Люди - лучший ресурс и конечная точка уязвимости системы безопасности. Социальная инженерия - это вид атак, направленных на поведение людей путем манипулирования и игры на их доверии с целью получения конфиденциальной информации, такой как банковский счет, социальные сети, электронная почта и даже доступ к целевому компьютеру. Ни одна система не является безопасной, поскольку она создана людьми. Наиболее распространенным вектором атак с использованием социальной инженерии является распространение фишинга через рассылку спама по электронной почте. Они направлены на жертву, имеющую финансовый счет, например, банковские данные или информацию о кредитной карте.
Атаки социальной инженерии не являются прямым взломом системы, вместо этого они используют социальное взаимодействие между людьми, и атакующий имеет дело непосредственно с жертвой.
Помните ли вы Кевина Митника? Легенду социальной инженерии старой эпохи. В большинстве своих атак он обманывал жертв, заставляя их поверить в то, что он обладает полномочиями в системе. Возможно, вы видели на YouTube демонстрационный ролик его атаки с использованием социальной инженерии. Посмотрите его!
В этой заметке я собираюсь показать вам простой сценарий применения атаки социальной инженерии в повседневной жизни. Это очень просто, просто внимательно следите за инструкцией. Я буду объяснять сценарий наглядно.
Социально-инженерная атака с целью получения доступа к электронной почте
Цель: получение информации об учетной записи электронной почты
Устройство: Компьютер или ноутбук под управлением Kali Linux.
Окружение: Офис
Инструмент: Social Engineering Toolkit (SET)
Итак, исходя из приведенного выше сценария, можно представить, что нам даже не нужно устройство жертвы, я использовал свой ноутбук и телефон. Мне нужна только его голова и доверие, а также глупость! Потому что, знаете ли, человеческую глупость невозможно залатать, серьезно!
В данном случае мы сначала настроим фишинговую страницу входа в аккаунт Gmail в моем Kali Linux, а в качестве устройства запуска будем использовать мой телефон. Почему я использовал телефон? Я объясню ниже, позже.
К счастью, мы не будем устанавливать никаких инструментов, на нашей машине Kali Linux уже предустановлен SET (Social Engineering Toolkit), и это все, что нам нужно. Ах да, если вы не знаете, что такое SET, я расскажу вам об этом наборе инструментов.
Social Engineering Toolkit предназначен для проведения тестов на проникновение на стороне человека. SET (коротко) разработан основателем TrustedSec (https://www.trustedsec.com/social-engineer-toolkit-set/), написан на языке Python и имеет открытый исходный код.
Итак, с этим было достаточно, перейдем к практике. Прежде чем проводить социально-инженерную атаку, нам необходимо настроить нашу фишинговую страницу. Вот я сижу на своем столе, мой компьютер (под управлением Kali Linux) подключен к Интернету через ту же сеть Wi-Fi, что и мой мобильный телефон (я использую Android).
ШАГ 1. Настройка фишинговой страницы
Setoolkit использует интерфейс командной строки. Откройте терминал и введите:
1 | setoolkit |
Вы увидите приветственную страницу вверху и варианты атаки внизу, должно получиться что-то вроде этого.
Да, конечно, мы собираемся проводить атаки социальной инженерии, поэтому выберите номер 1 и нажмите ENTER.
Затем на экране появятся следующие опции, выбираем цифру 2. Векторы атак на веб-сайт. Нажимаем ENTER.
Далее выбираем номер 3. Credential Harvester Attack Method. Нажимаем Enter.
Дальнейшие варианты более узкие, в SET есть заранее отформатированные фишинговые страницы популярных сайтов, таких как Google, Yahoo, Twitter и Facebook. Теперь выбираем номер 1. Веб-шаблоны.
Поскольку компьютер с Kali Linux и мобильный телефон находились в одной сети Wi-Fi, просто введите локальный IP-адрес атакующего (моего компьютера). И нажмите ENTER.
Чтобы проверить IP-адрес вашего устройства, введите: 'ifconfig'.
Итак, мы задали наш метод и IP-адрес слушателя. В этой опции перечислены предопределенные шаблоны веб-фишинга, о которых я говорил выше. Поскольку нашей целью является страница аккаунта Google, выбираем номер 2. Google. Нажимаем ENTER.
Теперь SET запускает мой веб-сервер Kali Linux на порт 80 с поддельной страницей входа в аккаунт Google. Наша настройка завершена. Теперь я готов зайти в комнату своих друзей и войти на эту фишинговую страницу, используя свой мобильный телефон.
ШАГ 2. Охота на жертву
Почему я использую мобильный телефон? Давайте посмотрим, как отображается страница во встроенном браузере android. Итак, я обращаюсь в браузере к своему веб-серверу Kali Linux на 192.168.43.99. И вот страница:
Видите? Она выглядит как настоящая, на ней нет никаких проблем с безопасностью. В строке URL вместо заголовка отображается сам URL. Мы знаем, что глупый человек распознает это как оригинальную страницу Google.
Итак, я беру свой мобильный телефон, захожу к своему другу, разговариваю с ним так, как будто мне не удалось войти в Google, и делаю вид, что мне интересно, не произошел ли сбой или ошибка в Google. Я отдаю свой телефон и прошу его попробовать войти в систему через его аккаунт. Он не верит моим словам и тут же начинает вводить данные своего аккаунта, как будто ничего страшного здесь не произойдет.
Он уже набрал все необходимые формы и разрешил мне нажать кнопку "Войти". Я нажимаю на кнопку... Начинается загрузка... А потом мы получаем вот такую главную страницу поисковой системы Google.
Как только жертва нажимает кнопку "Войти", она отправляет аутентификационную информацию на нашу машину-слушатель, и она регистрируется.
Ничего не происходит, говорю я ему, кнопка "Войти" все еще там, но войти не удалось. И тут я снова открываю фишинговую страницу, а к нам приходит еще один друг. Не, у нас еще одна жертва.
Пока я не прервал разговор, вернулся к своему столу и проверил журнал SET. И вот что получилось:
В заключение
Вкратце суть атаки такова:
- Открываем 'setoolkit'
- Выбрать 1) Атаки социальной инженерии
- Выбрать 2) Векторы атак на веб-сайты
- Выбрать 3) Метод атаки "Harvester Attack"
- Выберите 1) Веб-шаблоны
- Введите IP-адрес
- Выберите Google
- Удачной охоты ^_^