对于社会工程学,大家可能很陌生,对它的认识充其量不过是点皮毛,而人往往是网络安全中一个远比设备和程序更加重要的因素,围绕
Kali中社会工程学工具包Social Engineering Toolkit(SET),我们展开这一期的主题是【网络钓鱼 (用户名和密码的窃取)】
🌙 前言
严正声明
仅限于技术讨论与分享 严禁用于非法途径
🌑 简介
社会工程攻击,是一种利用“社会工程学” (Social Engineering)来实施的网络攻击行为。比如下载的软件中捆绑了流氓软件、邮件中包含病毒、二维码中包括钓鱼网站等,都是近来社会工程学的成功应用的代表
Kali Linux系统中集成了一款社会工程学工具包(SET),它是一个基于Python的开源的社会工程学渗透测试工具
这套工具包由David Kenned设计,已经成为业界部署实施社会工程学攻击的标准
SET通常利用人们的好奇心、信任、贪婪等人性之恶,攻击人们自身的弱点。
SET最常用的攻击方法有:用恶意附件对目标进行E-mail钓鱼攻击、Java Applet攻击、基于浏览器的漏洞攻击、收集网站认证信息、建立感染的便携媒体、邮件群发等攻击手段等
🌒 网络钓鱼
👴太公钓鱼 愿者上钩🐟
【注意】
SET中钓鱼网站攻击不适用于动态验证机制的网页
网站登录机制分为动态和静态验证两种,比如说有些网站的登录使用了图形验证码、短信验证码、二维码登录、图形滑块验证等,这些就是动态验证。
而比如一些内部后台、低级网站、学校管理平台、校园网登录平台等基本都是只要账号密码对就能上去,这就是静态验证。
🌓 SET菜单
1) Social-Engineering Attacks
社会工程攻击
2) Penetration Testing (Fast-Track)
渗透测试(快速通道)
3) Third Party Modules
第三方模块
4) Update the Social-Engineer Toolkit
更新社会工程师工具包
5) Update SET configuration
更新集配置
6) Help, Credits, and About
帮助、学分和关于
99) Exit the Social-Engineer Toolkit
退出社会工程师工具包
扣1进入社工模块:
1) Spear-Phishing Attack Vectors
矛式网络钓鱼攻击向量
2) Website Attack Vectors
网站攻击向量
3) Infectious Media Generator
感染性媒介发生器
4) Create a Payload and Listener
创建有效负载和侦听器
5) Mass Mailer Attack
群发邮件攻击
6) Arduino-Based Attack Vector
基于Arduino的攻击向量
7) Wireless Access Point Attack Vector
无线接入点攻击向量
8) QRCode Generator Attack Vector
QRCode生成器攻击向量
9) Powershell Attack Vectors
Powershell攻击向量
10) Third Party Modules
第三方模块
扣2选网站攻击模块:
1) Java Applet Attack Method
Java小程序攻击方法
2) Metasploit Browser Exploit Method
Metasploit浏览器漏洞利用方法
3) Credential Harvester Attack Method
凭证收割机攻击方法
4) Tabnabbing Attack Method
制表攻击法
5) Web Jacking Attack Method
Web劫持攻击方法
6) Multi-Attack Web Method
多重攻击Web方法
7) HTA Attack Method
HTA攻击方法
扣3进行凭证收集攻击:
1) Web Templates
Web模板
2) Site Cloner
站点克隆器
3) Custom Import
自定义导入
🌔 Web模板
注意避免80端口占用,引起冲突
扣1进行
最后,在物理机上面访问Kali的IP地址
即可得到谷歌登录页面
输入账号和密码(登录后会进行跳转到谷歌官网):
返回Kali,可以看到成功收集到刚才输入的账号和密码
攻击成功
🌖 站点克隆器
除了选择 SET 自带的三个登录站点的模板外
SET 也允许自己选择站点进行克隆,伪造钓鱼网站。
扣2进入
接着将监听的地址设为本机IP(直接 Enter 键默认即可)
然后将克隆的网站地址设置为美团的登录页面
https://passport.meituan.com/account/unitivelogin?service=www&continue=https%3A%2F%2Fwww.meituan.com%2Faccount%2Fsettoken%3Fcontinue%3Dhttps%253A%252F%252Fwww.meituan.com%252F
即可成功克隆并进入监听状态:
最后,在物理机上面访问Kali的IP地址
即可得到美团登录页面
输入账号和密码:
返回Kali,可以看到成功收集到刚才输入的账号和密码
只不过美团对密码做了前端加密
别慌
攻击成功
🌗 自定义导入
并不推荐
但有特定需求可以自己考虑
🌘 总结和下期预告
综上所述,我们学会了如何制作钓鱼网站来窃取用户的密码
但是事实上用户并不会在一个网站和二维码中更容易相信网站
至于域名的问题
我们可以考虑URL劫持等等方法来让你相信这是一个正规的网站
但这不是我们要考虑的问题
在下一期,我们来探讨通过二维码扫码的方式
并结合网站钓鱼
如何窃取你的用户名和密码
几条防范建议:
-
永远不要点击来自未知发送者发送的链接
-
如果有必要就使用搜索引擎寻找目标网站或手动输入网站URL
-
关注网站的URL,有时网上的骗子对URL做了细微的改动,将流量诱导进了自己的诈骗网站
-
不要随意扫描二维码!你所扫描后到的网站可能是一个钓鱼网站
原文始发于微信公众号(猫因的安全):社会工程学 之 网络钓鱼 (用户名和密码的窃取) 钓鱼网站是如何制作的
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论