มนุษย์เป็นทรัพยากรที่ดีที่สุดและเป็นจุดสิ้นสุดของช่องโหว่ด้านความปลอดภัยที่เคยมีมา วิศวกรรมสังคมเป็นการโจมตีประเภทหนึ่งที่มุ่งเป้าไปที่พฤติกรรมของมนุษย์โดยการจัดการและเล่นกับความไว้วางใจของพวกเขา โดยมีเป้าหมายเพื่อให้ได้ข้อมูลที่เป็นความลับ เช่น บัญชีธนาคาร โซเชียลมีเดีย อีเมล แม้กระทั่งการเข้าถึงคอมพิวเตอร์เป้าหมาย ไม่มีระบบใดที่ปลอดภัย เพราะระบบนี้สร้างขึ้นโดยมนุษย์ เวกเตอร์การโจมตีที่ใช้บ่อยที่สุดที่ใช้การโจมตีทางวิศวกรรมสังคมคือการแพร่กระจายฟิชชิงผ่านการส่งอีเมลขยะ พวกเขากำหนดเป้าหมายเหยื่อที่มีบัญชีการเงินเช่นข้อมูลธนาคารหรือบัตรเครดิต
การโจมตีแบบวิศวกรรมทางสังคมไม่ได้เจาะระบบโดยตรง แต่เป็นการโต้ตอบทางโซเชียลของมนุษย์และผู้โจมตีกำลังติดต่อกับเหยื่อโดยตรง
คุณจำได้ไหม Kevin Mitnick ? ตำนานวิศวกรรมสังคมแห่งยุคเก่า ในวิธีการโจมตีส่วนใหญ่ เขาเคยหลอกล่อเหยื่อให้เชื่อว่าเขามีอำนาจของระบบ คุณอาจเคยเห็นวิดีโอสาธิต Social Engineering Attack บน YouTube แล้ว ดูมัน!
ในโพสต์นี้ฉันจะแสดงให้คุณเห็นถึงสถานการณ์ง่ายๆ ในการใช้ Social Engineering Attack ในชีวิตประจำวัน มันง่ายมาก เพียงทำตามกวดวิชาอย่างระมัดระวัง ฉันจะอธิบายสถานการณ์ให้ชัดเจน
Social Engineering Attack เพื่อเข้าถึงอีเมล
เป้าหมาย : รับข้อมูลบัญชีอีเมลรับรองความถูกต้อง
ตัวรุก : ผม
เป้า : เพื่อนของฉัน. (จริงเหรอ?)
อุปกรณ์ : คอมพิวเตอร์หรือแล็ปท็อปที่ใช้ Kali Linux และโทรศัพท์มือถือของฉัน!
สิ่งแวดล้อม : สำนักงาน (ที่ทำงาน)
เครื่องมือ : Social Engineering Toolkit (ตลท.)
จากสถานการณ์ข้างต้น คุณสามารถจินตนาการได้ว่าเราไม่ต้องการอุปกรณ์ของเหยื่อด้วยซ้ำ ฉันใช้แล็ปท็อปและโทรศัพท์ของฉัน ฉันต้องการแค่หัวและความไว้วางใจของเขา และความโง่เขลาด้วย! เพราะคุณรู้ว่าความโง่เขลาของมนุษย์ไม่สามารถแก้ไขอย่างจริงจัง!
ในกรณีนี้ ก่อนอื่นเราจะตั้งค่าหน้าเข้าสู่ระบบบัญชี Gmail ฟิชชิ่งใน Kali Linux ของฉัน และใช้โทรศัพท์ของฉันเป็นอุปกรณ์ทริกเกอร์ ทำไมฉันถึงใช้โทรศัพท์ของฉัน ฉันจะอธิบายด้านล่างในภายหลัง
โชคดีที่เราจะไม่ติดตั้งเครื่องมือใดๆ เครื่อง Kali Linux ของเราได้ติดตั้ง SET (Social Engineering Toolkit) ไว้ล่วงหน้าแล้ว นั่นคือทั้งหมดที่เราต้องการ ใช่ ถ้าคุณไม่รู้ว่า SET คืออะไร ฉันจะให้ข้อมูลพื้นฐานเกี่ยวกับชุดเครื่องมือนี้แก่คุณ
Social Engineering Toolkit ออกแบบมาเพื่อทำการทดสอบการเจาะฝั่งมนุษย์ ชุด ( ไม่นาน ) ได้รับการพัฒนาโดยผู้ก่อตั้ง TrustedSec ( https://www.trustedsec.com/social-engineer-toolkit-set/ ) ซึ่งเขียนด้วยภาษา Python และเป็นโอเพ่นซอร์ส
เอาล่ะ ก็พอแล้ว เรามาฝึกกัน ก่อนที่เราจะโจมตีแบบวิศวกรรมสังคม เราต้องตั้งค่าหน้าฟิชชิ่งก่อน ที่นี่ ฉันกำลังนั่งอยู่บนโต๊ะทำงาน คอมพิวเตอร์ของฉัน (ใช้งาน Kali Linux) เชื่อมต่อกับอินเทอร์เน็ตในเครือข่าย Wi-Fi เดียวกันกับโทรศัพท์มือถือของฉัน (ฉันใช้ Android)
ขั้นตอนที่ 1. ตั้งค่าหน้าฟิชชิ่ง
Setoolkit ใช้อินเทอร์เฟซ Command Line ดังนั้นอย่าคาดหวัง 'clicky-clicky' ของที่นี่ เปิดเทอร์มินัลแล้วพิมพ์:
~# settoolkitคุณจะเห็นหน้าต้อนรับที่ด้านบนและตัวเลือกการโจมตีที่ด้านล่าง คุณควรเห็นสิ่งนี้
ใช่ แน่นอน เรากำลังจะทำการแสดง การโจมตีทางวิศวกรรมสังคม ดังนั้นเลือกหมายเลข 1 และกด ENTER
จากนั้นคุณจะเห็นตัวเลือกถัดไปและเลือกหมายเลข 2. เวกเตอร์การโจมตีเว็บไซต์ ตี เข้าสู่.
ต่อไปเราเลือกหมายเลข 3. วิธีโจมตีของผู้เก็บเกี่ยวหนังสือรับรอง . ตี เข้า.
ตัวเลือกเพิ่มเติมนั้นแคบลง ตลท. มีหน้าฟิชชิ่งที่จัดรูปแบบไว้ล่วงหน้าของเว็บไซต์ยอดนิยม เช่น Google, Yahoo, Twitter และ Facebook ตอนนี้เลือกหมายเลข 1. เทมเพลตเว็บ .
เพราะ Kali Linux PC และโทรศัพท์มือถือของฉันอยู่ในเครือข่าย Wi-Fi เดียวกัน ดังนั้นเพียงแค่ป้อนผู้โจมตี ( พีซีของฉัน ) ที่อยู่ IP ท้องถิ่น และตี เข้าสู่.
PS: หากต้องการตรวจสอบที่อยู่ IP ของอุปกรณ์ ให้พิมพ์: 'ifconfig'
เอาล่ะ เราได้ตั้งค่าวิธีการและที่อยู่ IP ของผู้ฟังแล้ว ในตัวเลือกนี้แสดงรายการเทมเพลตฟิชชิ่งเว็บที่กำหนดไว้ล่วงหน้าดังที่ฉันได้กล่าวไว้ข้างต้น เพราะเรามุ่งเป้าไปที่หน้าบัญชี Google ดังนั้นเราจึงเลือกหมายเลข 2. Google . ตี เข้าสู่ .
NSตอนนี้ SET เริ่ม Kali Linux Webserver ของฉันที่พอร์ต 80 ด้วยหน้าเข้าสู่ระบบบัญชี Google ปลอม การตั้งค่าของเราเสร็จสิ้น ตอนนี้ฉันพร้อมที่จะเดินเข้าไปในห้องเพื่อนเพื่อลงชื่อเข้าใช้หน้าฟิชชิ่งนี้โดยใช้โทรศัพท์มือถือของฉัน
ขั้นตอนที่ 2. ล่าเหยื่อ
เหตุผลที่ฉันใช้โทรศัพท์มือถือ (Android)? มาดูกันว่าหน้าแสดงในเบราว์เซอร์ Android ในตัวของฉันอย่างไร ฉันกำลังเข้าถึงเว็บเซิร์ฟเวอร์ Kali Linux บน 192.168.43.99 ในเบราว์เซอร์ และนี่คือหน้า:
ดู? ดูเหมือนจริงมาก ไม่มีปัญหาด้านความปลอดภัยปรากฏขึ้น แถบ URL ที่แสดงชื่อแทนตัว URL เรารู้ว่าคนโง่จะรับรู้ว่านี่เป็นหน้า Google ดั้งเดิม
ดังนั้นฉันจึงนำโทรศัพท์มือถือของฉันและเดินเข้าไปหาเพื่อนของฉันและพูดคุยกับเขาราวกับว่าฉันเข้าสู่ระบบ Google ไม่สำเร็จและดำเนินการหากฉันสงสัยว่า Google ขัดข้องหรือผิดพลาดหรือไม่ ฉันให้โทรศัพท์ของฉันและขอให้เขาพยายามเข้าสู่ระบบโดยใช้บัญชีของเขา เขาไม่เชื่อคำพูดของฉันและเริ่มพิมพ์ข้อมูลบัญชีของเขาทันทีราวกับว่าจะไม่มีอะไรเกิดขึ้นที่นี่ ฮ่าๆๆ
เขาพิมพ์แบบฟอร์มที่จำเป็นทั้งหมดแล้วและให้ฉันคลิก เข้าสู่ระบบ ปุ่ม. ฉันคลิกปุ่ม… ตอนนี้กำลังโหลด… แล้วเราก็ได้หน้าหลักของเครื่องมือค้นหาของ Google แบบนี้
PS: เมื่อเหยื่อคลิก เข้าสู่ระบบ ปุ่มจะส่งข้อมูลการรับรองความถูกต้องไปยังเครื่องฟังของเราและจะถูกบันทึกไว้
ไม่มีอะไรเกิดขึ้นฉันบอกเขาว่า เข้าสู่ระบบ ปุ่มยังคงอยู่ แต่คุณไม่สามารถเข้าสู่ระบบได้ แล้วฉันก็เปิดหน้าฟิชชิ่งอีกครั้ง ขณะที่เพื่อนโง่อีกคนก็มาหาเรา ไม่นะ เรามีเหยื่อรายอื่นแล้ว
จนกว่าฉันจะตัดบทฉันก็กลับไปที่โต๊ะทำงานและตรวจสอบบันทึกของตลท. และที่นี่เราได้
ก๊อคชา… ฉันขอตัวนะ!!!
สรุปแล้ว
ฉันเล่าเรื่องไม่เก่ง ( นั่นคือประเด็น ) เพื่อสรุปการโจมตีจนถึงขั้นตอนคือ:
- เปิด 'ชุดเครื่องมือ'
- เลือก 1) การโจมตีทางวิศวกรรมสังคม
- เลือก 2) เวกเตอร์การโจมตีเว็บไซต์
- เลือก 3) วิธีโจมตีของผู้เก็บเกี่ยวหนังสือรับรอง
- เลือก 1) เทมเพลตเว็บ
- ใส่ ที่อยู่ IP
- เลือก Google
- ขอให้สนุกกับการล่าสัตว์ ^_^