Guia para um ataque de phishing bem-sucedido
Guia para um ataque de phishing bem-sucedido
Como testador de penetração, haverá momentos em que a exigência do seu cliente será realizar ataques de engenharia social em seus funcionários, a fim de verificar se eles estão seguindo as políticas e controlar a segurança da empresa.
Afinal, se um hacker não conseguir obter acesso a um sistema, ele poderá tentar formas alternativas de obter acesso, como ataques de engenharia social.
Neste guia veremos como podemos usar um vetor de ataque do Credential Harvester para obter senhas válidas.
A primeira coisa que precisamos fazer é conectar nosso computador à rede da empresa onde realizaremos o ataque de Engenharia Social. Quando nosso computador recebe um endereço IP válido do servidor DHCP, estamos prontos para lançar nosso ataque.
Para iniciar o SEToolkit no Kali linux, basta digitar “ setoolkit ”Na janela do seu terminal.
Utilizaremos Vetores de Ataque ao Site, pois de acordo com nosso cenário de ataque, precisamos controlar o quão vulneráveis os funcionários de nossos clientes estão a ataques de phishing.
Usaremos o método Credential Harvester Attack porque queremos obter as credenciais dos funcionários.
Como podemos ver na próxima imagem, SET nos dá 3 opções ( Web Templates , Site Cloner nos próximos anos, enquanto Custom Import ).
Neste caso usaremos a opção " Modelos Web ", Que possui alguns modelos web prontos que podemos utilizar facilmente.
Agora precisamos inserir nosso endereço IP onde queremos receber todas as solicitações POST.
Na última etapa, você deve escolher o template Web de sua preferência e neste caso escolheremos o Facebook, por ser uma das plataformas de redes sociais mais populares.
Então é hora de enviar nosso IP interno aos usuários na forma de um site (como http://192.168.179.160). Isso pode ser feito por meio de e-mails falsos que fingem vir do Facebook e pedem aos usuários que façam login para continuar.
Se um usuário ler o e-mail e clicar em nosso link (que é nosso endereço IP), ele verá a página de login do Facebook.
Vamos ver o que acontece se a vítima inserir suas credenciais…
Como podemos ver a partir do momento em que a nossa vítima submete as suas credenciais ao site falso, a SET irá enviar-nos o seu endereço de e-mail, bem como a sua palavra-passe. Isso significa que o método de ataque foi bem-sucedido.
Se muitos usuários inserirem suas credenciais em nosso site falso, então é hora de informar nosso cliente para reavaliar sua política de segurança e tomar medidas adicionais contra esse tipo de ataque.
Conclusão:
- No cenário em que o usuário fez login em sua conta, nosso ataque foi 100% bem-sucedido, mas mesmo que o usuário não faça login com seu e-mail e senha, o ataque ainda é bem-sucedido porque está em processo de abertura de um site de uma fonte não confiável.
- Isso significa que se o site contivesse algum malware , ele teria infectado seu computador porque o usuário simplesmente ignorou a política de segurança da empresa e abriu um link não confiável. Assim, a empresa deve proporcionar a formação necessária aos seus colaboradores para que tenham uma compreensão clara dos riscos que enfrentam.
- O treinamento dos funcionários é uma das etapas mais essenciais, porque mesmo que sua organização use o software antiphishing mais recente todos os dias, os funcionários podem ser o elo mais fraco ao abrir um link de uma fonte desconhecida. Os funcionários de uma empresa devem saber o que é pesca eletrônica (phishing), para não abrirem links e colocarem dados em formas perigosas e devem sempre verificar a barra de endereços das páginas, para evitar possíveis golpes.
- Lembre-se sempre de que um administrador pode consertar um computador, mas não pode fazer muito a respeito das fraquezas humanas.
FIQUE seguro !
Riscos de segurança da informação: O que é engenharia social? saiba se defender
Video
Compartilhe nos seus grupos para conscientização e segurança
Comentários
Postar um comentário