בני אדם הם המשאב הטוב ביותר ונקודת הסיום של פגיעויות האבטחה אי פעם. הנדסה חברתית היא סוג של התקפה המכוונת התנהגות אנושית על ידי מניפולציה ומשחק עם האמון שלהם, במטרה להשיג מידע סודי, כגון חשבון בנק, מדיה חברתית, דוא'ל, ואפילו גישה למחשב היעד. אף מערכת אינה בטוחה מכיוון שהמערכת מיוצרת על ידי בני אדם. וקטור ההתקפה הנפוץ ביותר באמצעות התקפות הנדסה חברתית הוא פיזור דיוג באמצעות דואר זבל בדואר אלקטרוני. הם מכוונים לקורבן שיש לו חשבון פיננסי כגון פרטי בנק או פרטי כרטיס אשראי.
התקפות הנדסה חברתית אינן פורצות ישירות למערכת, במקום זאת היא משתמשת באינטראקציה חברתית אנושית והתוקף מתמודד ישירות עם הקורבן.
האם אתה זוכר קווין מיטניק ? אגדת ההנדסה החברתית של התקופה הישנה. ברוב שיטות ההתקפה שלו, הוא נהג להערים על קורבנות להאמין שהוא מחזיק בסמכות המערכת. אולי ראית את סרטון ההדגמה שלו Social Engineering Attack ב- YouTube. תראה את זה!
בפוסט זה אני הולך להראות לך את התרחיש הפשוט כיצד ליישם התקפת הנדסה חברתית בחיי היומיום. זה כל כך קל, פשוט עקוב אחר ההדרכה בזהירות. אסביר את התרחיש בצורה ברורה.
התקף הנדסה חברתית כדי לקבל גישה לדוא'ל
מטרה : קבלת פרטי חשבון אישורי אימייל
תוֹקֵף : אני
יַעַד : חבר שלי. (באמת כן)
התקן : מחשב או מחשב נייד עם Kali Linux. והטלפון הנייד שלי!
סביבה : משרד (בעבודה)
כְּלִי : ערכת כלים להנדסה חברתית (SET)
אז בהתבסס על התרחיש למעלה אתה יכול לדמיין שאנחנו אפילו לא צריכים את המכשיר של הקורבן, השתמשתי במחשב הנייד ובטלפון שלי. אני צריך רק את הראש שלו ואת האמון שלו, וגם את הטיפשות! כי, אתה יודע, אי אפשר לתקן את הטיפשות האנושית, ברצינות!
במקרה זה תחילה אנו הולכים להגדיר דף התחברות לחשבון Gmail בדיוג ב- Kali Linux שלי, ולהשתמש בטלפון שלי כמכשיר טריגר. למה השתמשתי בטלפון שלי? אסביר בהמשך, בהמשך.
למרבה המזל אנו לא מתקינים כלים, מכונת Kali Linux שלנו מותקנת מראש ב- SET (Social Engineering Toolkit), זה כל מה שאנחנו צריכים. אה כן, אם אתה לא יודע מה זה SET, אני אתן לך את הרקע על ערכת הכלים הזו.
ערכת הכלים להנדסה חברתית, נועדה לבצע בדיקת חדירה בצד האדם. SET ( בְּקָרוּב ) פותח על ידי מייסד TrustedSec ( https://www.trustedsec.com/social-engineer-toolkit-set/ ) , שנכתב ב- Python, והוא קוד פתוח.
בסדר זה הספיק בואו נעשה את התרגול. לפני שנבצע את מתקפת ההנדסה החברתית, עלינו להקים תחילה את דף הפיזינג שלנו. הנה, אני יושב על השולחן שלי, המחשב שלי (עם Kali Linux) מחובר לאינטרנט באותה רשת Wi-Fi כמו הטלפון הנייד שלי (אני משתמש באנדרואיד).
שלב 1. עמוד הגדרת PHISING
Setoolkit משתמשת בממשק שורת הפקודה, אז אל תצפה לדברים 'קליקים-קליקים' כאן. פתח מסוף והקלד:
~# setoolkitאתה תראה את דף הפתיחה למעלה ואת אפשרויות ההתקפה בתחתית, אתה אמור לראות משהו כזה.
כן, כמובן, אנחנו הולכים להופיע התקפות הנדסה חברתית , אז בחר מספר 1 ולחץ ENTER.
ואז יוצגו לך האפשרויות הבאות, ובחר במספר 2. וקטורי התקפת אתרים. מכה להיכנס.
לאחר מכן, אנו בוחרים מספר 3. שיטת התקפת מבצעי אישורים . מכה להיכנס.
אפשרויות נוספות צרות יותר, ל- SET יש דף התחזות מעוצב מראש של אתרים פופולריים, כגון גוגל, יאהו, טוויטר ופייסבוק. כעת בחר מספר 1. תבניות אינטרנט .
כי מחשב ה- Kali Linux שלי והטלפון הנייד שלי היו באותה רשת Wi-Fi, אז פשוט הזן את התוקף ( המחשב שלי ) כתובת IP מקומית. והכה להיכנס.
נ.ב: כדי לבדוק את כתובת ה- IP של המכשיר שלך, הקלד: 'ifconfig'
בסדר עד כה, קבענו את השיטה שלנו ואת כתובת ה- IP של המאזין. באפשרויות אלה מופיעות תבניות פיזינג אינטרנט שהוגדרו מראש כפי שציינתי למעלה. מכיוון שהכוונו לדף חשבון Google, ולכן אנו בוחרים במספר 2. גוגל . מכה להיכנס .
הכעת, SET מפעיל את שרת האינטרנט Kali Linux שלי ביציאה 80, עם דף הכניסה לחשבון Google המזויף. ההתקנה שלנו הסתיימה. עכשיו אני מוכן להיכנס לחדר החברים שלי כדי להיכנס לדף התחזות הזה באמצעות הטלפון הנייד שלי.
שלב 2. רדיפת ציד
הסיבה שאני משתמש בטלפון נייד (אנדרואיד)? בואו לראות כיצד הדף מוצג בדפדפן האנדרואיד המובנה שלי. לכן, אני ניגש לשרת האינטרנט שלי Kali Linux 192.168.43.99 בדפדפן. והנה הדף:
לִרְאוֹת? זה נראה כל כך אמיתי, לא מוצגות בו בעיות אבטחה. סרגל כתובת האתר המציג את הכותרת במקום זאת כתובת האתר עצמה. אנו יודעים שהטיפשים יזהו זאת כדף המקורי של גוגל.
אז, אני מביא את הטלפון הנייד שלי, ונכנס לחבר שלי, ומדבר איתו כאילו לא הצלחתי להיכנס ל- Google ולפעול אם אני תוהה אם Google קרסה או שגה. אני נותן את הטלפון שלי ומבקש ממנו לנסות להיכנס באמצעות החשבון שלו. הוא לא מאמין לדברי שלי ומיד מתחיל להקליד את פרטי החשבון שלו כאילו שום דבר לא יקרה כאן רע. חה חה.
הוא כבר הקליד את כל הטפסים הנדרשים, ונתן לי ללחוץ על להתחבר לַחְצָן. אני לוחץ על הכפתור ... עכשיו הוא נטען ... ואז קיבלנו את דף הראשי של מנוע החיפוש של גוגל כזה.
נ.ב .: ברגע שהקורבן לוחץ על להתחבר כפתור, הוא ישלח את פרטי האימות למכונת המאזינים שלנו והוא נרשם.
שום דבר לא קורה, אני אומר לו, ה להתחבר הכפתור עדיין קיים, אך לא הצלחת להיכנס. ואז אני פותח שוב את הדף המתחזה, בעוד חבר אחר של הטיפש הזה מגיע אלינו. לא, יש לנו קורבן אחר.
עד שאני מנתק את השיחה, אני חוזר לשולחן שלי ובודק את יומן ה- SET שלי. והנה הגענו,
גוצ'צ'ה ... אני מצית אותך !!!
לסיכום
אני לא טוב בסיפור סיפורים ( זו הנקודה ), לסיכום ההתקפה עד כה השלבים הם:
- לִפְתוֹחַ 'setoolkit'
- בחר 1) התקפות הנדסה חברתית
- בחר 2) וקטורים של התקפת אתרים
- בחר 3) שיטת התקפת מבצעי אישורים
- בחר 1) תבניות אינטרנט
- הזן את כתובת ה - IP
- בחר גוגל
- ציד שמח ^_ ^