Gli attacchi di ingegneria sociale (dal punto di vista dell'hacking) sono abbastanza simili all'esecuzione di uno spettacolo di magia. La differenza è che, negli attacchi di ingegneria sociale, è un trucco magico in cui il risultato è un conto bancario, social media, e-mail, persino l'accesso a un computer di destinazione. Chi ha creato il sistema? UN UMANO. Fare Social Engineering Attack è facile, fidati, è davvero facile. Nessun sistema è sicuro. Gli esseri umani sono la migliore risorsa e l'endpoint delle vulnerabilità della sicurezza mai esistiti.
Nell'ultimo articolo, ho fatto una demo del targeting per account Google, Kali Linux: Toolkit di ingegneria sociale , questa è un'altra lezione per te.
Abbiamo bisogno di un determinato sistema operativo di Penetration Testing per eseguire un attacco di ingegneria sociale? In realtà no, Social Engineering Attack è flessibile, gli strumenti come Kali Linux sono solo strumenti. Il punto principale di Social Engineering Attack riguarda la progettazione del flusso di attacco.
Nell'ultimo articolo sull'attacco di ingegneria sociale abbiamo appreso l'attacco di ingegneria sociale utilizzando TRUST. E in questo articolo impareremo a conoscere l'ATTENZIONE. Ho ricevuto questa lezione da un re dei ladri Apollo Robbins . Il suo background è abile mago, mago di strada. Potresti vedere il suo spettacolo su YouTube. Una volta ha spiegato in un TED Talk, su come rubare le cose. La sua abilità consiste principalmente nel giocare con l'attenzione della vittima per borseggiare le sue cose, come orologi, portafogli, soldi, carte, qualsiasi cosa nella tasca delle vittime, senza riconoscimento. Ti mostrerò come condurre un attacco di ingegneria sociale per hackerare l'account Facebook di qualcuno usando FIDUCIA e ATTENZIONE. La chiave con ATTENZIONE è continuare a parlare velocemente e fare domande. Tu sei il pilota della conversazione.
Lo scenario di attacco di ingegneria sociale
Questo scenario coinvolge 2 attori, John come attaccante e Bima come vittima. John fisserà Bima come obiettivo. L'obiettivo di Social Engineering Attack qui è ottenere l'accesso all'account Facebook della vittima. Il flusso di attacco utilizzerà un approccio e un metodo diversi. John e Bima sono amici, si incontrano spesso in mensa all'ora di pranzo durante il riposo nel loro ufficio. John e Bima lavorano in reparti diversi, si incontrano solo quando pranzano in mensa. Si incontrano spesso e parlano tra loro fino ad ora sono compagni.
Un giorno, John cattivo, è determinato a praticare l'attacco di ingegneria sociale usando il gioco ATTENZIONE, che ho menzionato prima, si è ispirato a Il re dei ladri Apollo Robbins. In una delle sue presentazioni, Robbins ha detto che abbiamo due occhi, ma il nostro cervello può concentrarsi solo su una cosa. Possiamo fare il multitasking, ma non è fare i diversi compiti insieme allo stesso tempo, invece spostiamo rapidamente la nostra attenzione su ogni compito.
All'inizio della giornata, il lunedì, in ufficio, come al solito John è nella sua stanza seduto alla sua scrivania. Sta pianificando di ottenere la strategia per hackerare l'account Facebook del suo amico. Dovrebbe essere pronto prima di pranzo. Sta pensando e chiedendosi mentre è seduto alla sua scrivania.
Quindi prende un foglio di carta, si siede sulla sua sedia, che è di fronte al suo computer. Visita la pagina Facebook per trovare un modo per hackerare l'account di qualcuno.
FASE 1: TROVA LA FINESTRA INIZIALE a.k.a HOLE
Nella schermata di accesso, nota un collegamento denominato account dimenticato, Qui John utilizzerà il vantaggio di conto dimenticato ( funzione di recupero password). Facebook ha già servito la nostra finestra iniziale su: https://www.facebook.com/login/identify?ctx=recover.
La pagina dovrebbe assomigliare a questa:
Nel campo trova il tuo account sezione, c'è una frase che dice, Inserisci il tuo indirizzo email o numero di telefono per cercare il tuo account . Da qui otteniamo un altro set di finestre: l'indirizzo email si riferisce a Account email e il numero di telefono si riferisce a Mobile Telefono . Quindi, John ha un'ipotesi che, se avesse l'account e-mail o il telefono cellulare della vittima, avrà accesso all'account Facebook della vittima.
FASE 2: COMPILA IL FORM PER IDENTIFICARE L'ACCOUNT
Ok, da qui John inizia a pensare profondamente. Non sa quale sia l'indirizzo e-mail di Bima, ma ha salvato il numero di telefono di Bima sul suo cellulare. Quindi prende il telefono e cerca il numero di telefono di Bima. Ed eccolo lì, l'ha trovato. Inizia a digitare il numero di telefono di Bima in quel campo. Dopodiché preme il pulsante Cerca. L'immagine dovrebbe assomigliare a questa:
Ha capito, ha scoperto che il numero di telefono di Bima è collegato al suo account Facebook. Da qui, tiene solo e non preme il Continua pulsante. Per ora, si è solo assicurato che questo numero di telefono sia collegato all'account Facebook della vittima, in modo che si avvicini alla sua ipotesi.
Ciò che John ha effettivamente fatto è fare ricognizione o raccolta di informazioni sulla vittima. Da qui John ha informazioni sufficienti ed è pronto per l'esecuzione. Ma, John incontrerà Bima in mensa, è impossibile per John portare il suo computer, giusto? Nessun problema, ha una soluzione pratica, che è il suo cellulare. Quindi, prima di incontrare Bima, ripete il PASSO 1 e 2 sul browser Chrome del suo cellulare Android. Sarebbe simile a questo:
FASE 3: INCONTRA LA VITTIME
Bene, ora è tutto pronto e pronto. Tutto quello che John deve fare è prendere il telefono di Bima, fare clic su Continua pulsante sul suo telefono, leggere il messaggio di posta in arrivo SMS inviato da Facebook (il codice di ripristino) sul telefono di Bima, ricordarlo ed eliminare il messaggio in una sola frazione di tempo, rapidamente.
Questo piano gli rimane in testa mentre ora sta andando alla mensa. John mise il telefono in tasca. Entrò nella zona mensa, alla ricerca di Bima. Girò la testa da sinistra a destra per capire dove diavolo fosse Bima. Come al solito è sul sedile d'angolo, fa un cenno con la mano a John, era pronto con il suo pasto.
Subito John prende una piccola porzione di pasto questo mezzogiorno, e si avvicina al tavolo con Bima. Saluta Bima e poi mangiano insieme. Mentre mangia, John si guarda intorno, nota che il telefono di Bima è sul tavolo.
Dopo aver finito il pranzo, parlano l'uno dell'altro giorno. Come al solito, fino a quando, ad un certo punto, John ha aperto un nuovo argomento sui telefoni. John gli dice che John ha bisogno di un nuovo telefono e John ha bisogno del suo consiglio su quale telefono è adatto a John. Poi ha chiesto del telefono di Bima, ha chiesto tutto, il modello, le specifiche, tutto. E poi John gli chiede di provare il suo telefono, John si comporta come se fosse davvero un cliente che cerca un telefono. La mano sinistra di John afferra il suo telefono con il suo permesso, mentre la sua mano destra è sotto il tavolo, preparandosi ad aprire il proprio telefono. John pone la sua attenzione sulla sua mano sinistra, il suo telefono, John ha parlato tanto del suo telefono, del suo peso, della sua velocità e così via.
Ora, John inizia l'attacco spegnendo a zero il volume della suoneria del telefono di Bima, per impedirgli di riconoscere se arriva una nuova notifica. La mano sinistra di John ha ancora la sua attenzione, mentre la sua mano destra sta effettivamente premendo il Continua pulsante. Non appena John ha premuto il pulsante, il messaggio arriva.
Ding.. Nessun suono. Bima non ha riconosciuto il messaggio in arrivo perché il monitor è rivolto verso John. John apre immediatamente il messaggio, legge e ricorda il Pin a 6 cifre nell'SMS, quindi lo elimina presto. Ora che ha finito con il telefono di Bima, John gli restituisce il telefono di Bima mentre la mano destra di John prende il suo telefono e inizia a digitare immediatamente il Pin a 6 cifre si è appena ricordato.
Poi John preme Continua. Viene visualizzata la nuova pagina, ha chiesto se vuole creare una nuova password o meno.
John non cambierà la password perché non è malvagio. Ma ora ha l'account Facebook di Bima. E ha successo con la sua missione.
Come puoi vedere, lo scenario sembra così semplice, ma ehi, con quanta facilità potresti prendere e prendere in prestito il telefono dei tuoi amici? Se ti metti in correlazione con l'ipotesi avendo il telefono dei tuoi amici puoi ottenere quello che vuoi, male.