사회 공학 공격(해킹 관점에서)은 마술 쇼를 수행하는 것과 매우 유사합니다. 차이점은 Social Engineering Attacks에서 결과가 은행 계좌, 소셜 미디어, 이메일, 심지어 대상 컴퓨터에 대한 액세스인 마술 트릭입니다. 누가 시스템을 만들었습니까? 인간. 사회 공학 공격을 하는 것은 쉽습니다. 저를 믿으세요. 정말 쉽습니다. 어떤 시스템도 안전하지 않습니다. 인간은 최고의 자원이자 보안 취약점의 종점입니다.
지난 글에서 저는 구글 계정 타겟팅에 대한 데모를 했고, Kali Linux: 사회 공학 툴킷 , 이것은 당신을 위한 또 다른 교훈입니다.
사회 공학 공격을 수행하려면 특정 침투 테스트 OS가 필요합니까? 실제로는 그렇지 않습니다. Social Engineering Attack은 유연합니다. Kali Linux와 같은 도구는 도구일 뿐입니다. Social Engineering Attack의 핵심은 공격 흐름을 설계하는 것입니다.
지난 사회 공학 공격 기사에서 우리는 TRUST를 사용한 사회 공학 공격에 대해 배웠습니다. 그리고 이 기사에서 우리는 ATTENTION에 대해 배울 것입니다. King of Thieves에게 이 교훈을 얻었습니다. 아폴로 로빈스 . 그의 배경은 숙련된 마술사, 거리 마술사입니다. YouTube에서 그의 쇼를 볼 수 있습니다. 그는 한 번 TED Talk에서 물건을 훔치는 방법에 대해 설명했습니다. 그의 능력은 주로 피해자의 관심을 가지고 시계, 지갑, 돈, 카드 등 피해자의 주머니에 있는 물건을 알아보지 않고 소매치기하는 것입니다. TRUST 및 ATTENTION을 사용하여 누군가의 Facebook 계정을 해킹하는 Social Engineering Attack을 수행하는 방법을 보여 드리겠습니다. ATTENTION의 핵심은 빠르게 말하고 질문하는 것입니다. 당신은 대화의 조종사입니다.
사회 공학 공격 시나리오
이 시나리오에는 2명의 배우가 포함됩니다. John은 공격자이고 Bima는 피해자입니다. John은 Bima를 목표로 설정할 것입니다. 여기서 Social Engineering Attack의 목표는 피해자의 Facebook 계정에 액세스하는 것입니다. 공격 흐름은 다른 접근 방식과 방법을 사용합니다. John과 Bima는 친구이며 점심 시간에 식당에서 종종 사무실에서 쉬는 시간에 만난다. John과 Bima는 서로 다른 부서에서 일하고 있으며, 그들이 만나는 유일한 기회는 식당에서 점심을 먹을 때뿐입니다. 지금까지 자주 만나 이야기를 나누는 사이입니다.
어느 날, 존 악당은 앞서 언급한 ATTENTION 게임을 사용하여 사회 공학적 공격을 연습하기로 결심했습니다. 그는 King of Thieves Apollo Robbins에서 영감을 얻었습니다. 그의 프레젠테이션 중 하나에서 Robbins는 우리에게 두 개의 눈이 있지만 뇌는 한 가지에만 집중할 수 있다고 말했습니다. 우리는 멀티태스킹을 할 수 있지만 동시에 다른 작업을 함께 수행하는 것이 아니라 각 작업에 빠르게 주의를 전환합니다.
월요일 아침, 사무실에서 여느 때와 같이 John은 그의 방 책상에 앉아 있습니다. 그는 친구의 페이스북 계정을 해킹하는 전략을 세울 계획이다. 그는 점심 전에 준비해야 합니다. 그는 책상에 앉아 생각하고 궁금해합니다.
그런 다음 그는 종이 한 장을 가져다가 컴퓨터를 향하고 있는 의자에 앉습니다. 그는 다른 사람의 계정을 해킹하는 방법을 찾기 위해 Facebook 페이지를 방문합니다.
1단계 : HOLE로 알려진 스타터 창 찾기
로그온 화면에서 그는 잊혀진 계정이라는 링크를 발견합니다. 여기 John은 다음의 혜택을 사용할 것입니다. 잊어버린 계정( 비밀번호 복구) 기능. Facebook은 이미 https://www.facebook.com/login/identify?ctx=recover에서 시작 창을 제공했습니다.
페이지는 다음과 같아야 합니다.
현장에서 계정 찾기 섹션에 다음과 같은 문장이 있습니다. 계정을 검색하려면 이메일 주소 또는 전화번호를 입력하세요. . 여기에서 우리는 또 다른 창 세트를 얻습니다. 이메일 주소는 다음을 참조합니다. 이메일 계정 전화번호는 모바일을 나타냅니다. 핸드폰 . 따라서 John은 피해자의 이메일 계정이나 휴대폰이 있으면 피해자의 Facebook 계정에 액세스할 수 있다는 가설을 세웁니다.
2단계: 계정 식별을 위한 양식 작성
자, 여기서부터 존은 깊이 생각하기 시작합니다. 그는 Bima의 이메일 주소가 무엇인지 모르지만 휴대 전화에 Bima 전화 번호를 저장했습니다. 그리고는 휴대폰을 들고 비마의 전화번호를 찾는다. 그리고 그곳에 가서 그는 그것을 찾았습니다. 그는 그 필드에 Bima의 전화번호를 입력하기 시작합니다. 그 후 그는 검색 버튼을 누릅니다. 이미지는 다음과 같아야 합니다.
그는 Bima의 전화 번호가 그의 Facebook 계정에 연결되어 있음을 알았습니다. 여기에서 그는 단지 잡고 누르지 않습니다. 계속하다 단추. 현재 그는 이 전화번호가 피해자의 페이스북 계정에 연결되어 있는지 확인하여 그의 가설에 더 가깝습니다.
존이 실제로 한 일은 피해자에 대한 정찰 또는 정보 수집입니다. 여기에서 John은 충분한 정보를 얻었고 실행할 준비가 되었습니다. 하지만 존은 매점에서 비마를 만나게 되는데, 존이 컴퓨터를 가져오는 것은 불가능하겠죠? 문제 없습니다. 그는 자신의 휴대 전화인 편리한 솔루션을 가지고 있습니다. 그래서 그는 Bima를 만나기 전에 다음을 반복합니다. 1 단계 그리고 2 Android 휴대전화의 Chrome 브라우저에서 다음과 같이 보일 것입니다.
3단계: 피해자 만나기
자, 이제 모든 것이 설정되고 준비되었습니다. John이 해야 할 일은 Bima의 전화를 잡고 계속하다 휴대전화의 버튼을 누르고 Bima의 휴대전화에서 Facebook이 보낸 SMS 받은 편지함 메시지(리셋 코드)를 읽고, 기억하고 짧은 시간 안에 메시지를 삭제합니다.
이 계획은 그가 지금 매점으로 걸어가는 동안 그의 머리에 꽂혀 있습니다. 존은 휴대폰을 주머니에 넣었다. 그는 비마를 찾아 매점으로 들어갔다. 그는 도대체 비마가 어디 있는지 알아보기 위해 고개를 좌우로 돌렸다. 여느 때와 같이 그는 구석 자리에 앉아 존에게 손을 흔들며 식사를 준비하고 있었습니다.
즉시 John은 이 정오에 소량의 식사를 하고 Bima와 함께 테이블로 다가갑니다. 그는 비마에게 인사를 하고 함께 식사를 한다. 식사를 하던 존은 주변을 둘러보다가 테이블 위에 비마의 휴대폰이 있다는 것을 알아차렸다.
점심식사를 마치고 서로의 이야기를 나눴다. 늘 그렇듯이, 어느 시점에서 John은 전화에 대한 새로운 주제를 엽니다. John은 John에게 새 전화기가 필요하고 John에게 적합한 전화기에 대한 조언이 필요하다고 말합니다. 그런 다음 그는 Bima의 전화에 대해 묻고 모든 것을 모델, 사양, 모든 것을 물었다. 그런 다음 John은 그에게 전화를 사용해 보라고 요청하고 John은 실제로 전화를 찾는 고객인 것처럼 행동합니다. 존의 왼손은 허락을 받아 휴대폰을 움켜쥐고, 오른손은 탁자 아래에서 휴대폰을 열 준비를 하고 있다. John은 그의 왼손, 그의 전화기에 주의를 둡니다. John은 그의 전화기, 무게, 속도 등에 대해 많은 이야기를 했습니다.
이제 John은 Bima의 전화 벨소리 볼륨을 0으로 설정하여 새로운 알림이 들어오는지 인식하지 못하도록 공격을 시작합니다. John의 왼손은 여전히 주의를 기울이고 있고 오른손은 실제로는 계속하다 단추. 존이 버튼을 누르자마자 메시지가 온다.
딩.. 소리가 안나요. 모니터가 John을 향하고 있기 때문에 Bima가 수신 메시지를 인식하지 못했습니다. John은 즉시 메시지를 열고 읽고 기억합니다. 6자리 핀 SMS로 확인한 다음 곧 삭제합니다. 이제 그는 Bima의 전화를 끝냈고 John은 Bima의 전화를 그에게 돌려주고 John의 오른손은 자신의 전화를 꺼내 즉시 입력을 시작합니다. 6자리 핀 그는 방금 기억했다.
그러면 존은 계속하다. 새 페이지가 나타나면 새 비밀번호를 만들 것인지 묻습니다.
John은 그가 악하지 않기 때문에 비밀번호를 변경하지 않을 것입니다. 그러나 그는 이제 Bima의 페이스 북 계정을 가지고 있습니다. 그리고 그는 자신의 임무를 성공적으로 수행했습니다.
보시는 것처럼 시나리오가 너무 간단해 보이지만, 야, 친구 휴대폰을 얼마나 쉽게 잡고 빌릴 수 있을까? 친구의 전화를 가지고 가설과 상관 관계를 맺는다면 원하는 것은 무엇이든 얻을 수 있습니다.