Kali Linux Kit de herramientas de ingeniería social

Lorenzo Morales
Kali Linux Kit de herramientas de ingeniería social

Los humanos son el mejor recurso y punto final de vulnerabilidades de seguridad. La ingeniería social es un tipo de ataque dirigido al comportamiento humano manipulando y jugando con su confianza, con el objetivo de obtener información confidencial, como la cuenta bancaria, las redes sociales, el correo electrónico, incluso el acceso a la computadora objetivo. Ningún sistema es seguro, porque el sistema está hecho por humanos.El vector de ataque más común que utilizan ataques de ingeniería social es difundir el phishing a través de spam de correo electrónico. Se dirigen a una víctima que tiene una cuenta financiera como la información bancaria o de la tarjeta de crédito.

Los ataques de ingeniería social no se están dividiendo directamente en un sistema, sino que está utilizando la interacción social humana y el atacante está tratando directamente con la víctima directamente.

Te acuerdas Kevin Mitnick? La leyenda de la ingeniería social de la antigua era. En la mayoría de sus métodos de ataque, solía engañar a las víctimas para que creyera que tiene la autoridad del sistema. Es posible que hayas visto su video de demostración de Ataque de Ingeniería Social en YouTube. Míralo!

En esta publicación te mostraré el escenario simple de cómo implementar un ataque de ingeniería social en la vida diaria. Es tan fácil, solo sigue el tutorial con cuidado. Explicaré el escenario claramente.

Ataque de ingeniería social para obtener acceso al correo electrónico

Meta: Obtener información sobre la cuenta de la credencial de correo electrónico

Agresor: A mí

Objetivo: Mi amigo. (En realidad? Sí)

Dispositivo: Computadora o computadora portátil ejecutando Kali Linux. Y mi teléfono móvil!

Ambiente: Oficina (en el trabajo)

Herramienta: Kit de herramientas de ingeniería social (set)

Entonces, según el escenario anterior, puedes imaginar que ni siquiera necesitamos el dispositivo de la víctima, usé mi computadora portátil y mi teléfono. Solo necesito su cabeza y confianza, y estupidez también! Porque, ya sabes, la estupidez humana no se puede parchear, en serio!

En este caso, primero vamos a configurar la página de inicio de sesión de la cuenta de Phishing Gmail en mi Kali Linux, y usar mi teléfono para ser un dispositivo de activación. Por qué usé mi teléfono? Explicaré a continuación, más tarde.

Afortunadamente no vamos a instalar ninguna herramienta, nuestra máquina Kali Linux tiene un conjunto preinstalado (Kit de herramientas de ingeniería social), eso es todo lo que necesitamos. Oh sí, si no sabes lo que está establecido es, te daré el fondo de este kit de herramientas.

Kit de herramientas de ingeniería social, es un diseño para realizar pruebas de penetración del lado humano. COLOCAR (dentro de poco) es desarrollado por el fundador de TrustedSec (https: // www.SEC de confianza.com/social-ingeniería-toolkit-set/), que está escrito en Python, y es de código abierto.

Muy bien, eso fue suficiente, hagamos la práctica. Antes de realizar el ataque de ingeniería social, primero debemos configurar nuestra página de Phising. Aquí, estoy sentado en mi escritorio, mi computadora (ejecutando Kali Linux) está conectada a Internet la misma red Wi-Fi que mi teléfono móvil (estoy usando Android).

PASO 1. Configuración de la página Phising

SETOOLKIT está utilizando la interfaz de línea de comandos, así que no espere 'Clicky-Hicky' de las cosas aquí. Abra terminal y escriba:

~# setoolkit

Verás la página de bienvenida en la parte superior y las opciones de ataque en la parte inferior, deberías ver algo como esto.

Sí, por supuesto, vamos a actuar Ataques de ingeniería social, Entonces elige el número 1 y golpear enter.

Y luego se mostrará las siguientes opciones y elija el número 2. Vectores de ataque del sitio web. Golpear INGRESAR.

A continuación, elegimos el número 3. Método de ataque de cosechador de credenciales. Golpear Ingresar.

Otras opciones son más estrechas, el set tiene una página de phising preformateada de sitios web populares, como Google, Yahoo, Twitter y Facebook. Ahora elige el número 1. Plantillas web.

Porque, mi PC Kali Linux y mi teléfono móvil estaban en la misma red Wi-Fi, así que solo ingrese al atacante (mi PC) Dirección IP local. Y golpear INGRESAR.

PD: Para verificar la dirección IP de su dispositivo, escriba: 'ifconfig'

Muy bien hasta ahora, hemos establecido nuestro método y la dirección IP del oyente. En estas opciones listadas plantillas de phising web predefinidas como mencioné anteriormente. Porque apuntamos a la página de la cuenta de Google, por lo que elegimos el número 2. Google. Golpear INGRESAR.

el

Ahora, el set inicia mi servidor web de Kali Linux en el puerto 80, con la página de inicio de sesión de la cuenta falsa de Google. Nuestra configuración está lista. Ahora estoy listo para entrar en la habitación de mis amigos para iniciar sesión en esta página de phishing usando mi teléfono móvil.

PASO 2. Víctimas de caza

La razón por la que estoy usando el teléfono móvil (Android)? Vea cómo se muestra la página en mi navegador Android incorporado. Entonces, estoy accediendo a mi servidor web de Kali Linux en 192.168.43.99 en el navegador. Y aquí está la página:

Ver? Se ve tan real, no se muestran problemas de seguridad. La barra de la URL que muestra el título en su lugar la URL en sí misma. Sabemos que el estúpido reconocerá esto como la página original de Google.

Entonces, traigo mi teléfono móvil, entro en mi amigo y hablo con él como si no pudiera iniciar sesión en Google y actúe si me pregunto si Google se estrelló o erró. Le doy mi teléfono y le pido que intente iniciar sesión con su cuenta. Él no cree en mis palabras e inmediatamente comienza a escribir la información de su cuenta como si nada sucediera mal aquí. Ja ja.

Ya escribió todos los formularios requeridos y déjame hacer clic en el Iniciar sesión botón. Hago clic en el botón ... ahora se está cargando ... y luego tenemos la página principal del motor de búsqueda de Google como esta.

PD: Una vez que la víctima hace clic en el Iniciar sesión Botón, enviará la información de autenticación a nuestra máquina del oyente, y está registrada.

No pasa nada, le digo, el Iniciar sesión el botón todavía está ahí, aunque no pudo iniciar sesión. Y luego estoy abriendo nuevamente la página Phising, mientras que otro amigo de este estúpido que viene a nosotros. No, tenemos otra víctima.

Hasta que corté la charla, luego vuelvo a mi escritorio y reviso el registro de mi set. Y aquí tenemos,

Goccha ... te estoy presentiendo!!!

En conclusión

No soy bueno para contar historias (ese es el punto), para resumir el ataque hasta ahora, los pasos son:

  • Abierto 'setoolkit'
  • Elegir 1) ataques de ingeniería social
  • Elegir 2) Vectores de ataque del sitio web
  • Elegir 3) Método de ataque de cosechador de credenciales
  • Elegir 1) plantillas web
  • Ingresar el dirección IP
  • Elegir Google
  • Feliz caza ^_ ^
c agudo
¿Qué es la expresión del interruptor en C#?
Switch Expresiones, le permite construir un código compacto y expresivo que evalúe solo una declarac...
Andrés Barrientos
Programación C
¿Qué es el manejo de archivos en la programación C??
El manejo de archivos es un aspecto esencial de la programación C que permite a los desarrolladores ...
Lorenzo Morales
Potencia Shell
¿Qué es un complemento ADD en PowerShell??
El cmdlet add-computer agrega la computadora local a un dominio. Si se agrega una computadora a un d...
Daniela Villaseñor
Postgresql
PostgreSQL Crear índice simultáneamente
José Luis Villagómez
Pitón
Python Count caracteres en cadena
Pilar Melgar
Pitón
Convertir cadena para configurar python
José Luis Villagómez
OS de Windows
¿Qué es el administrador de paquetes de Windows?
Mariana Cotto
Pitón
Pandas read_csv multiprocesamiento
Pilar Melgar
Estibador
¿Cómo se definen los volúmenes en Docker Compose Yaml??
Homero Ontiveros
Oracle Linux
Cómo instalar Oracle SQL Developer en Windows?
Hernán Delao
Base de datos Oracle
Cómo Oracle Database es diferente del desarrollador de Oracle SQL?
Pilar Melgar
Mecanografiado
¿Qué es TypeScript y cómo usarlo??
Pilar Alemán
Programación C
Cómo encontrar el valor ASCII de un personaje en la programación C?
Salvador Anaya