Ang mga tao ay ang pinakamahusay na mapagkukunan at end-point ng mga kahinaan sa seguridad kailanman. Ang Social Engineering ay isang uri ng pag-atake na nagta-target sa pag-uugali ng tao sa pamamagitan ng pagmamanipula at paglalaro ng kanilang tiwala, na may layuning makakuha ng kumpidensyal na impormasyon, tulad ng banking account, social media, email, kahit na pag-access sa target na computer. Walang ligtas na system, dahil ang sistema ay ginawa ng mga tao. Ang pinakakaraniwang vector ng pag-atake na gumagamit ng mga pag-atake sa social engineering ay kumakalat sa phishing sa pamamagitan ng email spamming. Target nila ang isang biktima na mayroong isang account sa pananalapi tulad ng impormasyon sa pagbabangko o credit card.
Ang mga pag-atake sa social engineering ay hindi direktang sumisira sa isang system, sa halip ay gumagamit ito ng pakikipag-ugnay sa panlipunan ng tao at direktang nakikipag-usap ang umaatake sa biktima.
Naaalala mo ba Kevin Mitnick ? Ang alamat ng Social Engineering ng dating panahon. Sa karamihan ng kanyang mga pamamaraan sa pag-atake, ginamit niya upang linlangin ang mga biktima na maniwala na siya ang may hawak ng awtoridad sa system. Maaaring nakita mo ang kanyang demo na video sa Social Engineering Attack sa YouTube. Tingnan mo ito!
Sa post na ito ipapakita ko sa iyo ang simpleng senaryo ng kung paano ipatupad ang Social Engineering Attack sa pang-araw-araw na buhay. Napakadali nito, sundin lamang nang mabuti ang tutorial. Ipapaliwanag ko nang malinaw ang senaryo.
Attack ng Social Engineering upang makakuha ng pag-access sa email
Layunin : Pagkuha ng impormasyon sa kredensyal ng email na account
Attacker : Ako
Target : Aking kaibigan. (Talaga? Oo)
Aparato : Computer o laptop na nagpapatakbo ng Kali Linux. At ang aking mobile phone!
Kapaligiran : Opisina (sa trabaho)
Tool : Social Engineering Toolkit (SET)
Kaya, batay sa senaryo sa itaas maaari mong isipin na hindi namin kailangan ang aparato ng biktima, ginamit ko ang aking laptop at aking telepono. Kailangan ko lang ang kanyang ulo at tiwala, at ang katangahan din! Kasi, alam mo, ang kabobohan ng tao ay hindi mai-patch, seryoso!
Sa kasong ito ay unang i-set up namin ang pahina ng pag-login sa pag-login ng Gmail Account sa aking Kali Linux, at gagamitin ang aking telepono upang maging isang trigger device. Bakit ginamit ko ang aking telepono? Ipapaliwanag ko sa ibaba, mamaya.
Sa kasamaang palad hindi kami mag-i-install ng anumang mga tool, ang aming Kali Linux machine ay may paunang naka-install na SET (Social Engineering Toolkit), Iyon lang ang kailangan namin. Oh yeah, kung hindi mo alam kung ano ang SET, bibigyan kita ng background sa toolkit na ito.
Ang Social Engineering Toolkit, ay dinisenyo upang maisagawa ang penetration test ng panig ng tao. ITAKDA ( sandali ) ay binuo ng nagtatag ng TrustedSec ( https://www.trustedsec.com/social-engineer-toolkit-set/ ) , na nakasulat sa Python, at ito ay bukas na mapagkukunan.
Tama na sapat na gawin natin ang pagsasanay. Bago namin isagawa ang pag-atake sa social engineering, kailangan naming i-set up muna ang aming pahina ng phising. Narito, nakaupo ako sa aking mesa, ang aking computer (tumatakbo sa Kali Linux) ay konektado sa internet ng parehong Wi-Fi network tulad ng aking mobile phone (gumagamit ako ng android).
HAKBANG 1. SETUP PHISING PAGE
Gumagamit ang Setoolkit ng interface ng Command Line, kaya huwag asahan ang 'clicky-clicky' ng mga bagay dito. Buksan ang terminal at uri:
~ # setoolkitMakikita mo ang maligayang pahina sa tuktok at ang mga pagpipilian sa pag-atake sa ibaba, dapat mong makita ang isang bagay tulad nito.
Oo, syempre, gaganap tayo Pag-atake sa Social Engineering , kaya pumili ng numero 1 at pindutin ang ENTER.
At pagkatapos ay ipapakita sa iyo ang mga susunod na pagpipilian, at pumili ng numero 2. Mga Vector ng Pag-atake sa Website. Hit ENTER
Susunod, pipiliin namin ang numero 3. Pamamaraan sa Pag-atake ng Credential Credential . Hit Pasok
Ang mga karagdagang pagpipilian ay mas makitid, ang SET ay may pre-format na phising na pahina ng mga tanyag na website, tulad ng Google, Yahoo, Twitter at Facebook. Pumili ng numero 1. Mga Template sa Web .
Sapagkat, ang aking Kali Linux PC at ang aking mobile phone ay nasa parehong Wi-Fi network, kaya't i-input lamang ang umaatake ( ang aking PC ) lokal na IP address. At tumama ENTER
PS: Upang suriin ang IP address ng iyong aparato, i-type ang: 'ifconfig'
Okay sa ngayon, itinakda namin ang aming pamamaraan at ang nakikinig na IP address. Sa mga pagpipiliang ito nakalista ang paunang natukoy na mga template ng web phising tulad ng nabanggit ko sa itaas. Dahil naglalayon kami ng pahina ng Google account, kaya pumili kami ng numero 2. Google . Hit ENTER .
angNgayon, Itakda ang pagsisimula ng aking Kali Linux Webserver sa port 80, na may pekeng pahina sa pag-login sa Google account. Tapos na ang aming pag-set up. Ngayon handa na akong maglakad papunta sa silid ng aking mga kaibigan upang mag-login sa pahina ng phishing na ito gamit ang aking mobile phone.
HAKBANG 2. HUNTING VICTIMS
Ang dahilan kung bakit gumagamit ako ng mobile phone (android)? Tingnan kung paano ipinakita ang pahina sa aking built-in na android browser. Kaya, ina-access ko ang aking Kali Linux webserver sa 192.168.43.99 sa browser. At narito ang pahina:
Kita mo ba Mukha itong totoong totoo, walang mga isyu sa seguridad na ipinapakita dito. Ipinapakita ng URL bar ang pamagat sa halip na ang URL mismo. Alam naming kikilalanin ito bilang ang orihinal na pahina ng Google.
Kaya, dinadala ko ang aking mobile phone, at lumalakad sa aking kaibigan, at kinakausap siya na para bang nabigo akong mag-login sa Google at kumilos kung iniisip ko kung nag-crash o nagkamali ang Google. Ibinibigay ko ang aking telepono at hilingin sa kanya na subukang mag-login gamit ang kanyang account. Hindi siya naniniwala sa aking mga salita at agad na nagsisimulang mag-type sa impormasyon ng kanyang account na para bang walang mangyayari dito ng masama. Haha.
Na-type na niya ang lahat ng kinakailangang form, at hayaan akong i-click ang Mag-sign in pindutan I-click ang pindutan ... Ngayon Naglo-load na ito ... At pagkatapos nakuha namin ang pangunahing pahina ng search engine ng Google na tulad nito.
PS: Kapag na-click ng biktima ang Mag-sign in pindutan, magpapadala ito ng impormasyon ng pagpapatunay sa aming makina ng tagapakinig, at naka-log ito.
Walang nangyayari, sasabihin ko sa kanya, ang Mag-sign In ang pindutan ay naroon pa rin, nabigo kang mag-login kahit na. At pagkatapos ay binubuksan ko ulit ang pahina ng phising, habang ang isa pang kaibigan ng lokong ito na darating sa amin. Nah, may nabiktima ulit tayo.
Hanggang sa maputol ko ang usapan, pagkatapos ay bumalik ako sa aking mesa at suriin ang log ng aking SET. At dito nakuha,
Goccha ... pwnd kita !!!
Bilang pagtatapos
Hindi ako magaling na magkwento ( iyon ang punto ), upang buuin ang atake hanggang ngayon ang mga hakbang ay:
- Buksan 'setoolkit'
- Pumili ka 1) Mga Pag-atake sa Social Engineering
- Pumili ka 2) Mga Website ng Pag-atake sa Website
- Pumili ka 3) Pamamaraan sa Pag-atake ng Credential Credential
- Pumili ka 1) Mga Template sa Web
- Ipasok ang IP address
- Pumili ka Google
- Maligayang pangangaso ^ _ ^