Phenquestions
Serangan Kejuruteraan Sosial (dari perspektif penggodaman) agak serupa dengan melakukan pertunjukan sihir. Perbezaannya adalah, dalam Serangan Kejuruteraan Sosial, ini adalah muslihat ajaib di mana hasilnya adalah akaun perbankan, media sosial, e-mel, bahkan akses ke komputer sasaran. Siapa yang mencipta sistem? SEORANG MANUSIA. Melakukan Serangan Kejuruteraan Sosial itu mudah, percayalah, itu sangat mudah. Tidak ada sistem yang selamat. Manusia adalah sumber terbaik dan titik akhir kelemahan keselamatan yang pernah ada.
Dalam artikel terakhir, saya melakukan demo penyasaran akaun Google, Kali Linux: Perisian Kejuruteraan Sosial, ini adalah satu lagi pelajaran untuk anda.
Adakah kita memerlukan OS Uji Penetrasi tertentu untuk melakukan Social Engineering Attack? Sebenarnya tidak, Social Engineering Attack bersifat fleksibel, alat, seperti Kali Linux hanyalah alat. Titik utama Serangan Kejuruteraan Sosial adalah mengenai "merancang aliran serangan".
Dalam artikel Serangan Kejuruteraan Sosial yang lalu, kami mempelajari Serangan Kejuruteraan Sosial menggunakan "AMANAH". Dan dalam artikel ini kita akan belajar tentang "PERHATIAN". Saya mendapat pelajaran ini dari "Raja Pencuri" Apollo Robbins. Latar belakangnya adalah ahli silap mata mahir, penyihir jalanan. Anda boleh melihat rancangannya di YouTube. Dia pernah menjelaskan dalam TED Talk, tentang cara mencuri barang. Kemampuannya terutamanya, bermain dengan perhatian mangsa untuk mengambil barang mereka, seperti jam tangan, dompet, wang, kad, apa sahaja di dalam poket mangsa, tanpa pengiktirafan. Saya akan menunjukkan kepada anda bagaimana melakukan Social Engineering Attack untuk menggodam akaun Facebook seseorang menggunakan "TRUST" dan "PERHATIAN". Kunci dengan "PERHATIAN" adalah untuk terus bercakap dengan pantas, dan bertanya. Anda adalah juruterbang perbualan.
Senario Serangan Kejuruteraan Sosial
Senario ini melibatkan 2 pelakon, John sebagai penyerang dan Bima sebagai mangsa. John akan menetapkan Bima sebagai sasaran. Matlamat Serangan Kejuruteraan Sosial di sini adalah, untuk mendapatkan akses ke akaun Facebook mangsa. Aliran serangan akan menggunakan pendekatan dan kaedah yang berbeza. John dan Bima berkawan, mereka sering bertemu di kantin pada waktu makan tengah hari semasa waktu rehat di pejabat mereka. John dan Bima bekerja di jabatan yang berbeza, satu-satunya kesempatan mereka bertemu adalah ketika mereka makan tengah hari di kantin. Mereka sering bertemu dan bercakap antara satu sama lain sehingga kini mereka menjadi pasangan.
Suatu hari, John "orang jahat", bertekad untuk berlatih Social Engineering Attack menggunakan permainan "PERHATIAN", yang saya sebutkan sebelumnya, dia mendapat inspirasi dari "Raja Pencuri" Apollo Robbins. Dalam salah satu pembentangannya, Robbins mengatakan bahawa, kita mempunyai dua mata, tetapi otak kita hanya dapat fokus pada satu perkara. Kita boleh melakukan multitasking, tetapi tidak melakukan tugas yang berbeza secara bersamaan, sebaliknya kita hanya mengalihkan perhatian kepada setiap tugas dengan cepat.
Pada awal hari, pada hari Isnin, di pejabat, seperti biasa John berada di biliknya duduk di mejanya. Dia berencana untuk mendapatkan strategi untuk menggodam akaun facebook rakannya. Dia harus bersedia sebelum makan tengah hari. Dia berfikir dan tertanya-tanya sambil duduk di mejanya.
Kemudian dia mengambil sehelai kertas, duduk di kursinya, yang menghadap komputernya. Dia mengunjungi laman Facebook untuk mencari jalan untuk menggodam akaun seseorang.
LANGKAH 1: MENCARI WINDOW MULAI a.k.sebuah lubang
Di layar log, dia melihat pautan bernama "akaun terlupa", Di sini John akan menggunakan faedah "akaun terlupa (pemulihan kata laluan) ". Facebook telah melayan tetingkap pemula kami di: “https: // www.facebook.com / log masuk / kenal pasti?ctx = pulih ”.
Halaman akan kelihatan seperti ini:
Dalam bidang "cari akaun anda"Bahagian, ada kalimat yang mengatakan,"Masukkan alamat e-mel atau nombor telefon anda untuk mencari akaun anda". Dari sini kita mendapat set tetingkap lain: alamat e-mel merujuk kepada “Akaun emel" dan nombor telefon merujuk kepada "Mudah alih Telefon". Jadi, John mempunyai hipotesis bahawa, jika dia mempunyai akaun e-mel atau telefon bimbit mangsa, maka dia akan memiliki akses ke akaun Facebook mangsa.
LANGKAH 2: ISI BORANG UNTUK MENGENAL PASTI AKAUN
Baiklah, dari sini John mula berfikir secara mendalam. Dia tidak tahu apa alamat e-mel Bima, tetapi dia menyimpan nombor telefon Bima di telefon bimbitnya. Dia kemudian meraih telefonnya, dan mencari nombor telefon Bima. Dan di sana dia pergi, dia menjumpainya. Dia mula menaip nombor telefon Bima di bidang itu. Selepas itu dia menekan butang "Search". Imej itu akan kelihatan seperti ini:
Dia mendapatkannya, dia mendapati bahawa nombor telefon Bima disambungkan ke akaun Facebooknya. Dari sini, dia hanya memegang, dan tidak menekan Teruskan butang. Buat masa ini, dia hanya memastikan bahawa nombor telefon ini disambungkan ke akaun Facebook mangsa, sehingga mendekati hipotesisnya.
Apa yang sebenarnya dilakukan John, adalah melakukan pengintaian, atau Pengumpulan Maklumat mengenai mangsa. Dari sini John mempunyai maklumat yang cukup, dan siap untuk dilaksanakan. Tetapi, John akan bertemu Bima di kantin, tidak mungkin John membawa komputernya, betul? Tidak ada masalah, dia mempunyai penyelesaian berguna, yang merupakan telefon bimbitnya sendiri. Jadi, sebelum dia bertemu Bima, dia mengulangi LANGKAH 1 dan 2 pada penyemak imbas Chrome di telefon bimbit Androidnya. Ia akan kelihatan seperti ini:
LANGKAH 3: MEMENUHI VICTIM
Baiklah, sekarang semuanya sudah siap dan siap. Yang perlu dilakukan John ialah ambil telefon Bima, klik Teruskan butang di telefonnya, baca mesej peti masuk SMS yang dihantar oleh Facebook (kod tetapan semula) di telefon Bima, ingat dan hapus mesej dalam satu masa, dengan cepat.
Rancangan ini melekat di kepalanya semasa dia berjalan ke kantin. John memasukkan telefonnya ke dalam poketnya. Dia memasuki kawasan kantin, mencari Bima. Dia memusingkan kepalanya ke kiri ke kanan untuk mengetahui di mana sih Bima. Seperti biasa dia berada di tempat duduk sudut, sambil melambaikan tangannya kepada John, dia sudah siap dengan makanannya.
Segera John mengambil sebahagian kecil makanan tengah hari ini, dan menghampiri meja dengan Bima. Dia menyapa Bima, dan kemudian mereka makan bersama. Semasa makan, John melihat sekeliling, dia menyedari telefon Bima ada di atas meja.
Setelah selesai makan tengah hari, mereka saling berbual setiap hari. Seperti biasa, sehingga pada satu ketika, John membuka topik baru mengenai telefon. John mengatakan kepadanya, bahawa John memerlukan telefon baru, dan John memerlukan nasihatnya mengenai telefon mana yang sesuai untuk John. Kemudian dia bertanya tentang telefon Bima, dia bertanya semuanya, model, spesifikasi, semuanya. Dan kemudian John memintanya untuk mencuba telefonnya, John bertindak seperti dia benar-benar pelanggan yang mencari telefon. Tangan kiri John meraih telefonnya dengan izinnya, sementara tangan kanannya berada di bawah meja, bersiap untuk membuka telefonnya sendiri. John menumpukan perhatiannya di tangan kirinya, telefonnya, John banyak membincangkan telefonnya, beratnya, kelajuannya dan sebagainya.
Sekarang, John memulakan Serangan dengan mematikan kelantangan nada dering telefon Bima menjadi sifar, untuk menghalangnya mengenali apakah pemberitahuan baru masuk. Tangan kiri John masih menarik perhatiannya, sementara tangan kanannya sebenarnya menekan Teruskan butang. Sebaik sahaja John menekan butang, mesej itu masuk.
Ding ... Tiada suara. Bima belum mengenali mesej masuk kerana monitor menghadap John. John segera membuka mesej, membaca dan mengingatnya Pin Digit dalam SMS, dan kemudian menghapusnya tidak lama lagi. Sekarang dia sudah selesai dengan telefon Bima, John memberikan kembali telefon Bima kepadanya sementara tangan kanan John mengeluarkan telefonnya sendiri dan mula menaip segera Pin Digit dia baru ingat.
Kemudian John menekan Teruskan. Halaman baru muncul, ia bertanya sama ada dia mahu membuat kata laluan baru atau tidak.
John tidak akan menukar kata laluan kerana dia tidak jahat. Tetapi, dia kini mempunyai akaun facebook Bima. Dan dia telah berjaya dengan misinya.
Seperti yang anda lihat, senario itu kelihatan begitu mudah, tetapi hei, betapa mudahnya anda dapat mengambil dan meminjam telefon rakan anda? Sekiranya anda mempunyai kaitan dengan hipotesis dengan mempunyai telefon rakan anda, anda akan mendapat apa sahaja yang anda mahukan.
