काली लिनक्स: सोशल इंजीनियरिंग टूलकिट

मनुष्य अब तक का सबसे अच्छा संसाधन और सुरक्षा कमजोरियों का अंतिम बिंदु है। सोशल इंजीनियरिंग एक तरह का हमला है, जिसमें बैंकिंग अकाउंट, सोशल मीडिया, ईमेल, यहां तक ​​कि टारगेट कंप्यूटर तक पहुंच जैसी गोपनीय जानकारी हासिल करने के उद्देश्य से उनके भरोसे में हेरफेर करके और उनके साथ खिलवाड़ करके मानव व्यवहार को निशाना बनाया जाता है। कोई भी सिस्टम सुरक्षित नहीं है, क्योंकि सिस्टम इंसानों द्वारा बनाया गया है। सोशल इंजीनियरिंग हमलों का उपयोग करने वाला सबसे आम अटैक वेक्टर ईमेल स्पैमिंग के माध्यम से फ़िशिंग फैलाना है। वे एक ऐसे पीड़ित को लक्षित करते हैं जिसके पास बैंकिंग या क्रेडिट कार्ड की जानकारी जैसे वित्तीय खाते हैं।

सोशल इंजीनियरिंग हमले सीधे सिस्टम में नहीं टूट रहे हैं, बल्कि यह मानव सामाजिक संपर्क का उपयोग कर रहा है और हमलावर सीधे पीड़ित से निपट रहा है।

क्या तुम्हें याद है केविन मिटनिक ? पुराने युग की सोशल इंजीनियरिंग किंवदंती। अपने अधिकांश हमले के तरीकों में, वह पीड़ितों को यह विश्वास दिलाने के लिए छल करता था कि उसके पास सिस्टम का अधिकार है। आपने उनका सोशल इंजीनियरिंग अटैक डेमो वीडियो यूट्यूब पर देखा होगा। इसे देखो!

इस पोस्ट में मैं आपको दैनिक जीवन में सोशल इंजीनियरिंग अटैक को लागू करने का सरल परिदृश्य दिखाने जा रहा हूं। यह बहुत आसान है, बस ट्यूटोरियल का ध्यानपूर्वक अनुसरण करें। मैं परिदृश्य को स्पष्ट रूप से समझाऊंगा।

ईमेल एक्सेस हासिल करने के लिए सोशल इंजीनियरिंग अटैक

लक्ष्य : ईमेल क्रेडेंशियल खाता जानकारी प्राप्त करना

हमलावर : मैं

लक्ष्य : मेरा दोस्त। (वास्तव में हाँ)

युक्ति : काली लिनक्स चलाने वाला कंप्यूटर या लैपटॉप। और मेरा मोबाइल फोन!

वातावरण : कार्यालय (काम पर)

साधन : सोशल इंजीनियरिंग टूलकिट (सेट)

तो, ऊपर के परिदृश्य के आधार पर आप कल्पना कर सकते हैं कि हमें पीड़ित के उपकरण की भी आवश्यकता नहीं है, मैंने अपने लैपटॉप और अपने फोन का उपयोग किया। मुझे सिर्फ उसके सिर और भरोसे की जरूरत है, और मूर्खता की भी! क्योंकि, आप जानते हैं, मानव मूर्खता को गंभीरता से नहीं लिया जा सकता है!

इस मामले में हम सबसे पहले अपने काली लिनक्स में फ़िशिंग जीमेल अकाउंट लॉगिन पेज सेटअप करने जा रहे हैं, और एक ट्रिगर डिवाइस के रूप में अपने फोन का उपयोग करें। मैंने अपने फोन का इस्तेमाल क्यों किया? मैं नीचे समझाऊंगा, बाद में।

सौभाग्य से हम कोई उपकरण स्थापित नहीं करने जा रहे हैं, हमारी काली लिनक्स मशीन में SET (सोशल इंजीनियरिंग टूलकिट) पहले से स्थापित है, बस हमें इसकी आवश्यकता है। अरे हाँ, यदि आप नहीं जानते कि SET क्या है, तो मैं आपको इस टूलकिट पर पृष्ठभूमि दूंगा।

सोशल इंजीनियरिंग टूलकिट, मानव-पक्ष प्रवेश परीक्षण करने के लिए डिज़ाइन किया गया है। सेट ( कुछ ही देर में ) TrustedSec . के संस्थापक द्वारा विकसित किया गया है ( https://www.trustedsec.com/social-engineer-toolkit-set/ ) , जो पायथन में लिखा गया है, और यह खुला स्रोत है।

ठीक है, चलो अभ्यास करते हैं। इससे पहले कि हम सोशल इंजीनियरिंग हमला करें, हमें पहले अपना फ़िशिंग पेज सेट करना होगा। यहां, मैं अपने डेस्क पर बैठा हूं, मेरा कंप्यूटर (काली लिनक्स चला रहा है) इंटरनेट से उसी वाई-फाई नेटवर्क से जुड़ा है जो मेरे मोबाइल फोन (मैं एंड्रॉइड का उपयोग कर रहा हूं)।

चरण 1. सेटअप फ़िशिंग पृष्ठ

सेटूलकिट कमांड लाइन इंटरफेस का उपयोग कर रहा है, इसलिए यहां चीजों की 'क्लिक-क्लिकी' की अपेक्षा न करें। टर्मिनल खोलें और टाइप करें:

आपको सबसे ऊपर वेलकम पेज और सबसे नीचे अटैक ऑप्शन दिखाई देगा, आपको कुछ इस तरह दिखना चाहिए।

हां, बिल्कुल, हम प्रदर्शन करने जा रहे हैं सोशल इंजीनियरिंग अटैक , तो नंबर चुनें 1 और एंटर दबाएं।

और फिर आपको अगले विकल्प दिखाई देंगे, और नंबर चुनें 2. वेबसाइट अटैक वैक्टर। मार प्रवेश करना।

अगला, हम संख्या चुनते हैं 3. क्रेडेंशियल हार्वेस्टर अटैक मेथड . मार प्रवेश करना।

आगे के विकल्प संकरे हैं, SET ने Google, Yahoo, Twitter और Facebook जैसी लोकप्रिय वेबसाइटों के फ़िशिंग पृष्ठ को पूर्व-स्वरूपित किया है। अब नंबर चुनें 1. वेब टेम्पलेट्स .

क्योंकि, मेरा काली लिनक्स पीसी और मेरा मोबाइल फोन एक ही वाई-फाई नेटवर्क में थे, इसलिए बस हमलावर को इनपुट करें ( मेरा पीसी ) स्थानीय आईपी पता। और हिट प्रवेश करना।

पुनश्च: अपने डिवाइस का आईपी पता जांचने के लिए, टाइप करें: 'ifconfig'

ठीक है अब तक, हमने अपना तरीका और श्रोता का आईपी पता निर्धारित कर लिया है। जैसा कि मैंने ऊपर उल्लेख किया है, इस विकल्प में पूर्व-निर्धारित वेब फ़िशिंग टेम्प्लेट सूचीबद्ध हैं। चूंकि हमने Google खाता पृष्ठ को लक्षित किया है, इसलिए हम नंबर चुनते हैं 2. गूगल . मार प्रवेश करना .

NS

अब, SET मेरे काली लिनक्स वेबसर्वर को पोर्ट 80 पर नकली Google खाता लॉगिन पृष्ठ के साथ शुरू करता है। हमारा सेटअप हो गया है। अब मैं अपने मोबाइल फोन का उपयोग करके इस फ़िशिंग पेज में लॉग इन करने के लिए अपने दोस्तों के कमरे में जाने के लिए तैयार हूँ।

चरण 2. शिकार शिकार

मैं मोबाइल फोन (एंड्रॉइड) का उपयोग क्यों कर रहा हूं इसका कारण? देखते हैं कि पेज मेरे अंतर्निर्मित एंड्रॉइड ब्राउज़र में कैसे प्रदर्शित होता है। इसलिए, मैं अपने काली लिनक्स वेबसर्वर को इस पर एक्सेस कर रहा हूं 192.168.43.99 ब्राउज़र में। और यहाँ पृष्ठ है:

देखो? यह इतना वास्तविक दिखता है, इसमें कोई सुरक्षा समस्या प्रदर्शित नहीं होती है। यूआरएल के बजाय यूआरएल बार शीर्षक दिखा रहा है। हम जानते हैं कि मूर्ख इसे मूल Google पृष्ठ के रूप में पहचान लेगा।

इसलिए, मैं अपना मोबाइल फोन लाता हूं, और अपने मित्र के पास जाता हूं, और उससे बात करता हूं जैसे कि मैं Google में लॉगिन करने में विफल रहा हूं और अगर मैं सोच रहा हूं कि Google दुर्घटनाग्रस्त हो गया है या त्रुटि हुई है तो कार्य करें। मैं अपना फोन देता हूं और उसे अपने खाते का उपयोग करके लॉगिन करने का प्रयास करने के लिए कहता हूं। वह मेरी बातों पर विश्वास नहीं करता और तुरंत अपने खाते की जानकारी टाइप करना शुरू कर देता है जैसे कि यहाँ कुछ भी बुरा नहीं होगा। हाहा।

उसने पहले ही सभी आवश्यक फॉर्म टाइप कर लिए हैं, और मुझे क्लिक करने दें साइन इन करें बटन। मैं बटन पर क्लिक करता हूं… अब यह लोड हो रहा है… और फिर हमें इस तरह से Google खोज इंजन का मुख्य पृष्ठ मिला।

पुनश्च: एक बार जब पीड़ित क्लिक करता है साइन इन करें बटन, यह हमारे श्रोता मशीन को प्रमाणीकरण जानकारी भेजेगा, और यह लॉग है।

कुछ नहीं हो रहा है, मैं उसे बताता हूँ, साइन इन करें बटन अभी भी है, हालांकि आप लॉगिन करने में विफल रहे। और फिर मैं फिर से फ़िशिंग पेज खोल रहा हूँ, जबकि इस बेवकूफ का एक और दोस्त हमारे पास आ रहा है। नहीं, हमें एक और शिकार मिला।

जब तक मैं बात नहीं करता, तब तक मैं अपने डेस्क पर वापस जाता हूं और अपने SET का लॉग चेक करता हूं। और यहाँ हमें मिला,

गोचा ... मैं तुम्हें धोखा देता हूँ !!!

निष्कर्ष के तौर पर

मैं कहानी सुनाने में अच्छा नहीं हूँ ( यही तो बात है ), अब तक के हमले का योग करने के लिए कदम हैं:

• खोलना 'सेटूलकिट'
• चुनना 1) सोशल इंजीनियरिंग अटैक
• चुनना 2) वेबसाइट अटैक वैक्टर
• चुनना 3) क्रेडेंशियल हार्वेस्टर अटैक मेथड
• चुनना १)वेब टेम्पलेट्स
• इनपुट करें आईपी ​​पता
• चुनना गूगल
• हैप्पी हंटिंग ^_^