Metasploit - Rekayasa Sosial

Manipulasi psikologis dapat didefinisikan secara luas sebagai proses mengekstraksi informasi sensitif (seperti nama pengguna dan sandi) dengan trik. Peretas terkadang menggunakan situs web palsu dan serangan phishing untuk tujuan ini. Mari kita coba memahami konsep serangan Social Engineering melalui beberapa contoh.

Contoh 1

Anda pasti telah memperhatikan dokumen perusahaan lama yang dibuang ke tempat sampah sebagai sampah. Dokumen-dokumen ini mungkin berisi informasi sensitif seperti Nama, Nomor Telepon, Nomor Rekening, Nomor Jaminan Sosial, Alamat, dll. Banyak perusahaan masih menggunakan kertas karbon di mesin faks mereka dan setelah gulungan selesai, karbonnya masuk ke tempat sampah yang mungkin memiliki jejak data sensitif. Meski terdengar mustahil, namun penyerang dapat dengan mudah mengambil informasi dari tempat pembuangan sampah perusahaan dengan cara mencuri melalui sampah.

Contoh 2

Seorang penyerang mungkin berteman dengan personel perusahaan dan menjalin hubungan baik dengannya selama jangka waktu tertentu. Hubungan ini dapat dibangun secara online melalui jejaring sosial, ruang obrolan, atau offline di meja kopi, di taman bermain, atau melalui cara lain. Penyerang mengambil personel kantor dengan rahasia dan akhirnya menggali informasi sensitif yang diperlukan tanpa memberikan petunjuk.

Contoh 3

Seorang insinyur sosial dapat berpura-pura menjadi karyawan atau pengguna yang sah atau VIP dengan memalsukan kartu identitas atau hanya dengan meyakinkan karyawan tentang posisinya di perusahaan. Penyerang seperti itu dapat memperoleh akses fisik ke area terlarang, sehingga memberikan peluang lebih lanjut untuk serangan.

Contoh 4

Ini terjadi di sebagian besar kasus di mana penyerang mungkin berada di sekitar Anda dan dapat melakukannya shoulder surfing saat Anda mengetik informasi sensitif seperti ID pengguna dan kata sandi, PIN akun, dll.

Serangan Rekayasa Sosial di Metasploit

Di bagian ini, kita akan membahas bagaimana Anda bisa memulai serangan Social Engineering menggunakan Metasploit.

Pertama-tama, buka halaman Beranda Metasploit dan klik Phishing Campaign, seperti yang ditunjukkan pada tangkapan layar berikut.

Masukkan nama proyek dan klik Next.

Masukkan nama kampanye. Dalam kasus kami, itu benarLab. Selanjutnya, klikE-mail ikon di bawah Campaign Components.

Di layar berikutnya, Anda perlu menyediakan data yang diminta sesuai dengan kampanye Anda.

Selanjutnya, klik Contentikon (nomor 2) jika Anda ingin mengubah apa pun di konten email. Setelah mengubah konten, klikSave.

Selanjutnya, klik Landing Page ikon untuk menyetel URL tempat Anda ingin mengarahkan pengguna yang tertipu.

Seperti yang ditunjukkan pada tangkapan layar berikut, masukkan URL di Path dan klik Next.

Di layar berikutnya, klik tombol Clone Websiteyang akan membuka jendela lain. Di sini, Anda harus memasukkan situs web yang ingin Anda klon. Seperti yang Anda lihat di tangkapan layar berikut, kami masuktutorialpoint.comdi lapangan ini. Selanjutnya, klikClone tombol dan simpan perubahan Anda.

Selanjutnya, klik Redirect Page tombol.

Klik Next dan Anda akan melihat layar berikut.

Anda dapat mengklik Clone Website untuk mengkloning situs web yang dialihkan lagi.

Selanjutnya, di Server Configuration bagian, klik E-mail Server tombol.

Di layar berikutnya, masuk mailserver settingsyang akan digunakan sebagai relai untuk mengirim email phishing ini. Lalu klikSave.

Dalam Notifications bagian, ada opsi untuk Notify others before launching the campaign. Anda dapat memilih untuk menggunakan opsi ini untuk memberi tahu orang lain. Lalu klikSave.

Selanjutnya, Anda akan melihat jendela baru. Di sini, Anda perlu mengklikStart tombol untuk memulai proses pengiriman email phishing.

Metasploit memiliki opsi untuk menghasilkan laporan statistik kampanye phishing Anda. Ini akan muncul seperti yang ditunjukkan pada tangkapan layar berikut.