Ang mga Social Engineering Attacks (mula sa pananaw sa pag-hack) ay halos kapareho sa pagsasagawa ng isang magic show. Ang pagkakaiba ay, sa Social Engineering Attacks, ito ay isang magic trick kung saan ang resulta ay isang banking account, social media, email, kahit na pag-access sa isang target na computer. Sino ang lumikha ng system? ISANG TAO. Ang paggawa ng Social Engineering Attack ay madali, magtiwala ka sa akin, ito ay talagang madali. Walang ligtas na system. Ang mga tao ay ang pinakamahusay na mapagkukunan at ang end-point ng mga kahinaan sa seguridad kailanman.
Sa huling artikulo, gumawa ako ng isang demo ng pag-target sa Google account, Kali Linux: Social Engineering Toolkit , ito ay isa pang aralin para sa iyo.
Kailangan ba namin ng tiyak na Penetration Testing OS upang makagawa ng Social Engineering Attack? Sa totoo lang hindi, ang Social Engineering Attack ay may kakayahang umangkop, ang mga tool, tulad ng Kali Linux ay mga tool lamang. Ang pangunahing punto ng Social Engineering Attack ay tungkol sa pagdidisenyo ng daloy ng pag-atake.
Sa huling artikulo ng Social Engineering Attack natutunan namin ang Social Engineering Attack gamit ang TRUST. At sa artikulong ito malalaman natin ang tungkol sa ATTENTION. Nakuha ko ang araling ito mula sa isang Hari ng Magnanakaw Apollo Robbins . Ang kanyang background ay dalubhasang salamangkero, salamangkero sa kalye. Maaari mong makita ang kanyang palabas sa YouTube. Minsan ay ipinaliwanag niya sa isang TED Talk, tungkol sa kung paano magnakaw ng mga bagay. Ang kanyang kakayahan ay pangunahin, naglalaro ng pansin ng biktima na pickpocket ang kanilang mga gamit, tulad ng mga relo, pitaka, pera, kard, anuman sa bulsa ng mga biktima, nang walang pagkilala. Ipapakita ko sa iyo kung paano magsagawa ng Social Engineering Attack upang ma-hack ang isang Facebook account ng isang tao gamit ang TRUST at ATTENTION. Ang susi sa ATTENTION ay upang mapanatili ang mabilis na pakikipag-usap, at magtanong. Ikaw ang piloto ng pag-uusap.
Ang Scenario ng Pag-atake ng Social Engineering
Ang senaryong ito ay nagsasangkot ng 2 aktor, si John bilang isang umaatake at si Bima bilang isang biktima. Itatakda ni John si Bima bilang isang target. Ang layunin ng Social Engineering Attack dito ay, upang makakuha ng access sa Facebook account ng biktima. Ang daloy ng pag-atake ay gagamit ng ibang diskarte at pamamaraan. Sina John at Bima ay magkaibigan, madalas silang nagkikita sa canteen sa oras ng tanghalian sa oras ng pahinga sa kanilang tanggapan. Si John at Bima ay nagtatrabaho sa iba't ibang mga kagawaran, ang tanging okasyon lamang na nagkikita sila ay kapag nagtanghalian sila sa canteen. Madalas silang nagkikita at nagkukwentuhan hanggang sa ngayon ay sila ang mag-asawa.
Isang araw, si John bad guy, ay determinadong magsanay ng Social Engineering Attack gamit ang ATTENTION game, na nabanggit ko kanina, napasigla siya ng The King of Th steal Apollo Robbins. Sa isa sa kanyang mga presentasyon, sinabi ni Robbins na, mayroon kaming dalawang mata, ngunit ang ating utak ay nakatuon lamang sa isang bagay. Maaari naming gawin ang multitasking, ngunit hindi nito ginagawa ang magkakaibang mga gawain nang sabay-sabay, sa halip ay mabilis nating maililipat ang ating pansin sa bawat gawain.
Sa simula ng araw, sa Lunes, sa opisina, tulad ng dati ay nasa silid si John na nakaupo sa kanyang mesa. Plano niyang makuha ang diskarte upang ma-hack ang facebook account ng kanyang kaibigan. Dapat ay handa na siya bago tanghalian. Iniisip niya at nagtataka habang nakaupo sa desk niya.
Pagkatapos ay kumuha siya ng isang sheet ng papel, umupo sa kanyang upuan, na nakaharap sa kanyang computer. Bumibisita siya sa pahina ng Facebook upang makahanap ng isang paraan upang ma-hack ang account ng isang tao.
HAKBANG 1: HANAPIN ANG PANIMULANG PANUKALA a.k.a HOLE
Sa screen ng pag-log on, napansin niya ang isang link na pinangalanang nakalimutan na account, Narito gagamitin ni John ang benepisyo ng nakalimutan account ( tampok na pagbawi ng password). Inihatid na ng Facebook ang aming starter window sa: https://www.facebook.com/login/identify?ctx=recover.
Dapat ganito ang pahina:
Sa bukid Hanapin ang iyong account seksyon, mayroong isang pangungusap na nagsasabing, Mangyaring ipasok ang iyong email address o numero ng telepono upang maghanap para sa iyong account . Mula dito makakakuha kami ng isa pang hanay ng mga bintana: ang email address ay tumutukoy Email Account at ang numero ng telepono ay tumutukoy sa Mobile Telepono . Kaya, si John ay may teorya na, kung mayroon siyang email account ng biktima o mobile phone, magkakaroon siya ng pag-access sa Facebook account ng biktima.
HAKBANG 2: PUNAN ANG Pormularyo upang makilala ang account
Okay, mula dito nagsimulang mag-isip ng malalim si John. Hindi niya alam kung ano ang e-mail address ni Bima, ngunit nai-save niya ang numero ng telepono ni Bima sa kanyang mobile phone. Pagkatapos ay kinuha niya ang kanyang telepono, at hinanap ang numero ng telepono ni Bima. At doon siya pumunta, nahanap niya ito. Sinimulan niyang i-type ang numero ng telepono ni Bima sa larangan na iyon. Pagkatapos nito ay pinindot niya ang pindutan ng Paghahanap. Ang imahe ay dapat magmukhang ganito:
Nakuha niya ito, nalaman niya na ang numero ng telepono ni Bima ay konektado sa kanyang Facebook account. Mula dito, hawak lang niya, at hindi pinindot ang Magpatuloy pindutan Sa ngayon, tinitiyak lamang niya na ang numero ng telepono na ito ay konektado sa Facebook account ng biktima, kaya't malapit iyon sa kanyang teorya.
Ang talagang ginawa ni John, ay ang paggawa ng reconnaissance, o Information Gathering sa biktima. Mula dito si John ay may sapat na impormasyon, at handa nang ipatupad. Ngunit, makikilala ni John si Bima sa canteen, imposibleng dalhin ni John ang kanyang computer, tama ba? Walang problema, mayroon siyang madaling gamiting solusyon, na kung saan ay ang kanyang sariling mobile phone. Kaya, bago niya makilala si Bima, inuulit niya ang HAKBANG 1 at 2 sa Chrome browser sa kanyang Android mobile phone. Ito ay magiging ganito:
HAKBANG 3: MAKITA ANG BIKTIMA
Sige, ngayon lahat ay naka-set up at handa na. Ang kailangan lang gawin ni John ay grab ang telepono ni Bima, i-click ang Magpatuloy pindutan sa kanyang telepono, basahin ang mensahe ng inbox ng SMS na ipinadala ng Facebook (ang reset code) sa telepono ni Bima, alalahanin ito at tanggalin ang mensahe sa isang solong bahagi ng oras, nang mabilis.
Ang plano na ito ay dumidikit sa kanyang ulo habang naglalakad siya ngayon sa canteen. Inilagay ni John ang kanyang telepono sa kanyang bulsa. Pumasok siya sa canteen area, hinahanap si Bima. Iniliko niya ang kanyang ulo pakaliwa patungo sa kanang pag-uunawa kung nasaan si Bima. Tulad ng dati ay nasa upuang sulok siya, kinakaway ang kamay kay John, handa na siya sa kanyang pagkain.
Agad na kumukuha si John ng isang maliit na bahagi ng pagkain kaninang tanghali, at malapit sa mesa kasama si Bima. Sinabi niya na hi kay Bima, at pagkatapos ay sabay silang kumakain. Habang kumakain, lumilingon si John, napansin niyang nasa mesa ang telepono ni Bima.
Matapos nilang matapos ang tanghalian, pinag-uusapan nila ang bawat isa araw. Tulad ng dati, hanggang, pagkatapos, sa isang punto ay nagbukas si John ng isang bagong paksa tungkol sa mga telepono. Sinabi sa kanya ni John, na kailangan ni John ng isang bagong telepono, at kailangan ni John ang kanyang payo tungkol sa kung aling telepono ang angkop para kay John. Pagkatapos ay tinanong niya ang tungkol sa telepono ni Bima, tinanong niya ang lahat, ang modelo, ang mga detalye, lahat. At pagkatapos ay hiniling siya ni John na subukan ang kanyang telepono, kumikilos si John na talagang isang customer siyang naghahanap ng isang telepono. Kinuha ng kaliwang kamay ni John ang kanyang telepono sa kanyang pahintulot, habang ang kanyang kanang kamay ay nasa ilalim ng mesa, naghahanda na buksan ang kanyang sariling telepono. Itinuon ni John ang kanyang atensyon sa kanyang kaliwang kamay, ang kanyang telepono, labis na pinag-usapan ni John ang tungkol sa kanyang telepono, ang bigat, ang bilis nito at iba pa.
Ngayon, sinimulan ni John ang Attack sa pamamagitan ng pag-off sa dami ng tono ng ring ng telepono ni Bima sa zero, upang pigilan siyang makilala kung may papasok na bagong abiso. Ang kaliwang kamay ni John ay mayroon pa ring pansin, habang ang kanyang kanang kamay ay talagang pinindot ang Magpatuloy pindutan Sa sandaling pinindot ni John ang pindutan, ang mensahe ay papasok.
Ding .. Walang tunog. Hindi nakilala ni Bima ang papasok na mensahe dahil nakaharap ang monitor kay John. Agad na binuksan ni Juan ang mensahe, binabasa at naalala ang 6 Digit Pin sa SMS, at pagkatapos ay tatanggalin ito sa lalong madaling panahon. Tapos na siya sa telepono ni Bima, ibinalik sa kanya ni John ang telepono ni Bima habang ang kanang kamay ni John ay naglalabas ng kanyang sariling telepono at nagsimulang mag-type kaagad ng 6 Digit Pin naalala lang niya.
Pagkatapos ay pinindot ni John Magpatuloy Lumilitaw ang bagong pahina, tinanong nito kung nais niyang gumawa ng bagong password o hindi.
Hindi babaguhin ni John ang password dahil hindi siya masasama. Ngunit, mayroon na siyang Facebook account ni Bima. At nagtagumpay siya sa kanyang misyon.
Tulad ng nakikita mo, ang senaryo ay tila napakasimple, ngunit hey, kung gaano ka kadali makakakuha at makahiram ng telepono ng iyong mga kaibigan? Kung naiugnay mo ang teorya sa pamamagitan ng pagkakaroon ng telepono ng iyong mga kaibigan maaari kang makakuha ng anumang nais mo, masama.