Kali Linux: مجموعة أدوات الهندسة الاجتماعية

البشر هم أفضل مورد ونقطة نهاية للثغرات الأمنية على الإطلاق. الهندسة الاجتماعية هي نوع من الهجمات التي تستهدف السلوك البشري من خلال التلاعب بثقتهم واللعب بها ، بهدف الحصول على معلومات سرية ، مثل الحساب المصرفي ، ووسائل التواصل الاجتماعي ، والبريد الإلكتروني ، وحتى الوصول إلى الكمبيوتر المستهدف. لا يوجد نظام آمن ، لأن النظام من صنع البشر ، وأكثر ناقلات الهجمات شيوعًا التي تستخدم هجمات الهندسة الاجتماعية هو انتشار التصيد الاحتيالي من خلال البريد الإلكتروني العشوائي. إنهم يستهدفون ضحية لديه حساب مالي مثل المعلومات المصرفية أو معلومات بطاقة الائتمان.

لا تقتحم هجمات الهندسة الاجتماعية نظامًا بشكل مباشر ، بل إنها تستخدم التفاعل الاجتماعي البشري ويتعامل المهاجم مع الضحية بشكل مباشر.

هل تذكر كيفن ميتنيك ؟ أسطورة الهندسة الاجتماعية في العصر القديم. في معظم أساليب هجومه ، اعتاد خداع الضحايا للاعتقاد بأنه يمتلك سلطة النظام. ربما شاهدت مقطع الفيديو التوضيحي لهجوم Social Engineering Attack على YouTube. انظر إليه!

في هذا المنشور ، سأوضح لك سيناريو بسيطًا لكيفية تنفيذ هجوم الهندسة الاجتماعية في الحياة اليومية. إنه سهل للغاية ، ما عليك سوى اتباع البرنامج التعليمي بعناية. سأشرح السيناريو بوضوح.

هجوم الهندسة الاجتماعية للوصول إلى البريد الإلكتروني

هدف : الحصول على معلومات حساب اعتماد البريد الإلكتروني

مهاجم : أنا

استهداف : صديقى. (حقا نعم)

جهاز : كمبيوتر أو كمبيوتر محمول يعمل بنظام Kali Linux. وهاتفي المحمول!

بيئة : Office (في العمل)

أداة : مجموعة أدوات الهندسة الاجتماعية (SET)

لذلك ، بناءً على السيناريو أعلاه ، يمكنك أن تتخيل أننا لا نحتاج حتى إلى جهاز الضحية ، لقد استخدمت الكمبيوتر المحمول وهاتفي. أنا فقط بحاجة إلى رأسه وثقته ، والغباء أيضًا! لأنه ، كما تعلمون ، لا يمكن تصحيح غباء الإنسان ، بجدية!

في هذه الحالة ، سنقوم أولاً بإعداد صفحة تسجيل الدخول إلى حساب Gmail للتصيد الاحتيالي في Kali Linux ، واستخدام هاتفي ليكون جهاز تشغيل. لماذا استخدمت هاتفي؟ سأشرح أدناه ، لاحقًا.

لحسن الحظ لن نقوم بتثبيت أي أدوات ، فقد تم تثبيت SET (مجموعة أدوات الهندسة الاجتماعية) على جهاز Kali Linux ، وهذا كل ما نحتاجه. أوه نعم ، إذا كنت لا تعرف ما هو SET ، فسأقدم لك الخلفية حول مجموعة الأدوات هذه.

تم تصميم مجموعة أدوات الهندسة الاجتماعية لإجراء اختبار الاختراق من جانب الإنسان. يضع ( قريبا ) تم تطويره بواسطة مؤسس TrustedSec ( https://www.trustedsec.com/social-engineer-toolkit-set/ ) ، وهو مكتوب بلغة Python ، وهو مفتوح المصدر.

حسنًا ، كان هذا كافيًا ، فلنقم بهذه الممارسة. قبل أن نجري هجوم الهندسة الاجتماعية ، نحتاج إلى إعداد صفحة phising الخاصة بنا أولاً. هنا ، أجلس على مكتبي ، جهاز الكمبيوتر الخاص بي (الذي يعمل بنظام Kali Linux) متصل بالإنترنت بنفس شبكة Wi-Fi مثل هاتفي المحمول (أنا أستخدم android).

الخطوة 1. إعداد صفحة PHISING

تستخدم Setoolkit واجهة سطر الأوامر ، لذلك لا تتوقع 'clicky-clicky' للأشياء هنا. افتح Terminal واكتب:

سترى صفحة الترحيب في الأعلى وخيارات الهجوم في الأسفل ، يجب أن ترى شيئًا كهذا.

نعم ، بالطبع ، سوف نؤدي هجمات الهندسة الاجتماعية ، لذا اختر الرقم 1 واضغط على ENTER.

وبعد ذلك سيتم عرض الخيارات التالية ، واختيار الرقم 2. ناقلات هجوم الموقع. نجاح أدخل.

بعد ذلك ، نختار الرقم 3. طريقة هجوم حصادة الاعتماد . نجاح يدخل.

مزيد من الخيارات أضيق ، لدى SET صفحة تصيد مسبقة التنسيق لمواقع الويب الشهيرة ، مثل Google و Yahoo و Twitter و Facebook. الآن اختر الرقم 1. قوالب الويب .

نظرًا لأن جهاز Kali Linux PC وهاتفي المحمول كانا في نفس شبكة Wi-Fi ، لذا فقط أدخل المهاجم ( جهاز الكمبيوتر الخاص بي ) عنوان IP المحلي. وضرب أدخل.

ملاحظة: للتحقق من عنوان IP لجهازك ، اكتب: 'ifconfig'

حسنًا ، لقد حددنا طريقتنا وعنوان IP الخاص بالمستمع. في هذه الخيارات ، تم سرد قوالب التصيد المحددة مسبقًا على الويب كما ذكرت أعلاه. لأننا استهدفنا صفحة حساب جوجل ، لذلك اخترنا الرقم 2. جوجل . نجاح أدخل .

ال

الآن ، تقوم SET بتشغيل خادم الويب Kali Linux على المنفذ 80 ، مع صفحة تسجيل الدخول إلى حساب Google المزيفة. تم الإعداد لدينا. أنا الآن جاهز للدخول إلى غرفة أصدقائي لتسجيل الدخول إلى صفحة التصيد باستخدام هاتفي المحمول.

الخطوة 2. اصطياد الضحايا

ما سبب استخدامي للهاتف المحمول (android)؟ دعنا نرى كيف يتم عرض الصفحة في متصفح android المدمج الخاص بي. لذلك ، أقوم بالوصول إلى خادم الويب Kali Linux الخاص بي 192.168.43.99 في المتصفح. وها هي الصفحة:

ارى؟ يبدو حقيقيًا جدًا ، ولا توجد مشكلات أمنية معروضة عليه. يظهر شريط URL العنوان بدلاً من عنوان URL نفسه. نحن نعلم أن الغبي سيتعرف على هذه باعتبارها صفحة Google الأصلية.

لذلك ، أحضر هاتفي المحمول ، وأدخل صديقي ، وأتحدث معه كما لو أنني فشلت في تسجيل الدخول إلى Google وأتصرف إذا كنت أتساءل عما إذا كانت Google قد تعطلت أو أخطأت. أعطي هاتفي وأطلب منه محاولة تسجيل الدخول باستخدام حسابه. إنه لا يصدق كلامي ويبدأ فورًا في كتابة معلومات حسابه وكأن شيئًا لن يحدث بشكل سيء هنا. هاها.

لقد كتب بالفعل جميع النماذج المطلوبة ، واسمحوا لي أن أنقر فوق تسجيل الدخول زر. أنقر فوق الزر ... يتم الآن تحميله… وبعد ذلك حصلنا على الصفحة الرئيسية لمحرك بحث Google مثل هذه.

ملاحظة: بمجرد نقر الضحية على ملف تسجيل الدخول زر ، سيرسل معلومات المصادقة إلى جهاز المستمع الخاص بنا ، ويتم تسجيله.

لا شيء يحدث ، أقول له ، تسجيل الدخول الزر لا يزال موجودًا ، لكنك فشلت في تسجيل الدخول بالرغم من ذلك. ثم أفتح صفحة التصيد مرة أخرى ، بينما يأتي إلينا صديق آخر لهذا الغبي. ناه ، لدينا ضحية أخرى.

حتى أقطع الحديث ، أعود إلى مكتبي وأتحقق من سجل SET. وها نحن ذا ،

غوتشا ... أنا pwnd أنت !!!

ختاما

أنا لست جيدًا في رواية القصص ( هذا هو بيت القصيد ) ، لتلخيص الهجوم حتى الآن الخطوات هي:

• افتح 'setoolkit'
• يختار 1) هجمات الهندسة الاجتماعية
• يختار 2) ناقلات هجوم الموقع
• يختار 3) طريقة هجوم حصادة الاعتماد
• يختار 1) قوالب الويب
• أدخل ملف عنوان IP
• يختار متصفح الجوجل
• صيد سعيد ^ _ ^