Guia para um ataque de phishing bem-sucedido
Guia para um ataque de phishing bem-sucedido
Como testador de penetração, haverĂĄ momentos em que a exigĂŞncia do seu cliente serĂĄ realizar ataques de engenharia social em seus funcionĂĄrios, a fim de verificar se eles estĂŁo seguindo as polĂticas e controlar a segurança da empresa.
Afinal, se um hacker nĂŁo conseguir obter acesso a um sistema, ele poderĂĄ tentar formas alternativas de obter acesso, como ataques de engenharia social.
Neste guia veremos como podemos usar um vetor de ataque do Credential Harvester para obter senhas vĂĄlidas.
A primeira coisa que precisamos fazer Ê conectar nosso computador à rede da empresa onde realizaremos o ataque de Engenharia Social. Quando nosso computador recebe um endereço IP vålido do servidor DHCP, estamos prontos para lançar nosso ataque.
Para iniciar o SEToolkit no Kali linux, basta digitar â setoolkit âNa janela do seu terminal.
Utilizaremos Vetores de Ataque ao Site, pois de acordo com nosso cenĂĄrio de ataque, precisamos controlar o quĂŁo vulnerĂĄveis ââos funcionĂĄrios de nossos clientes estĂŁo a ataques de phishing.
Usaremos o mĂŠtodo Credential Harvester Attack porque queremos obter as credenciais dos funcionĂĄrios.
Como podemos ver na próxima imagem, SET nos då 3 opçþes ( Web Templates , Site Cloner nos próximos anos, enquanto Custom Import ).
Neste caso usaremos a opção " Modelos Web ", Que possui alguns modelos web prontos que podemos utilizar facilmente.
Agora precisamos inserir nosso endereço IP onde queremos receber todas as solicitaçþes POST.
Na Ăşltima etapa, vocĂŞ deve escolher o template Web de sua preferĂŞncia e neste caso escolheremos o Facebook, por ser uma das plataformas de redes sociais mais populares.
Então Ê hora de enviar nosso IP interno aos usuårios na forma de um site (como http://192.168.179.160). Isso pode ser feito por meio de e-mails falsos que fingem vir do Facebook e pedem aos usuårios que façam login para continuar.
Se um usuårio ler o e-mail e clicar em nosso link (que Ê nosso endereço IP), ele verå a pågina de login do Facebook.
Vamos ver o que acontece se a vĂtima inserir suas credenciaisâŚ
Como podemos ver a partir do momento em que a nossa vĂtima submete as suas credenciais ao site falso, a SET irĂĄ enviar-nos o seu endereço de e-mail, bem como a sua palavra-passe. Isso significa que o mĂŠtodo de ataque foi bem-sucedido.
Se muitos usuĂĄrios inserirem suas credenciais em nosso site falso, entĂŁo ĂŠ hora de informar nosso cliente para reavaliar sua polĂtica de segurança e tomar medidas adicionais contra esse tipo de ataque.
ConclusĂŁo:
- No cenårio em que o usuårio fez login em sua conta, nosso ataque foi 100% bem-sucedido, mas mesmo que o usuårio não faça login com seu e-mail e senha, o ataque ainda Ê bem-sucedido porque estå em processo de abertura de um site de uma fonte não confiåvel.
- Isso significa que se o site contivesse algum malware , ele teria infectado seu computador porque o usuĂĄrio simplesmente ignorou a polĂtica de segurança da empresa e abriu um link nĂŁo confiĂĄvel. Assim, a empresa deve proporcionar a formação necessĂĄria aos seus colaboradores para que tenham uma compreensĂŁo clara dos riscos que enfrentam.
- O treinamento dos funcionĂĄrios ĂŠ uma das etapas mais essenciais, porque mesmo que sua organização use o software antiphishing mais recente todos os dias, os funcionĂĄrios podem ser o elo mais fraco ao abrir um link de uma fonte desconhecida. Os funcionĂĄrios de uma empresa devem saber o que ĂŠ pesca eletrĂ´nica (phishing), para nĂŁo abrirem links e colocarem dados em formas perigosas e devem sempre verificar a barra de endereços das pĂĄginas, para evitar possĂveis golpes.
- Lembre-se sempre de que um administrador pode consertar um computador, mas nĂŁo pode fazer muito a respeito das fraquezas humanas.
FIQUE seguro !
Riscos de segurança da informação: O que Ê engenharia social? saiba se defender
Video
Compartilhe nos seus grupos para conscientização e segurança
ComentĂĄrios
Postar um comentĂĄrio