Kali Linux

Kali Linux Social Engineering-Toolkit

Kali Linux Social Engineering-Toolkit

Menschen sind die beste Ressource und der beste Endpunkt von Sicherheitslücken, die es je gab. Social Engineering ist eine Art Angriff, der auf menschliches Verhalten abzielt, indem sein Vertrauen manipuliert und mit ihm gespielt wird, mit dem Ziel, vertrauliche Informationen wie Bankkonto, soziale Medien, E-Mail und sogar Zugang zum Zielcomputer zu erhalten.  Kein System ist sicher, denn das System wird von Menschen gemacht.Der häufigste Angriffsvektor mit Social-Engineering-Angriffen ist die Verbreitung von Phishing durch E-Mail-Spamming. Sie zielen auf ein Opfer ab, das über ein Finanzkonto wie Bank- oder Kreditkarteninformationen verfügt.

Social-Engineering-Angriffe brechen nicht direkt in ein System ein, sondern nutzen menschliche soziale Interaktion und der Angreifer hat es direkt mit dem Opfer zu tun.

Erinnerst du dich Kevin Mitnick? Die Social-Engineering-Legende der alten Ära. Bei den meisten seiner Angriffsmethoden täuschte er den Opfern vor, dass er die Systemautorität besitzt. Vielleicht haben Sie sein Demo-Video zu Social Engineering Attack auf YouTube gesehen. Schau es dir an!

In diesem Beitrag zeige ich Ihnen das einfache Szenario, wie Sie Social Engineering Attack im täglichen Leben implementieren können. Es ist so einfach, folgen Sie einfach dem Tutorial sorgfältig. Ich werde das Szenario klar erklären.

Social-Engineering-Angriff, um E-Mail-Zugang zu erhalten

Tor: Abrufen von Kontoinformationen für E-Mail-Anmeldeinformationen

Angreifer: Mich

Ziel: Mein Freund. (Ja wirklich? Ja)

Gerät: Computer oder Laptop mit Kali Linux. Und mein Handy!

Umgebung: Büro (bei der Arbeit)

Werkzeug: Social-Engineering-Toolkit (SET)

Basierend auf dem obigen Szenario können Sie sich also vorstellen, dass wir nicht einmal das Gerät des Opfers brauchen, ich habe meinen Laptop und mein Telefon verwendet. Ich brauche nur seinen Kopf und sein Vertrauen und auch Dummheit! Denn, weißt du, menschliche Dummheit lässt sich nicht flicken, im Ernst!

In diesem Fall werden wir zuerst die Phishing-Gmail-Konto-Anmeldeseite in meinem Kali Linux einrichten und mein Telefon als Triggergerät verwenden. Warum ich mein Telefon benutzt habe? Ich werde es unten erklären, später.

Zum Glück werden wir keine Tools installieren, unser Kali Linux-Rechner hat SET (Social Engineering Toolkit) vorinstalliert. Das ist alles was wir brauchen. Oh ja, wenn Sie nicht wissen, was SET ist, gebe ich Ihnen den Hintergrund zu diesem Toolkit.

Das Social Engineering Toolkit wurde entwickelt, um Penetrationstests auf der menschlichen Seite durchzuführen. EINSTELLEN (in Kürze) wird vom Gründer von TrustedSec entwickelt developed (https://www.Trustedsec.com/social-engineer-toolkit-set/), die in Python geschrieben ist und Open Source ist.

Okay das war genug lass uns die Praxis machen. Bevor wir den Social-Engineering-Angriff durchführen, müssen wir zuerst unsere Phishing-Seite einrichten. Hier sitze ich auf meinem Schreibtisch, mein Computer (mit Kali Linux) ist mit dem Internet verbunden, das gleiche Wi-Fi-Netzwerk wie mein Handy (ich benutze Android).

SCHRITT 1. PHISING-SEITE EINRICHTEN

Setoolkit verwendet die Befehlszeilenschnittstelle, also erwarten Sie hier kein "clicky-clicky". Öffnen Sie das Terminal und geben Sie Folgendes ein:

~# Setoolkit

Sie sehen oben die Willkommensseite und unten die Angriffsoptionen, Sie sollten in etwa so aussehen.

Ja, natürlich werden wir auftreten Social-Engineering-Angriffe, also wähle nummer 1 und drücke ENTER.

Und dann werden Ihnen die nächsten Optionen angezeigt und wählen Sie die Nummer 2. Website-Angriffsvektoren. Schlagen EINGEBEN.

Als nächstes wählen wir Nummer 3. Credential Harvester-Angriffsmethode. Schlagen Eingeben.

Weitere Optionen sind enger, SET hat vorformatierte Phising-Seiten beliebter Websites wie Google, Yahoo, Twitter und Facebook. Jetzt Nummer wählen 1. Webvorlagen.

Da sich mein Kali Linux PC und mein Handy im selben WLAN befanden, geben Sie einfach den Angreifer ein (mein PC) lokale IP-Adresse. Und schlage EINGEBEN.

PS: Um die IP-Adresse Ihres Geräts zu überprüfen, geben Sie Folgendes ein: 'ifconfig'

So weit haben wir unsere Methode und die Listener-IP-Adresse eingestellt set. In diesen Optionen sind vordefinierte Web-Phishing-Vorlagen aufgeführt, wie ich oben erwähnt habe. Weil wir auf die Google-Kontoseite ausgerichtet sind, wählen wir die Nummer 2. Google. Schlagen EINGEBEN.

das

Jetzt startet SET meinen Kali Linux Webserver auf Port 80, mit der gefälschten Google-Konto-Anmeldeseite. Unsere Einrichtung ist fertig. Jetzt bin ich bereit, in das Zimmer meiner Freunde zu gehen, um mich mit meinem Mobiltelefon auf dieser Phishing-Seite anzumelden.

SCHRITT 2. JAGDOPFER

Der Grund, warum ich ein Handy (Android) benutze? Mal sehen, wie die Seite in meinem integrierten Android-Browser angezeigt wird. Also greife ich auf meinen Kali Linux Webserver zu 192.168.43.99 im Browser. Und hier ist die Seite:

Sehen? Es sieht so echt aus, es werden keine Sicherheitsprobleme angezeigt. Die URL-Leiste mit dem Titel anstelle der URL selbst. Wir wissen, dass die Dummen dies als die ursprüngliche Google-Seite erkennen werden.

Also bringe ich mein Handy mit, gehe zu meinem Freund und spreche mit ihm, als ob ich mich nicht bei Google angemeldet hätte und handle, wenn ich mich frage, ob Google abgestürzt oder fehlerhaft ist. Ich gebe mein Telefon und bitte ihn, sich mit seinem Konto anzumelden. Er glaubt meinen Worten nicht und fängt sofort an, seine Kontoinformationen einzugeben, als ob hier nichts schlimmes passieren würde. Haha.

Er hat bereits alle erforderlichen Formulare getippt und lässt mich auf das klicken Einloggen Taste. Ich klicke auf die Schaltfläche… Jetzt wird es geladen… Und dann haben wir die Hauptseite der Google-Suchmaschine wie diese.

PS: Sobald das Opfer auf das klickt Einloggen Schaltfläche, werden die Authentifizierungsinformationen an unseren Listener-Computer gesendet und protokolliert.

Nichts passiert, sage ich ihm, die Einloggen Der Button ist immer noch da, Sie haben sich jedoch nicht angemeldet. Und dann öffne ich wieder die Phishing-Seite, während ein anderer Freund von diesem Dummkopf zu uns kommt. Nein, wir haben ein weiteres Opfer.

Bis ich das Gespräch beendet habe, gehe ich zurück zu meinem Schreibtisch und schaue in das Protokoll meines SET. Und hier haben wir,

Goccha ... ich pwnd dich!!!

Abschließend

Ich bin nicht gut im Geschichtenerzählen (das ist der Punkt), um den bisherigen Angriff zusammenzufassen, sind die Schritte:

Spiele So erfassen und streamen Sie Ihre Gaming-Sitzung unter Linux
So erfassen und streamen Sie Ihre Gaming-Sitzung unter Linux
In der Vergangenheit galt das Spielen von Spielen nur als Hobby, aber mit der Zeit verzeichnete die Spieleindustrie ein enormes Wachstum in Bezug auf ...
Spiele Beste Spiele zum Spielen mit Handtracking
Beste Spiele zum Spielen mit Handtracking
Oculus Quest hat kürzlich die großartige Idee des Hand-Trackings ohne Controller vorgestellt. Mit einer ständig steigenden Anzahl von Spielen und Akti...
Spiele So zeigen Sie OSD-Overlay in Vollbild-Linux-Apps und -Spielen an
So zeigen Sie OSD-Overlay in Vollbild-Linux-Apps und -Spielen an
Das Spielen von Spielen im Vollbildmodus oder die Verwendung von Apps im ablenkungsfreien Vollbildmodus kann Sie von relevanten Systeminformationen ab...