1 1 2 1 2

sailess

Постояльцы
  • Content Count

    5
  • Last visited

Community Reputation

0 Обычный

Информация

  • Пол
    Мужчина
  1. Введение Обращаем внимание, что статья написана исключительно в ознакомительных целях и не призывает читателей к противоправным действиям! Для начала стоит объяснить, что же такое социальная инженерия. Это метод получения необходимого доступа к информации, основанный на особенностях психологии людей. Главной целью социальной инженерии является получение доступа к конфиденциальной информации, паролям, банковским данным и другим защищенным системам. Прежде всего, хочется познакомить читателей, пожалуй, с одним из самых мощных и универсальных инструментов, можно даже назвать его «швейцарским ножом» социальной инженерии. Называется он Social-Engineer Toolkit (SET), на рисунке показан его общий вид. Рисунок 1. Общий вид инструмента Social-Engineer Toolkit Общий вид инструмента Social-Engineer Toolkit Знакомство с Social-Engineer Toolkit Социально-технические атаки Раздел включает в себя список векторов для атак: Векторы атаки веб-сайтов Инфекционный медиагенератор Создание полезной нагрузки и слушателя Массовая атака Вектор атаки на основе Arduino Вектор атаки беспроводной точки доступа Вектор атаки генератора QRCode Векторы атаки Powershell Сторонние модули Сам раздел может работать в нескольких направлениях, начиная от создания и внедрения вредоносных нагрузок, массовых атак, атак на различные точки Wi-Fi, генерации QR-кода и прочее. Рисунок 2. Разделы социально-технической атаки в Social-Engineer Toolkit Разделы социально-технической атаки в Social-Engineer Toolkit Раздел векторы веб-сайтов подразделяется на методы: Метод внедрения Java Метод использования браузера Metasploit Метод атаки на харвестерМетод атаки таббата Метод атаки веб-гейдинга Многопользовательский веб-метод Полноэкранный метод атаки Метод атаки HTA Тут методы атак разделяются на разделы, начиная от внедрения и создания внутри java, использования уже готовых метасплоитов для фишинга, сбора данных, многопользовательских методов атак на выбор; имеется возможность использовать и все вместе — все зависит от фантазии злоумышленника. Рисунок 3. Методы атак социально-технического раздела Методы атак социально-технического раздела Немного практики, или Как они это делают? Предположим, злоумышленнику необходимо собрать данные о конкретной жертве, узнать логины, пароли и иметь доступ ко всей переписке. Значит, для этого он использует метод атаки на харвестер (то есть на сбор информации). Киберпреступник поступает следующим образом: выбирает пункт Social-Engineering Attacks (Социально-технические атаки), затем — Website Attack Vectors (Векторы веб-сайтов), после этого — Credential Harvester Attack Method (Способ атаки на харвестер). Появится три пункта меню: 1) Шаблоны веб сайтов; 2) Клонирование сайтов; 3) Пользовательский импорт. Рисунок 4. Харвестерный тип выбор вектора атаки Харвестерный тип выбор вектора атаки Дальше злоумышленник узнает тип своего сетевого адреса, так как Social-Engineer Toolkit будет знать, куда перенаправлять всю собранную информацию. Для этого вводится команда ifconfig. В данном случае это адрес 192.168.0.20 (IP-адрес, присваиваемый вашему интерфейсу) — его злоумышленник будет клонировать и в дальнейшем атаковать. Пример с социальной сетью ВКонтакте показан ниже на рисунке. Рисунок 5. Ввод сетевого адреса и клонирование сайта для атаки Ввод сетевого адреса и клонирование сайта для атаки После завершения конфигурации злоумышленник использует стандартный сервис для конвертирования ссылки и отправляет ее жертве. Обычно присылается ссылка на фото или интересный контент от имени друга или коллеги. После перехода по ссылке пользователь видит знакомый интерфейс. Однако посмотрев в адресную строку, можно обратить внимание, что вместо привычного адреса там указан тот самый 192.168.0.20. Из-за невнимательности многие попросту не обращают на это внимание и вводят свои логин и пароль. Рисунок 6. Вид поддельной страницы Вид поддельной страницы После ввода своих конфиденциальных дынных система предлагает жертве зайти позже, якобы произошел какой-то сбой или пара логин-пароль не распознается. Что же тем временем видит злоумышленник? Логин и пароль, которые ввела жертва. Тем самым он заполучил полный доступ и теперь может вводить логин и пароль ничего не подозревающего пользователя на сервисе, под его профилем входить в его аккаунт и совершать в нем все, что захочет. Рисунок 7. Конечный результат — злоумышленник получает логин и пароль жертвы Конечный результат — злоумышленник получает логин и пароль жертвы Не исключено, что последние события, связанные с утечкой персональных данных сотрудников Сбербанка, имели место благодаря этому инструменту. Он отлично подходит для такого типа атаки, и с его помощью можно также проводить массовую рассылку клиентам Сбербанка от лица сотрудников, чья база уже находится в руках злоумышленников. В целом, Social-Engineer Toolkit — мощный инструмент, которому пока нет равных. В более ранних версиях была функция отправки SMS от имени любого абонента и любой организации, но позже разработчики отключили модуль. И если бы он действовал в настоящее время, то проникновение в систему было бы намного легче, поскольку SMS-подтверждение как дополнительная защита сейчас распространено. Надолго ли отключена опция и какие модификации будут в будущем к инструменту — пока неизвестно. Выводы Метод социальной инженерии — это тонкое искусство. Овладев им, можно быть уверенным, что желаемый результат будет получен в 90-95% — все зависит от сообразительности злоумышленника и от подхода к определенной жертве. Как правило, на эту удочку попадаются невнимательные люди, которые не так требовательны к собственной безопасности и редко обращают внимание на малозначительные на первый взгляд детали (ссылка в браузерной строке, текст и прочее). Правда, надо признать, что опытные пользователи тоже попадаются на это, хотя и реже. Как же избежать подобных неприятностей? Если вы используете социальные сети для общения, то обязательно кроме ввода логина и пароля используйте двухфакторную аутентификацию, тем самым вы создадите сложность злоумышленнику для проникновения в ваш профиль. Внимательно смотрите на ссылку в браузерной строке — как правило, она очень схожа с оригиналом, разница в паре букв или цифр. Так что невнимательный пользователь может и не заметить обмана. Всегда лучше перепроверить, если имеется возможность: как правило, официальные сайты подлинных организаций находятся на самой первой строке поисковых систем. Если вам пришла подозрительная ссылка или просьба от друга, подруги, коллеги, то не поленитесь связаться с адресатом другим способом и уточнить, он ли ее прислал. Берегите себя и свои данные!
  2. Мне безусловно нравится твоя аватарка
  3. Срочно!!! продам сканы паспортов (39 шт.) + мультивалютный счёт OKPAY . Работа только через гаранта нашего форума! Актуально пока нужны деньги!