Kali Linux

Kali Linux Social Engineering Toolkit

Kali Linux Social Engineering Toolkit

Mensen zijn de beste bron en het beste eindpunt van beveiligingsproblemen ooit. Social Engineering is een soort aanval gericht op menselijk gedrag door te manipuleren en te spelen met hun vertrouwen, met als doel vertrouwelijke informatie te verkrijgen, zoals bankrekening, sociale media, e-mail, zelfs toegang tot de doelcomputer.  Geen enkel systeem is veilig, omdat het systeem door mensen is gemaakt.De meest voorkomende aanvalsvector die social engineering-aanvallen gebruikt, is het verspreiden van phishing via e-mailspamming. Ze richten zich op een slachtoffer met een financiële rekening, zoals bank- of creditcardgegevens.

Social engineering-aanvallen breken niet rechtstreeks een systeem binnen, maar maken gebruik van menselijke sociale interactie en de aanvaller handelt rechtstreeks met het slachtoffer.

Weet je nog Kevin Mitnick? De Social Engineering-legende van het oude tijdperk. In de meeste van zijn aanvalsmethoden misleidde hij slachtoffers door te geloven dat hij de systeemautoriteit heeft. Je hebt misschien zijn demovideo over Social Engineering Attack op YouTube gezien. Kijk er naar!

In dit bericht ga ik je het eenvoudige scenario laten zien van hoe je Social Engineering Attack in het dagelijks leven kunt implementeren. Het is zo eenvoudig, volg gewoon de tutorial zorgvuldig. Ik zal het scenario duidelijk uitleggen.

Social Engineering Attack om toegang tot e-mail te krijgen

Doel: accountgegevens voor e-mailreferenties verkrijgen

Aanvaller: Ik

Doelwit: Mijn vriend. (Werkelijk? Ja)

Apparaat: Computer of laptop met Kali Linux. En mijn mobiele telefoon!

Milieu: Kantoor (aan het werk)

Gereedschap: Toolkit voor sociale engineering (SET)

Dus op basis van het bovenstaande scenario kun je je voorstellen dat we het apparaat van het slachtoffer niet eens nodig hebben, ik gebruikte mijn laptop en mijn telefoon. Ik heb alleen zijn hoofd en vertrouwen nodig, en ook domheid! Want, weet je, menselijke domheid kan niet worden gepatcht, serieus!

In dit geval gaan we eerst een phishing Gmail-accountaanmeldingspagina instellen in mijn Kali Linux en mijn telefoon gebruiken als een triggerapparaat. Waarom ik mijn telefoon heb gebruikt? Ik zal het hieronder uitleggen, later.

Gelukkig gaan we geen tools installeren, onze Kali Linux-machine heeft SET (Social Engineering Toolkit) vooraf geïnstalleerd, dat is alles wat we nodig hebben. Oh ja, als je niet weet wat SET is, zal ik je de achtergrond van deze toolkit geven.

Social Engineering Toolkit, is een ontwerp om een ​​penetratietest aan de menselijke kant uit te voeren. INSTELLEN (binnenkort) is ontwikkeld door de oprichter van TrustedSec (https://www.trustsec.com/social-engineer-toolkit-set/), die is geschreven in Python, en het is open source.

Oké, dat was genoeg, laten we oefenen. Voordat we de social engineering-aanval uitvoeren, moeten we eerst onze phishing-pagina instellen. Hier zit ik op mijn bureau, mijn computer (met Kali Linux) is verbonden met internet hetzelfde wifi-netwerk als mijn mobiele telefoon (ik gebruik Android).

STAP 1. PHISING-PAGINA INSTELLEN

Setoolkit gebruikt de Command Line-interface, dus verwacht hier geen 'clicky-clicky' dingen. Open terminal en typ:

~# settoolkit

Je ziet de welkomstpagina bovenaan en de aanvalsopties onderaan, je zou zoiets als dit moeten zien.

Ja, natuurlijk gaan we optreden Social engineering-aanvallen, dus kies nummer 1 en druk op ENTER.

En dan krijg je de volgende opties te zien en kies je nummer 2. Website aanval vectoren. Raken ENTER.

Vervolgens kiezen we nummer 3. Aanvalsmethode voor credential Harvester. Raken Enter.

Verdere opties zijn smaller, SET heeft voorgeformatteerde phishing-pagina's van populaire websites, zoals Google, Yahoo, Twitter en Facebook. Kies nu nummer 1. Websjablonen.

Omdat mijn Kali Linux-pc en mijn mobiele telefoon zich in hetzelfde wifi-netwerk bevonden, dus voer gewoon de aanvaller in (mijn computer) lokaal IP-adres. en slaan ENTER.

PS: Om het IP-adres van uw apparaat te controleren, typt u: 'ifconfig'

Oké tot nu toe, we hebben onze methode en het IP-adres van de luisteraar ingesteld. In deze opties worden vooraf gedefinieerde webphising-sjablonen vermeld, zoals ik hierboven vermeldde. Omdat we de Google-accountpagina hebben gericht, dus we kiezen nummer 2. Google. Raken ENTER.

de

Nu start SET mijn Kali Linux-webserver op poort 80, met de nep-aanmeldingspagina van Google-account. Onze setup is klaar. Nu ben ik klaar om mijn vriendenkamer binnen te lopen om in te loggen op deze phishing-pagina met mijn mobiele telefoon.

STAP 2. SLACHTOFFERS JAGEN

De reden waarom ik een mobiele telefoon gebruik (Android)? Laten we eens kijken hoe de pagina wordt weergegeven in mijn ingebouwde Android-browser. Dus ik heb toegang tot mijn Kali Linux-webserver op 192.168.43.99 in de browser. En hier is de pagina:

Zien? Het ziet er zo echt uit, er worden geen beveiligingsproblemen op weergegeven. De URL-balk met de titel in plaats van de URL zelf. We weten dat domme mensen dit zullen herkennen als de originele Google-pagina.

Dus ik neem mijn mobiele telefoon mee en loop mijn vriend binnen en praat met hem alsof ik niet heb ingelogd bij Google en handel als ik me afvraag of Google is gecrasht of een fout heeft gemaakt. Ik geef mijn telefoon en vraag hem om te proberen in te loggen met zijn account. Hij gelooft mijn woorden niet en begint meteen zijn accountgegevens in te typen alsof hier niets ergs zal gebeuren. Haha.

Hij heeft alle vereiste formulieren al getypt en laat me op de . klikken Log in knop. Ik klik op de knop ... Nu wordt het geladen ... En toen kregen we de hoofdpagina van de Google-zoekmachine zoals deze.

PS: Zodra het slachtoffer op de . klikt Log in knop, het zal de authenticatie-informatie naar onze luisteraarmachine sturen en het wordt gelogd.

Er gebeurt niets, zeg ik hem, de Log in knop is er nog steeds, maar inloggen is niet gelukt. En dan open ik opnieuw de phishing-pagina, terwijl een andere vriend van deze domme naar ons komt. Nee, we hebben weer een slachtoffer.

Totdat ik het gesprek onderbreek, dan ga ik terug naar mijn bureau en controleer het logboek van mijn SET. En hier hebben we,

Goccha... ik pwnd je!!!

Tot slot

Ik ben niet goed in verhalen vertellen (dat is het punt), om de aanval tot nu toe samen te vatten, zijn de stappen:

Muis Hoe Xdotool te gebruiken om muisklikken en toetsaanslagen in Linux te stimuleren
Hoe Xdotool te gebruiken om muisklikken en toetsaanslagen in Linux te stimuleren
Xdotool is een gratis en open source opdrachtregelprogramma voor het simuleren van muisklikken en toetsaanslagen. Dit artikel behandelt een korte hand...
Muis Top 5 ergonomische computermuisproducten voor Linux
Top 5 ergonomische computermuisproducten voor Linux
Veroorzaakt langdurig computergebruik pijn in uw pols of vingers?? Heb je last van stijve gewrichten en moet je constant de hand schudden?? Voelt u ee...
Muis Hoe de muis- en touchpad-instellingen te wijzigen met Xinput in Linux
Hoe de muis- en touchpad-instellingen te wijzigen met Xinput in Linux
De meeste Linux-distributies worden standaard geleverd met de bibliotheek "libinput" om invoergebeurtenissen op een systeem af te handelen. Het kan in...