인간은 최고의 자원이자 보안 취약점의 종점입니다. 사회 공학은 은행 계좌, 소셜 미디어, 이메일, 심지어 대상 컴퓨터에 대한 액세스와 같은 기밀 정보를 얻기 위해 인간의 행동을 조작하고 신뢰를 가지고 노는 일종의 공격입니다. 시스템이 사람에 의해 만들어지기 때문에 어떤 시스템도 안전하지 않습니다. 사회 공학 공격을 사용하는 가장 일반적인 공격 벡터는 이메일 스팸을 통한 확산 피싱입니다. 그들은 은행 또는 신용 카드 정보와 같은 금융 계정이 있는 피해자를 목표로 합니다.
사회 공학 공격은 시스템에 직접 침입하는 것이 아니라 인간의 사회적 상호 작용을 사용하고 공격자가 피해자를 직접 처리합니다.
기억 나니 케빈 미트닉 ? 구시대의 사회 공학 전설. 그는 대부분의 공격 방법에서 피해자를 속여 자신이 시스템 권한을 갖고 있다고 믿게 만들곤 했습니다. YouTube에서 그의 Social Engineering Attack 데모 비디오를 보았을 것입니다. 봐!
이 게시물에서는 일상 생활에서 사회 공학 공격을 구현하는 방법에 대한 간단한 시나리오를 보여 드리겠습니다. 너무 쉬우니 튜토리얼을 잘 따라하시면 됩니다. 시나리오를 명확하게 설명하겠습니다.
이메일 액세스 권한을 얻기 위한 사회 공학 공격
목표 : 이메일 자격 증명 계정 정보 얻기
공격자 : NS
표적 : 내 친구. (정말요? 예)
장치 : Kali Linux를 실행하는 컴퓨터 또는 노트북. 그리고 내 휴대폰!
환경 : 사무실(직장에서)
도구 : 사회공학 툴킷(SET)
따라서 위의 시나리오를 기반으로 피해자의 장치가 필요하지 않다고 상상할 수 있습니다. 저는 랩톱과 휴대폰을 사용했습니다. 나는 그의 머리와 신뢰, 그리고 어리석음도 필요합니다! 알다시피, 인간의 어리석음은 패치 될 수 없기 때문에 심각하게!
이 경우 먼저 Kali Linux에서 피싱 Gmail 계정 로그인 페이지를 설정하고 내 전화를 트리거 장치로 사용합니다. 내가 내 전화를 사용한 이유는 무엇입니까? 아래에서 나중에 설명하겠습니다.
다행스럽게도 우리는 도구를 설치하지 않을 것입니다. Kali Linux 시스템에는 SET(Social Engineering Toolkit)가 사전 설치되어 있습니다. 그게 전부입니다. 오 예, SET가 무엇인지 모르는 경우 이 툴킷에 대한 배경 정보를 알려 드리겠습니다.
Social Engineering Toolkit은 인간 측 침투 테스트를 수행하도록 설계되었습니다. 세트 ( 곧 ) TrustedSec의 설립자가 개발했습니다. ( https://www.trustedsec.com/social-engineer-toolkit-set/ ) , Python으로 작성되었으며 오픈 소스입니다.
자, 이제 연습을 해보자. 소셜 엔지니어링 공격을 수행하기 전에 먼저 피싱 페이지를 설정해야 합니다. 여기, 나는 내 책상에 앉아 있고 내 컴퓨터(Kali Linux 실행)는 내 휴대 전화(나는 안드로이드 사용)와 동일한 Wi-Fi 네트워크에 인터넷에 연결되어 있습니다.
1단계. 피싱 페이지 설정
Setoolkit은 명령줄 인터페이스를 사용하므로 여기에서 '클릭 클릭'을 기대하지 마십시오. 터미널을 열고 다음을 입력합니다.
~# 세툴킷상단에 시작 페이지가 표시되고 하단에 공격 옵션이 표시됩니다. 다음과 같이 표시되어야 합니다.
네, 물론, 우리는 공연을 할 것입니다. 사회 공학 공격 , 그래서 번호를 선택 1 Enter 키를 누릅니다.
그런 다음 다음 옵션이 표시되고 번호를 선택합니다. 2. 웹사이트 공격 벡터. 때리다 시작하다.
다음으로 번호를 선택합니다. 3. 크리덴셜 하베스터 공격 방식 . 때리다 입력하다.
추가 옵션은 더 좁습니다. SET에는 Google, Yahoo, Twitter 및 Facebook과 같은 인기 있는 웹사이트의 피싱 페이지가 미리 형식화되어 있습니다. 이제 번호를 선택하십시오 1. 웹 템플릿 .
내 Kali Linux PC와 내 휴대폰이 동일한 Wi-Fi 네트워크에 있으므로 공격자( 내 PC ) 로컬 IP 주소. 그리고 히트 시작하다.
추신: 장치 IP 주소를 확인하려면 'ifconfig'를 입력하십시오.
자, 지금까지 메소드와 리스너 IP 주소를 설정했습니다. 이 옵션에는 위에서 언급한 사전 정의된 웹 피싱 템플릿이 나열되어 있습니다. Google 계정 페이지를 목표로 했으므로 번호를 선택합니다 2. 구글 . 때리다 시작하다 .
NS이제 SET는 가짜 Google 계정 로그인 페이지를 사용하여 포트 80에서 Kali Linux 웹 서버를 시작합니다. 설정이 완료되었습니다. 이제 내 휴대 전화를 사용하여 이 피싱 페이지에 로그인하기 위해 내 친구 방에 들어갈 준비가 되었습니다.
2단계. 희생자 사냥
내가 휴대폰(안드로이드)을 사용하는 이유는 무엇입니까? 내 내장 안드로이드 브라우저에 페이지가 어떻게 표시되는지 봅시다. 그래서 저는 Kali Linux 웹 서버에 액세스하고 있습니다. 192.168.43.99 브라우저에서. 그리고 여기 페이지가 있습니다:
보다? 너무 현실적이어서 보안 문제가 표시되지 않습니다. URL 자체 대신 제목을 표시하는 URL 표시줄. 우리는 어리석은 사람들이 이것을 원본 Google 페이지로 인식할 것이라는 것을 압니다.
그래서 나는 휴대폰을 가지고 친구에게 걸어가서 마치 내가 구글 로그인에 실패한 것처럼 그에게 말을 걸고 구글이 충돌하거나 오류가 났는지 궁금하면 행동한다. 나는 내 전화를 주고 그의 계정을 사용하여 로그인을 시도하도록 요청합니다. 그는 내 말을 믿지 않고 여기에 아무 일도 없을 것처럼 즉시 자신의 계정 정보를 입력하기 시작합니다. ㅋ.
그는 이미 필요한 모든 양식을 입력했으며 로그인 단추. 버튼을 클릭하면... 로딩중입니다... 그리고 이렇게 구글 검색엔진 메인페이지가 나옵니다.
추신: 피해자가 클릭하면 로그인 버튼을 누르면 인증 정보가 리스너 머신으로 전송되고 기록됩니다.
아무 일도 일어나지 않아, 나는 그에게 말한다. 로그인 버튼은 여전히 있지만 로그인에 실패했습니다. 그리고 나서 나는 다시 피싱 페이지를 열었고, 이 멍청한 또 다른 친구가 우리에게 왔습니다. 아니, 또 다른 희생자가 생겼습니다.
말을 끊기 전까지는 책상으로 돌아가 내 SET의 로그를 확인한다. 그리고 여기서 우리는,
Goccha... 당신을 pwnd!!!
결론적으로
나는 스토리텔링을 잘 못한다( 그게 요점 ), 지금까지의 공격을 요약하면 다음과 같습니다.
- 열려있는 '세툴킷'
- 선택하다 1) 사회공학적 공격
- 선택하다 2) 웹사이트 공격 벡터
- 선택하다 3) 크리덴셜 하베스터 공격 방식
- 선택하다 1) 웹 템플릿
- 입력 IP 주소
- 선택하다 Google
- 즐거운 사냥 되세요 ^_^