tel que les informations bancaires ou de carte de crédit.

Les attaques d'ingénierie sociale ne pénètrent pas directement dans un système, mais utilisent plutôt l'interaction sociale humaine et l'attaquant traite directement avec la victime.

Vous souvenez-vous Kevin Mitnick? La légende de l'ingénierie sociale de l'ancienne époque. Dans la plupart de ses méthodes d'attaque, il avait l'habitude de croire aux victimes de croire qu'il détient l'autorité du système. Vous avez peut-être vu sa vidéo de démonstration d'attaque de l'ingénierie sociale sur YouTube. Regarde ça!

Dans cet article, je vais vous montrer le scénario simple de la façon de mettre en œuvre l'attaque d'ingénierie sociale dans la vie quotidienne. C'est si facile, suivez soigneusement le tutoriel. Je vais expliquer clairement le scénario.

Attaque d'ingénierie sociale pour obtenir un accès par e-mail

But: Obtenir des informations de compte d'identification par e-mail

Attaquant: Moi

Cible: Mon ami. (Vraiment? Oui)

Appareil: Ordinateur ou ordinateur portable exécutant Kali Linux. Et mon téléphone portable!

Environnement: Bureau (au travail)

Outil: Boîte à outils d'ingénierie sociale (set)

Donc, sur la base du scénario ci-dessus, vous pouvez imaginer que nous n'avons même pas besoin de l'appareil de la victime, j'ai utilisé mon ordinateur portable et mon téléphone. Je n'ai besoin que de sa tête et de sa confiance, et de la stupidité aussi! Parce que, vous savez, la stupidité humaine ne peut pas être corrigée, sérieusement!

Dans ce cas, nous allons d'abord configurer la page de connexion du compte de phishing gmail dans mon Kali Linux et utiliser mon téléphone pour être un périphérique de déclenchement. Pourquoi j'ai utilisé mon téléphone? J'expliquerai ci-dessous, plus tard.

Heureusement, nous n'allons pas installer d'outils, notre machine Kali Linux a un ensemble préinstallé (boîte à outils d'ingénierie sociale), c'est tout ce dont nous avons besoin. Oh ouais, si vous ne savez pas ce qui est défini, je vous donnerai l'arrière-plan sur cette boîte à outils.

Social Engineering Toolkit, est une conception pour effectuer un test de pénétration du côté humain. ENSEMBLE (prochainement) est développé par le fondateur de TrustEdSec (https: // www.TrustEdSec.com / social-ingénieur-toolkit-set /), qui est écrit en python, et c'est open source.

Bien c'était suffisant de faire la pratique. Avant de mener l'attaque d'ingénierie sociale, nous devons d'abord configurer notre page de phising. Ici, je suis assis sur mon bureau, mon ordinateur (exécutant Kali Linux) est connecté à Internet le même réseau Wi-Fi que mon téléphone mobile (j'utilise Android).

ÉTAPE 1. Page de phising de configuration

Setoolkit utilise l'interface de ligne de commande, alors ne vous attendez pas à "clicky clicky" de choses ici. Ouvrez le terminal et le type:

Vous verrez la page de bienvenue en haut et les options d'attaque en bas, vous devriez voir quelque chose comme ça.

Oui, bien sûr, nous allons jouer Attaques d'ingénierie sociale, Alors choisissez le numéro 1 et appuyez sur Entrée.

Et puis vous serez affiché les options suivantes, et choisissez le numéro 2. Vecteurs d'attaque de site Web. Frapper ENTRER.

Ensuite, nous choisissons le numéro 3. Méthode d'attaque de la récolte d'identification. Frapper Entrer.

D'autres options sont plus étroites, SET a une page de phisse pré-format des sites Web populaires, tels que Google, Yahoo, Twitter et Facebook. Choisissez maintenant le numéro 1. Modèles Web.

Parce que, mon PC Kali Linux et mon téléphone portable étaient dans le même réseau Wi-Fi, alors saisissez simplement l'attaquant (mon ordinateur) Adresse IP locale. Et frapper ENTRER.

PS: Pour vérifier l'adresse IP de votre appareil, tapez: 'ifconfig'

D'accord jusqu'à présent, nous avons défini notre méthode et l'adresse IP de l'auditeur. Dans ces options énumérées des modèles de phisse Web prédéfinis comme je l'ai mentionné ci-dessus. Parce que nous avons visé la page du compte Google, nous choisissons donc le numéro 2. Google. Frapper ENTRER.

le

Maintenant, Set démarre mon serveur Web Kali Linux sur le port 80, avec la fausse page de connexion du compte Google. Notre configuration est effectuée. Maintenant, je suis prêt à entrer dans la chambre de mes amis pour me connecter dans cette page de phishing en utilisant mon téléphone mobile.

ÉTAPE 2. Victimes de chasse

La raison pour laquelle j'utilise un téléphone mobile (Android)? Laissez voir comment la page affichée dans mon navigateur Android intégré. Donc, j'accéderai à mon serveur Web Kali Linux sur 192.168.43.99 dans le navigateur. Et voici la page:

Voir? Il a l'air si réel, aucun problème de sécurité ne s'y affiche. La barre d'URL montrant le titre à la place l'url elle-même. Nous savons que le stupide reconnaîtra cela comme la page Google d'origine.

Alors, j'apporte mon téléphone portable, et je entre dans mon ami, et je lui parle comme si je ne me connectais pas à Google et à agir si je me demande si Google s'est écrasé ou erroné. Je donne mon téléphone et lui demande d'essayer de se connecter en utilisant son compte. Il ne croit pas mes paroles et commence immédiatement à taper les informations de son compte comme si rien ne se produirait mal ici. Haha.

Il a déjà tapé tous les formulaires requis et m'a permis de cliquer sur le S'identifier bouton. Je clique sur le bouton… maintenant il se charge… et puis nous avons la page principale de Google Search Engine comme celle-ci.

PS: une fois que la victime clique sur le S'identifier bouton, il enverra les informations d'authentification à notre machine auditeur, et elle est enregistrée.

Rien ne se passe, je lui dis, le S'identifier Le bouton est toujours là, vous n'avez pas vous connecté. Et puis j'ouvre à nouveau la page de phisse, tandis qu'un autre ami de ce stupide vient à nous. Non, nous avons une autre victime.

Jusqu'à ce que je coupe la conversation, puis je retourne à mon bureau et je vérifie le journal de mon ensemble. Et ici nous avons,

GOCCHA… je vous pwnd!!!

En conclusion

Je ne suis pas doué pour raconter des histoires (c'est le but), pour résumer l'attaque jusqu'à présent, les étapes sont:

• Ouvrir 'Setoolkit'
• Choisir 1) Attaques d'ingénierie sociale
• Choisir 2) vecteurs d'attaque de site Web
• Choisir 3) Méthode d'attaque de la moissonneuse-crédits
• Choisir 1) Modèles Web
• Entrée adresse IP
• Choisir Google
• Bonne chasse ^ _ ^