Kali Linux: Kit de herramientas de ingeniería social

Kali Linux Social Engineering Toolkit



Los seres humanos son el mejor recurso y el mejor punto final de las vulnerabilidades de seguridad de todos los tiempos. La Ingeniería Social es un tipo de ataque dirigido al comportamiento humano manipulando y jugando con su confianza, con el objetivo de obtener información confidencial, como cuentas bancarias, redes sociales, correo electrónico e incluso acceso a la computadora de destino. Ningún sistema es seguro, porque el sistema está hecho por humanos. El vector de ataque más común que utiliza ataques de ingeniería social es la propagación del phishing a través del correo no deseado. Se dirigen a una víctima que tiene una cuenta financiera, como información bancaria o de tarjeta de crédito.

Los ataques de ingeniería social no se introducen directamente en un sistema, sino que utilizan la interacción social humana y el atacante está tratando con la víctima directamente.





Te acuerdas Kevin Mitnick ? La leyenda de la ingeniería social de la era antigua. En la mayoría de sus métodos de ataque, solía engañar a las víctimas haciéndoles creer que él tiene la autoridad del sistema. Es posible que haya visto su video de demostración de Social Engineering Attack en YouTube. ¡Míralo!



En este post les voy a mostrar el escenario simple de cómo implementar Social Engineering Attack en la vida diaria. Es muy fácil, solo sigue el tutorial cuidadosamente. Explicaré el escenario claramente.



Ataque de ingeniería social para obtener acceso al correo electrónico

Objetivo : Obtener información de la cuenta de credenciales de correo electrónico



Agresor : Me

Objetivo : Mi amigo. (Realmente si)



Dispositivo : Computadora o portátil con Kali Linux. ¡Y mi teléfono móvil!

Medio ambiente : Oficina (en el trabajo)

Herramienta : Kit de herramientas de ingeniería social (SET)

Entonces, según el escenario anterior, puedes imaginar que ni siquiera necesitamos el dispositivo de la víctima, usé mi computadora portátil y mi teléfono. Solo necesito su cabeza y su confianza, ¡y también su estupidez! Porque, ya sabes, la estupidez humana no se puede remendar, ¡en serio!

En este caso, primero configuraremos la página de inicio de sesión de la cuenta de Gmail de phishing en mi Kali Linux y usaremos mi teléfono como dispositivo de activación. ¿Por qué usé mi teléfono? Te lo explicaré a continuación, más adelante.

Afortunadamente no vamos a instalar ninguna herramienta, nuestra máquina Kali Linux tiene preinstalado SET (Social Engineering Toolkit), eso es todo lo que necesitamos. Oh, sí, si no sabe qué es SET, le daré los antecedentes de este kit de herramientas.

El kit de herramientas de ingeniería social está diseñado para realizar pruebas de penetración del lado humano. COLOCAR ( dentro de poco ) es desarrollado por el fundador de TrustedSec ( https://www.trustedsec.com/social-engineer-toolkit-set/ ) , que está escrito en Python y es de código abierto.

Muy bien, eso fue suficiente, hagamos la práctica. Antes de realizar el ataque de ingeniería social, primero debemos configurar nuestra página de phising. Aquí, estoy sentado en mi escritorio, mi computadora (con Kali Linux) está conectada a Internet, la misma red Wi-Fi que mi teléfono móvil (estoy usando Android).

PASO 1. CONFIGURAR LA PÁGINA DE PHISING

Setoolkit está usando la interfaz de línea de comandos, así que no espere 'clic-clic' de las cosas aquí. Abra la terminal y escriba:

~ # setoolkit

Verá la página de bienvenida en la parte superior y las opciones de ataque en la parte inferior, debería ver algo como esto.

Si claro que vamos a realizar Ataques de ingeniería social , así que elige el número 1 y presione ENTER.

Y luego se le mostrarán las siguientes opciones, y elija el número 2. Vectores de ataque a sitios web. Pegar INGRESAR.

A continuación, elegimos el número 3. Método de ataque del recolector de credenciales . Pegar Ingresar.

Otras opciones son más limitadas, SET tiene una página de phising preformateada de sitios web populares, como Google, Yahoo, Twitter y Facebook. Ahora elige el número 1. Plantillas web .

Porque, mi PC Kali Linux y mi teléfono móvil estaban en la misma red Wi-Fi, así que solo ingrese el atacante ( mi PC ) dirección IP local. Y golpea INGRESAR.

PD: para verificar la dirección IP de su dispositivo, escriba: 'ifconfig'

Muy bien hasta ahora, hemos configurado nuestro método y la dirección IP del oyente. En estas opciones, se enumeran las plantillas de phising web predefinidas como mencioné anteriormente. Debido a que apuntamos a la página de la cuenta de Google, elegimos el número 2. Google . Pegar INGRESAR .

los

Ahora, SET inicia mi servidor web Kali Linux en el puerto 80, con la página de inicio de sesión de la cuenta de Google falsa. Nuestra configuración está lista. Ahora estoy listo para entrar en la habitación de mis amigos para iniciar sesión en esta página de phishing usando mi teléfono móvil.

PASO 2. CAZANDO VÍCTIMAS

¿La razón por la que estoy usando un teléfono móvil (Android)? Veamos cómo se muestra la página en mi navegador Android integrado. Entonces, estoy accediendo a mi servidor web Kali Linux en 192.168.43.99 en el navegador. Y aquí está la página:

¿Ver? Parece tan real que no se muestran problemas de seguridad. La barra de URL que muestra el título en lugar de la propia URL. Sabemos que los estúpidos reconocerán esto como la página original de Google.

Entonces, llevo mi teléfono móvil y entro a mi amigo, hablo con él como si no hubiera podido iniciar sesión en Google y actúo si me pregunto si Google se bloqueó o cometió un error. Le doy mi teléfono y le pido que intente iniciar sesión con su cuenta. No cree en mis palabras e inmediatamente comienza a escribir la información de su cuenta como si nada fuera a pasar mal aquí. Ja ja.

Él ya escribió todos los formularios requeridos, y déjeme hacer clic en el Registrarse botón. Hago clic en el botón ... Ahora se está cargando ... Y luego tenemos la página principal del motor de búsqueda de Google como esta.

PD: Una vez que la víctima hace clic en el Registrarse , enviará la información de autenticación a nuestra máquina de escucha y se registrará.

No pasa nada, le digo, el Iniciar sesión El botón todavía está allí, sin embargo, no pudo iniciar sesión. Y luego estoy abriendo nuevamente la página de phising, mientras otro amigo de este estúpido viene a nosotros. No, tenemos otra víctima.

Hasta que corte la charla, luego vuelvo a mi escritorio y reviso el registro de mi SET. Y aquí tenemos

Goccha… te pwnd !!!

En conclusión

No soy bueno contando historias ese es el punto ), para resumir el ataque hasta ahora los pasos son:

  • Abierto 'setoolkit'
  • Escoger 1) Ataques de ingeniería social
  • Escoger 2) Vectores de ataque al sitio web
  • Escoger 3) Método de ataque del recolector de credenciales
  • Escoger 1) Plantillas web
  • Ingrese el dirección IP
  • Escoger Google
  • Feliz caza ^ _ ^
Otro

Categoría

Entradas Populares

Cómo moverse más rápido en Minecraft

Cómo deshacer el reinicio de Git con la bandera –hard

Cómo solucionar el error de instalación del nuevo Portainer 'Se agotó el tiempo de espera de su instancia de Portainer por motivos de seguridad'

¿Cómo utilizar el parámetro estilo en mitad del viaje?

Elasticsearch Seleccionar campos específicos

¿Cómo prevenir los ataques de contaminación de los prototipos?

Ejemplos de texto de ayuda del bloque Bootstrap

Función de borrado de vectores() en C++

Cómo habilitar/deshabilitar JavaScript en Google Chrome

Cómo instalar el controlador/firmware de chipset correcto para que los dispositivos WiFi/Ethernet funcionen en Fedora 39+

Cómo conectarse a la base de datos MongoDB en AWS

Cuadro de lista de Tkinter

Los pandas leen JSON

¿Qué son los grupos de ubicación en Amazon Elastic Compute Cloud?

Cómo crear procedimientos almacenados en PostgreSQL

¿Qué son los registros de CloudWatch en AWS?

¿Pueden mis amigos ver el estado en línea de PSN en Discord?

Cómo crear su propio Dockerfile, imagen y contenedor

Cómo implementar SSL Passthrough en HAProxy

Guía para ordenar líneas en Vim