Kali Linux

Kit de herramientas de ingeniería social Kali Linux

Kit de herramientas de ingeniería social Kali Linux

Los seres humanos son el mejor recurso y el mejor punto final de las vulnerabilidades de seguridad hasta ahora. La Ingeniería Social es un tipo de ataque dirigido al comportamiento humano al manipular y jugar con su confianza, con el objetivo de obtener información confidencial, como cuentas bancarias, redes sociales, correo electrónico, incluso acceso a la computadora de destino.  Ningún sistema es seguro, porque el sistema está hecho por humanos.El vector de ataque más común que utiliza ataques de ingeniería social es la propagación del phishing a través del correo no deseado. Se dirigen a una víctima que tiene una cuenta financiera, como información bancaria o de tarjeta de crédito.

Los ataques de ingeniería social no se introducen directamente en un sistema, sino que utilizan la interacción social humana y el atacante está tratando con la víctima directamente.

Te acuerdas Kevin Mitnick? La leyenda de la ingeniería social de la era antigua. En la mayoría de sus métodos de ataque, solía engañar a las víctimas haciéndoles creer que él tiene la autoridad del sistema. Es posible que hayas visto su video de demostración de Social Engineering Attack en YouTube. Míralo!

En este post les voy a mostrar el escenario simple de cómo implementar Social Engineering Attack en la vida diaria. Es tan fácil, solo sigue el tutorial cuidadosamente. Explicaré el escenario claramente.

Ataque de ingeniería social para obtener acceso al correo electrónico

Objetivo: Obtener información de la cuenta de credenciales de correo electrónico

Agresor: Me

Objetivo: Mi amiga. (En realidad? sí)

Dispositivo: Computadora o portátil con Kali Linux. Y mi celular!

Ambiente: Oficina (en el trabajo)

Herramienta: Kit de herramientas de ingeniería social (SET)

Entonces, según el escenario anterior, puedes imaginar que ni siquiera necesitamos el dispositivo de la víctima, usé mi computadora portátil y mi teléfono. Solo necesito su cabeza y confianza, y la estupidez también! Porque, ya sabes, la estupidez humana no se puede reparar, en serio!

En este caso, primero configuraremos la página de inicio de sesión de la cuenta de Gmail de phishing en mi Kali Linux y usaremos mi teléfono como dispositivo de activación. ¿Por qué usé mi teléfono?? Te lo explicaré a continuación, más tarde.

Afortunadamente no vamos a instalar ninguna herramienta, nuestra máquina Kali Linux tiene preinstalado SET (Social Engineering Toolkit), eso es todo lo que necesitamos. Oh, sí, si no sabe qué es SET, le daré los antecedentes de este kit de herramientas.

El kit de herramientas de ingeniería social está diseñado para realizar pruebas de penetración del lado humano. COLOCAR (dentro de poco) es desarrollado por el fundador de TrustedSec (https: // www.confiablesec.com / social-engineering-toolkit-set /), que está escrito en Python y es de código abierto.

Está bien, eso fue suficiente, hagamos la práctica. Antes de realizar el ataque de ingeniería social, primero debemos configurar nuestra página de phising. Aquí, estoy sentado en mi escritorio, mi computadora (con Kali Linux) está conectada a Internet, la misma red Wi-Fi que mi teléfono móvil (estoy usando Android).

PASO 1. CONFIGURAR LA PÁGINA DE PHISING

Setoolkit está usando la interfaz de línea de comandos, así que no espere 'clicky-clicky' de las cosas aquí. Abra la terminal y escriba:

~ # setoolkit

Verá la página de bienvenida en la parte superior y las opciones de ataque en la parte inferior, debería ver algo como esto.

Si claro que vamos a realizar Ataques de ingeniería social, así que elige el número 1 y presione ENTER.

Y luego se le mostrarán las siguientes opciones y elija el número 2. Vectores de ataque al sitio web. Pegar INGRESAR.

A continuación, elegimos el número 3. Método de ataque del recolector de credenciales. Pegar Ingresar.

Otras opciones son más limitadas, SET tiene una página de phising preformateada de sitios web populares, como Google, Yahoo, Twitter y Facebook. Ahora elige el número 1. Plantillas Web.

Porque, mi PC Kali Linux y mi teléfono móvil estaban en la misma red Wi-Fi, así que solo ingrese el atacante (mi PC) dirección IP local. Y golpea INGRESAR.

PD: para verificar la dirección IP de su dispositivo, escriba: 'ifconfig'

Muy bien hasta ahora, hemos configurado nuestro método y la dirección IP del oyente. En estas opciones, se enumeran las plantillas de phising web predefinidas como mencioné anteriormente. Como apuntamos a la página de la cuenta de Google, elegimos el número 2. Google. Pegar INGRESAR.

la

Ahora, SET inicia mi servidor web Kali Linux en el puerto 80, con la página de inicio de sesión de la cuenta de Google falsa. Nuestra configuración está lista. Ahora estoy listo para entrar en la habitación de mis amigos para iniciar sesión en esta página de phishing usando mi teléfono móvil.

PASO 2. VÍCTIMAS DE CAZA

La razón por la que estoy usando un teléfono móvil (android)? Veamos cómo se muestra la página en mi navegador Android integrado. Entonces, estoy accediendo a mi servidor web Kali Linux en 192.168.43.99 en el navegador. Y aquí está la página:

Ver? Parece tan real que no se muestran problemas de seguridad. La barra de URL que muestra el título en lugar de la propia URL. Sabemos que los estúpidos reconocerán esto como la página original de Google.

Entonces, llevo mi teléfono móvil y entro a mi amigo, hablo con él como si no hubiera podido iniciar sesión en Google y actúo si me pregunto si Google se bloqueó o falló. Le doy mi teléfono y le pido que intente iniciar sesión con su cuenta. No cree en mis palabras e inmediatamente comienza a escribir la información de su cuenta como si nada fuera a pasar mal aquí. Ja ja.

Él ya escribió todos los formularios requeridos y me dejó hacer clic en el Registrarse botón. Hago clic en el botón ... Ahora se está cargando ... Y luego tenemos la página principal del motor de búsqueda de Google como esta.

PD: Una vez que la víctima hace clic en el Registrarse , enviará la información de autenticación a nuestra máquina de escucha y se registrará.

No pasa nada, le digo, el Iniciar sesión El botón sigue ahí, aunque no pudo iniciar sesión. Y luego vuelvo a abrir la página de phising, mientras otro amigo de este estúpido viene a. No, tenemos otra víctima.

Hasta que corte la charla, luego vuelvo a mi escritorio y reviso el registro de mi SET. Y aquí tenemos,

Goccha ... te pwnd!!!

En conclusión

No soy bueno contando historiasese es el punto), para resumir el ataque hasta ahora los pasos son:

Juegos Herramientas útiles para jugadores de Linux
Herramientas útiles para jugadores de Linux
Si le gusta jugar juegos en Linux, es probable que haya utilizado aplicaciones y utilidades como Wine, Lutris y OBS Studio para mejorar la experiencia...
Juegos Juegos HD remasterizados para Linux que nunca tuvieron un lanzamiento de Linux antes
Juegos HD remasterizados para Linux que nunca tuvieron un lanzamiento de Linux antes
Muchos desarrolladores y editores de juegos están creando una remasterización HD de juegos antiguos para extender la vida útil de la franquicia, por f...
Juegos Cómo usar AutoKey para automatizar juegos de Linux
Cómo usar AutoKey para automatizar juegos de Linux
AutoKey es una utilidad de automatización de escritorio para Linux y X11, programada en Python 3, GTK y Qt. Usando su funcionalidad de scripting y MAC...