Social Engineering Toolkit – techniki inżynierii społecznej
13 min

Social Engineering Toolkit – techniki inżynierii społecznej

defsec0Tagged , , , , , , , , ,

Podstawy Social Engineering Toolkit (SET)

Social Engineering Toolkit (SET) to zaawansowane narzędzie służące do przeprowadzania ataków socjotechnicznych. Zostało stworzone przez Dave’a Kennedy’ego, eksperta ds. bezpieczeństwa, i jest szeroko stosowane przez pentesterów oraz badaczy bezpieczeństwa do audytów i testów penetracyjnych. Dzięki SET można skutecznie symulować różne scenariusze ataków socjotechnicznych, które pomagają w identyfikacji potencjalnych luk w zabezpieczeniach. Poniżej przedstawiamy podstawowe informacje i funkcje tego narzędzia.

Instalacja SET

Na początek, warto zainstalować SET na systemie operacyjnym Linux, np. na Kali Linux. Aby zainstalować SET, należy uruchomić terminal i wprowadzić następujące komendy:

git clone https://github.com/trustedsec/social-engineer-toolkit.git
cd social-engineer-toolkit
python setup.py install

Po tych krokach SET zostanie zainstalowany w systemie i będzie gotowy do użycia.

Interfejs SET

SET działa w trybie tekstowym i posiada menu, które ułatwia nawigację oraz wybór odpowiednich opcji do przeprowadzenia ataku. Po uruchomieniu aplikacji komendą setoolkit, użytkownik zostanie przywitany przez intuicyjne menu główne:

Select from the menu:

  1) Social-Engineering Attacks
  2) Penetration Testing (Fast-Track)
  3) Third Party Modules
  4) Update the Social-Engineer Toolkit
  5) Update SET configuration
  6) Help, Credits, and About

Enter your choice:

Kluczowe Funkcje SET

1. Ataki Socjotechniczne

Pierwsza opcja w menu głównym to „Social-Engineering Attacks”, która pozwala na dostęp do różnych metod ataków. Po jej wybraniu pojawia się następne menu z bardziej szczegółowymi opcjami:

Select from the menu:

  1) Spear-Phishing Attack Vectors
  2) Website Attack Vectors
  3) Infectious Media Generator
  4) Create a Payload and Listener
  5) Mass Mailer Attack
  6) Arduino-Based Attack Vector
  7) Wireless Access Point Attack Vector
  8) QRCode Generator Attack Vector
  9) Powershell Attack Vectors
 10) Third Party Modules

Enter your choice:

1.1. Spear-Phishing Attack Vectors

Ataki typu spear-phishing polegają na wysyłaniu zmanipulowanych wiadomości e-mail, które mają na celu nakłonić użytkownika do kliknięcia w złośliwy link lub załącznik. SET umożliwia generowanie takich wiadomości oraz załączanie szkodliwego kodu lub linków.

1.2. Website Attack Vectors

Jedną z najpopularniejszych technik jest klonowanie stron internetowych, takich jak strony logowania do usług online, i hostowanie ich na własnym serwerze, aby przechwycić dane uwierzytelniające.

1.3. Infectious Media Generator

Ta funkcja pozwala na tworzenie zainfekowanych nośników, takich jak pendrive’y, które po podłączeniu do komputera ofiary uruchomią złośliwy kod.

2. Generowanie Payloadów i Słuchaczy

SET umożliwia tworzenie różnych typów payloadów, które mogą być dostarczone na komputer ofiary za pomocą różnych technik, a następnie uruchomione w celu ustanowienia połączenia ze słuchaczem, pozwalając na zdalne zarządzanie urządzeniem ofiary.

Bezpieczeństwo i Etyka

Używanie SET i innych narzędzi do testów penetracyjnych powinno być zawsze zgodne z prawem i etyką. Testy powinny być przeprowadzane tylko na systemach, na które pentester posiada odpowiednie uprawnienia. Istotne jest zrozumienie, że narzędzia te są dwuostrzowe – mogą być użyte zarówno dla celów edukacyjnych i poprawy bezpieczeństwa, jak i do nielegalnych działań.

Podsumowanie

Social Engineering Toolkit to potężne narzędzie, które jest nieocenioną pomocą w testach penetracyjnych i badaniach nad bezpieczeństwem IT. Jego różnorodne funkcje pozwalają na przeprowadzenie realistycznych symulacji ataków socjotechnicznych, co przyczynia się do lepszego zrozumienia potencjalnych zagrożeń i wzmocnienia systemów bezpieczeństwa. Jednakże, jak każde narzędzie, wymaga odpowiedzialnego i etycznego użycia.

Najczęściej używane techniki inżynierii społecznej

Inżynieria społeczna to zestaw technik manipulacyjnych stosowanych w celu nakłaniania ludzi do ujawniania poufnych informacji lub wykonywania określonych działań. W odróżnieniu od metod technicznych, takich jak włamania przy użyciu oprogramowania, inżynieria społeczna skupia się na psychologicznych aspektach ludzkiego zachowania. W tym artykule omówimy najbardziej popularne techniki inżynierii społecznej stosowane przez cyberprzestępców.

Phishing

Phishing to prawdopodobnie najbardziej rozpoznawalna forma inżynierii społecznej. Polega na wysyłaniu fałszywych wiadomości e-mail, które wyglądają jak autentyczne komunikaty od zaufanych instytucji, takich jak banki, sklepy internetowe czy serwisy społecznościowe. Celem jest skłonienie odbiorcy do kliknięcia w złośliwy link lub pobrania załącznika, co skutkuje ujawnieniem danych logowania, numerów kart kredytowych lub instalacją malware.

Jak się bronić?

  1. Sprawdzaj nadawcę: Zawsze dokładnie sprawdź adres e-mail nadawcy.
  2. Zweryfikuj linki: Zanim klikniesz na link, przesuń nad nim myszę i sprawdź, jaki adres URL się wyświetla.
  3. Aktualizuj oprogramowanie: Regularnie aktualizuj oprogramowanie antywirusowe i filtry anty-malware.

Pretexting

Pretexting to technika, w której przestępca tworzy fikcyjną historię lub pretekst, aby uzyskać od ofiary poufne informacje. Może to być udawanie pracownika działu IT potrzebującego danych logowania do „rozwiązania pilnego problemu” albo udawanie przedstawiciela firmy, który potrzebuje szczegółów dotyczących konta.

Jak się bronić?

  1. Weryfikacja tożsamości: Zawsze weryfikuj tożsamość osoby proszącej o informacje, szczególnie jeśli są one poufne.
  2. Zasady firmowe: Stosowanie ścisłych protokołów weryfikacyjnych w firmie może znacznie obniżyć ryzyko pretextingu.

Baiting

Baiting to technika polegająca na oferowaniu czegoś atrakcyjnego w zamian za informacje. Może to być darmowe oprogramowanie, muzyka, filmy czy inne pliki, które w rzeczywistości zawierają złośliwe oprogramowanie. Często używane są też fizyczne przynęty, takie jak zainfekowane pendrive’y pozostawione w miejscach publicznych.

Jak się bronić?

  1. Nieufność wobec nieznanego: Nigdy nie podłączaj nieznanego urządzenia do komputera.
  2. Bezpieczeństwo plików: Pobieraj pliki tylko z zaufanych źródeł.

Quid Pro Quo

Quid Pro Quo to forma inżynierii społecznej, w której przestępca oferuje usługę w zamian za coś innego. Na przykład oferuje pomoc techniczną w rozwiązaniu problemu komputerowego, ale w zamian prosi o dane logowania lub inne informacje.

Jak się bronić?

  1. Ostrożność przy pomocy technicznej: Korzystaj tylko z zaufanych źródeł pomocy technicznej.
  2. Zasady firmowe: Edukowanie pracowników na temat potencjalnych zagrożeń.

Tailgating

Tailgating, znany również jako „piggybacking”, to technika, w której osoba nieautoryzowana wślizguje się do zabezpieczonego obszaru, wykorzystując autoryzowaną osobę. Na przykład przestępca może udawać dostawcę i wślizgnąć się za pracownikiem do biura.

Jak się bronić?

  1. Identyfikacja pracowników: Upewnij się, że wszyscy pracownicy używają identyfikatorów.
  2. Zamknięte drzwi: Nie pozwalaj obcym osobom na wślizgiwanie się za Tobą do zabezpieczonych obszarów.

Spear Phishing

Spear phishing to bardziej zaawansowana forma phishingu, skierowana na konkretne osoby lub organizacje. W tej technice przestępca zbiera personalizowane informacje o ofierze, aby wiadomość wydawała się bardziej autentyczna. Na przykład, może to być e-mail od „szefa” proszący o przelanie pieniędzy na nowe konto firmowe.

Jak się bronić?

  1. Edukacja: Regularne szkolenia na temat zagrożeń phishingowych.
  2. Weryfikacja: Potwierdzenie żądań finansowych lub prośby o informacje przez drugi kanał komunikacji.

Vishing

Vishing, czyli „voice phishing”, to technika korzystająca z rozmów telefonicznych. Przestępcy podszywają się pod zaufane instytucje, takie jak banki, i proszą o ujawnienie poufnych informacji, takich jak numery kart kredytowych czy hasła.

Jak się bronić?

  1. Weryfikacja połączeń: Nigdy nie ujawniaj poufnych informacji przez telefon bez weryfikacji tożsamości dzwoniącego.
  2. Odłożenie słuchawki: W przypadku wątpliwości lepiej zakończyć rozmowę i zadzwonić bezpośrednio do instytucji.

Impersonation

Impersonation, czy też podszywanie się, to technika, w której przestępca udaje inną osobę, aby zdobyć zaufanie ofiary i uzyskać dostęp do poufnych informacji. Może to być inspektor bezpieczeństwa, który potrzebuje przeprowadzić „kontrolę”, lub fałszywy kolega z pracy proszący o dane.

Jak się bronić?

  1. Świadomość zagrożeń: Regularne szkolenia na temat różnych form podszywania się.
  2. Procedury weryfikacyjne: Wprowadzenie i przestrzeganie ścisłych procedur weryfikacji tożsamości.

Praktyczne przykłady ataków z użyciem Social-Engineer Toolkit (SET)

Wprowadzenie

Social-Engineer Toolkit (SET) to potężne narzędzie przeznaczone do przeprowadzania ataków inżynierii społecznej. Rozwijane przez Dave Kennedy’ego oraz społeczność open-source, SET jest niezwykle efektywnym środkiem do testowania bezpieczeństwa systemów oraz szkoleń z zakresu świadomości bezpieczeństwa. W tym artykule przedstawimy kilka praktycznych przykładów wykorzystania SET do przeprowadzania ataków, aby lepiej zrozumieć jego możliwości i potencjalne zagrożenia.

Przykład 1: Atak Phishingowy

Przygotowanie ataku

  1. Otwórz terminal i uruchom SET: 
    sudo setoolkit
  2. Wybierz opcję 1 - Social-Engineering Attacks.

  3. Następnie wybierz 2 - Website Attack Vectors.

  4. Wybierz 2 - Site Cloner.

Konfiguracja

SET poprosi o wprowadzenie IP adresu (adres lokalny lub zewnętrzny) oraz URL strony, którą chcesz sklonować. W naszym przykładzie:
– IP: 192.168.1.100
– URL: `http://example.com`

SET sklonuje stronę example.com i będzie słuchał na wskazanym IP adresie. Gdy ofiara odwiedzi naszą podrobioną stronę, będzie ona wiernie odwzorowana, co zwiększa szanse na podanie przez ofiarę swoich danych logowania.

Wysyłanie Fałszywej Wiadomości Email

Możesz teraz wysłać e-mail zawierający fałszywy link do sklonowanej strony. SET oferuje również narzędzia do generowania takich e-maili:

  1. Wróć do głównego menu SET.
  2. Wybierz 1 - Social-Engineering Attacks.
  3. Następnie 5 - Mass Mailer Attack.
  4. Wybierz opcję E-Mail Attack.

Wprowadź szczegóły e-maila, np. nadawcę i treść, która zachęci ofiarę do kliknięcia w link. Gdy ktoś kliknie na link, zostanie przekierowany na sklonowaną stronę phishingową, gdzie dane logowania zostaną przechwycone przez SET.

Przykład 2: Atak z użyciem Payloadu USB

Przygotowanie Payloadu

  1. W menu głównym SET wybierz 3 - Infectious Media Generator.

  2. Wybierz opcję 3 - Standard Metasploit Executable.

  3. Wybierz typ payloadu, na przykład 2 - Windows Reverse_TCP Meterpreter.

SET wygeneruje plik malicious.exe, który można skopiować na dowolny nośnik USB.

Dystrybucja Payloadu

Nośnik USB można umieścić w miejscu, gdzie potencjalne ofiary mogą go znaleźć, np. w biurze lub na parkingu. Kiedy ofiara podłączy USB do swojego komputera i uruchomi malicious.exe, SET nawiąże zdalne połączenie z komputerem ofiary, dając atakującemu pełny dostęp do systemu.

Przykład 3: Atak przez Spoofing SMS

Przygotowanie Ataku

  1. W menu głównym SET wybierz 1 - Social-Engineering Attacks.

  2. Następnie wybierz 9 - SMS Spoofing Attack Vector.

Konfiguracja

  • Wprowadź numer telefonu nadawcy (może to być numer, który ofiara rozpozna, np. numer kolegi lub firmy).
  • Wprowadź numer telefonu ofiary.
  • Wprowadź treść wiadomości SMS, która ma na celu wyłudzenie informacji lub nakłonienie ofiary do wykonania określonej akcji.

Przykład: „Twój bank: Zauważyliśmy podejrzaną aktywność na Twoim koncie. Proszę, natychmiast skontaktuj się z nami dzwoniąc pod numer 123-456-789.”

Wiadomość SMS zostanie wysłana do ofiary, manipulując jej decyzjami oraz zachowaniem.

Przykład 4: Złośliwy Update Oprogramowania

Przygotowanie Ataku

  1. W menu głównym SET wybierz 1 - Social-Engineering Attacks.

  2. Następnie wybierz 8 - De-aut connect.

Konfiguracja

SET symuluje aktualizację oprogramowania, np. przeglądarki lub systemu operacyjnego. Ofiara zostanie poinformowana o konieczności aktualizacji i poproszona o pobranie „aktualizacji” zawierającej złośliwe oprogramowanie.

Przykład: Symulowana strony mogą wyglądać jak wyskakujące okienko przeglądarki, informujące o pilnej aktualizacji Flash Playera. Pobranie i instalacja fałszywej aktualizacji pozwalają atakującemu na przejęcie kontroli nad systemem ofiary.

Podsumowanie

Social-Engineer Toolkit (SET) jest narzędziem niezwykle potężnym i elastycznym, umożliwiającym przeprowadzanie różnorodnych ataków socjotechnicznych. Przedstawione przykłady ataków ilustrują tylko część możliwości, jakie oferuje SET. Warto zauważyć, że tego rodzaju narzędzia powinny być wykorzystywane etycznie i tylko w celach edukacyjnych, audytorskich lub podczas testów penetracyjnych na wyraźne życzenie i za zgodą właściciela testowanej infrastruktury.

Zrozumienie i znajomość technik, które mogą być wykorzystane przez cyberprzestępców, jest kluczowa dla skutecznego zabezpieczania systemów komputerowych oraz podnoszenia świadomości użytkowników w zakresie zagrożeń związanych z inżynierią społeczną.

Website http://localhost:8888

Related Posts