Metasploit-ソーシャルエンジニアリング

ソーシャルエンジニアリングは、トリックによって機密情報(ユーザー名やパスワードなど)を抽出するプロセスとして広く定義できます。ハッカーは、この目的で偽のWebサイトやフィッシング攻撃を使用することがあります。いくつかの例を通して、ソーシャルエンジニアリング攻撃の概念を理解してみましょう。

例1

古い会社の文書がゴミ箱にゴミとして捨てられていることに気づいたに違いありません。これらの文書には、名前、電話番号、口座番号、社会保障番号、住所などの機密情報が含まれている可能性があります。多くの企業は依然としてファックス機でカーボンペーパーを使用しており、ロールが終了すると、そのカーボンはゴミ箱に入り、痕跡がある可能性があります機密データの。ありそうもないように聞こえますが、攻撃者はゴミを盗むことで会社のごみ箱から簡単に情報を取得できます。

例2

攻撃者は会社の担当者と友達になり、一定期間にわたって彼と良好な関係を築く可能性があります。この関係は、ソーシャルネットワーク、チャットルームを介してオンラインで確立することも、コーヒーテーブル、遊び場、またはその他の手段を介してオフラインで確立することもできます。攻撃者はオフィスの担当者を自信を持って取り、最終的に手がかりを与えることなく必要な機密情報を掘り出します。

例3

ソーシャルエンジニアは、身分証明書を偽造するか、単に会社での自分の立場を従業員に納得させることによって、従業員、有効なユーザー、またはVIPのふりをすることができます。このような攻撃者は、制限された領域に物理的にアクセスできるため、攻撃の機会がさらに増えます。

例4

ほとんどの場合、攻撃者があなたの周りにいて、それができる可能性があります。 shoulder surfing ユーザーIDとパスワード、アカウントPINなどの機密情報を入力している間。

Metasploitでのソーシャルエンジニアリング攻撃

このセクションでは、Metasploitを使用してソーシャルエンジニアリング攻撃を開始する方法について説明します。

まず、Metasploitのホームページに移動してクリックします Phishing Campaign、次のスクリーンショットに示すように。

プロジェクトの名前を入力し、[次へ]をクリックします。

キャンペーンの名前を入力します。私たちの場合、それはLab。次に、をクリックしますE-mail 下のアイコン Campaign Components

次の画面で、キャンペーンに応じて要求されたデータを提供する必要があります。

次に、をクリックします Contentメールの内容を変更したい場合はアイコン(番号2)。コンテンツを変更したら、Save

次に、をクリックします Landing Page アイコンを使用して、だまされたユーザーをリダイレクトするURLを設定します。

次のスクリーンショットに示すように、次のURLを入力します。 Path をクリックします Next

次の画面で、ボタンをクリックします Clone Website別のウィンドウが開きます。ここで、クローンを作成するWebサイトを入力する必要があります。次のスクリーンショットでわかるように、tutorialpoint.comこの分野で。次に、をクリックしますClone ボタンをクリックして、変更を保存します。

次に、をクリックします Redirect Page ボタン。

クリック Next 次の画面が表示されます。

あなたはクリックすることができます Clone Website ボタンをクリックして、リダイレクトされたWebサイトのクローンを再度作成します。

次に、 Server Configuration セクションをクリックし、 E-mail Server ボタン。

次の画面で、 mailserver settingsこれは、このフィッシングメールを送信するためのリレーとして使用されます。次に、をクリックしますSave

の中に Notifications セクション、へのオプションがあります Notify others before launching the campaign。このオプションを使用して、他の人に通知することを選択できます。次に、をクリックしますSave

次に、新しいウィンドウが表示されます。ここでは、をクリックする必要がありますStart フィッシングメールの送信プロセスを開始するためのボタン。

Metasploitには、フィッシングキャンペーンの統計レポートを生成するオプションがあります。次のスクリーンショットに示すように表示されます。