Metasploit - Kỹ thuật xã hội
Kỹ thuật xã hội có thể được định nghĩa rộng rãi là một quá trình trích xuất thông tin nhạy cảm (chẳng hạn như tên người dùng và mật khẩu) bằng thủ thuật. Tin tặc đôi khi sử dụng các trang web giả mạo và các cuộc tấn công lừa đảo cho mục đích này. Chúng ta hãy thử tìm hiểu khái niệm về các cuộc tấn công Social Engineering thông qua một số ví dụ.
ví dụ 1
Bạn hẳn đã nhận thấy các tài liệu cũ của công ty bị vứt vào thùng rác như rác. Những tài liệu này có thể chứa thông tin nhạy cảm như Tên, Số điện thoại, Số Tài khoản, Số An sinh Xã hội, Địa chỉ, v.v. Nhiều công ty vẫn sử dụng giấy than trong máy fax của họ và sau khi hết cuộn, carbon của nó sẽ đi vào thùng rác và có thể có dấu vết dữ liệu nhạy cảm. Mặc dù nghe có vẻ không chắc chắn, nhưng những kẻ tấn công có thể dễ dàng lấy thông tin từ những người đổ rác của công ty bằng cách ăn cắp thông qua thùng rác.
Ví dụ 2
Kẻ tấn công có thể kết bạn với nhân viên công ty và thiết lập mối quan hệ tốt với anh ta trong một khoảng thời gian. Mối quan hệ này có thể được thiết lập trực tuyến thông qua mạng xã hội, phòng trò chuyện hoặc ngoại tuyến tại bàn cà phê, trong sân chơi hoặc thông qua bất kỳ phương tiện nào khác. Kẻ tấn công khiến các nhân viên văn phòng tự tin và cuối cùng đào được thông tin nhạy cảm được yêu cầu mà không đưa ra manh mối.
Ví dụ 3
Một kỹ sư xã hội có thể giả làm nhân viên hoặc người dùng hợp lệ hoặc khách VIP bằng cách làm giả thẻ nhận dạng hoặc đơn giản bằng cách thuyết phục nhân viên về vị trí của mình trong công ty. Kẻ tấn công như vậy có thể truy cập vật lý vào các khu vực hạn chế, do đó tạo cơ hội cho các cuộc tấn công hơn nữa.
Ví dụ 4
Nó xảy ra trong hầu hết các trường hợp mà kẻ tấn công có thể ở xung quanh bạn và có thể làm shoulder surfing trong khi bạn đang nhập thông tin nhạy cảm như ID người dùng và mật khẩu, mã PIN tài khoản, v.v.
Cuộc tấn công kỹ thuật xã hội trong Metasploit
Trong phần này, chúng ta sẽ thảo luận về cách bạn có thể bắt đầu một cuộc tấn công Social Engineering bằng Metasploit.
Trước hết, hãy truy cập Trang chủ của Metasploit và nhấp vào Phishing Campaign, như được hiển thị trong ảnh chụp màn hình sau đây.
Nhập tên của dự án và nhấp vào Tiếp theo.
Nhập tên của chiến dịch. Trong trường hợp của chúng tôi, nó làLab. Tiếp theo, nhấp vàoE-mail biểu tượng dưới Campaign Components.
Trên màn hình tiếp theo, bạn cần cung cấp dữ liệu được yêu cầu theo chiến dịch của mình.
Tiếp theo, nhấp vào Contentbiểu tượng (số 2) nếu bạn muốn thay đổi bất cứ điều gì trong nội dung của email. Sau khi thay đổi nội dung, nhấp vàoSave.
Tiếp theo, nhấp vào Landing Page để đặt các URL mà bạn muốn chuyển hướng người dùng bị lừa của mình.
Như được hiển thị trong ảnh chụp màn hình sau, hãy nhập URL tại Path và bấm vào Next.
Trên màn hình tiếp theo, hãy nhấp vào nút Clone Websitesẽ mở ra một cửa sổ khác. Tại đây, bạn cần nhập trang web mà bạn muốn sao chép. Như bạn có thể thấy trong ảnh chụp màn hình sau, chúng tôi đã nhậptutorialpoint.comtrong lĩnh vực này. Tiếp theo, nhấp vàoClone và lưu các thay đổi của bạn.
Tiếp theo, nhấp vào Redirect Page cái nút.
Nhấp chuột Next và bạn sẽ thấy màn hình sau.
Bạn có thể nhấp vào Clone Website để sao chép lại trang web được chuyển hướng.
Tiếp theo, trong Server Configuration , nhấp vào E-mail Server cái nút.
Trên màn hình tiếp theo, hãy nhập mailserver settingssẽ được sử dụng như một thiết bị chuyển tiếp để gửi email lừa đảo này. Sau đó nhấp vàoSave.
bên trong Notifications , có một tùy chọn để Notify others before launching the campaign. Bạn có thể chọn sử dụng tùy chọn này để thông báo cho người khác. Sau đó nhấp vàoSave.
Tiếp theo, bạn sẽ thấy một cửa sổ mới. Tại đây, bạn cần nhấp vàoStart để bắt đầu quá trình gửi thư lừa đảo.
Metasploit có các tùy chọn để tạo báo cáo thống kê về chiến dịch lừa đảo của bạn. Nó sẽ xuất hiện như trong ảnh chụp màn hình sau.