CEH v13 AI – CEH VIETNAM

,

CEH Lab S.E : Social Engineering

Module 09: Social Engineering (Mô-đun 09: Kỹ thuật Social Engineering) Social Engineering (Kỹ thuật Social Engineering) Social Engineering là nghệ thuật thuyết phục người khác tiết lộ thông tin mật. Nguồn: https://money.cnn.com/2012/08/07/technology/vulner-hack Kịch bản bài thực hành: Social Engineering là một phần thiết yếu của việc giành quyền truy cập vào các tòa nhà, hệ…

IT-PRO

Module 09: Social Engineering (Mô-đun 09: Kỹ thuật Social Engineering)

Social Engineering (Kỹ thuật Social Engineering)

Social Engineering là nghệ thuật thuyết phục người khác tiết lộ thông tin mật.

Nguồn: https://money.cnn.com/2012/08/07/technology/vulner-hack

Kịch bản bài thực hành:

Social Engineering là một phần thiết yếu của việc giành quyền truy cập vào các tòa nhà, hệ thống, hoặc dữ liệu. Nó khai thác tâm lý học của con người, thay vì phá vỡ hay sử dụng các lỗ hổng kỹ thuật để vượt qua các biện pháp bảo mật. Kỹ thuật Social Engineering cố gắng khai thác thông tin tự nhiên của một cá nhân thông qua việc giả mạo và thường dựa trên sự cả tin của hầu hết mọi người. Ví dụ, một nhân viên của bộ phận hỗ trợ CNTT có thể bị lừa để cung cấp mật khẩu cho một kẻ tấn công đang giả dạng là một người dùng hợp pháp.

Shane MacDougall, một chuyên gia tư vấn bảo mật, đã bị bắt và bị buộc tội vì vai trò của anh ta trong vụ “Black Badge” – cuộc thi Social Engineering tại Defcon – hội nghị hacker ở Las Vegas.

Trong cuộc thi “Cướp cờ” tại cuộc thi Social Engineering tại Defcon, Shane MacDougall sử dụng cả thủ thuật trực tuyến lẫn thuyết phục qua điện thoại để lấy được thông tin dùng cho việc giả mạo và xâm nhập vào các hệ thống bảo mật.

Shane MacDougall đã thu thập được những thông tin sau đây bằng Social Engineering:

  • Số điện thoại của người quản lý Wal-Mart.
  • Số của nhà thầu vệ sinh Wal-Mart.
  • Danh sách nhân viên cửa hàng.
  • Lịch làm việc của quản lý.
  • Nơi mà quản lý thường ăn trưa.
  • Loại và phiên bản máy tính, hệ điều hành, và trình duyệt web được sử dụng bởi người quản lý.

Scott Convery và một số sinh viên đại học ở Iowa đã thử xâm nhập vào máy tính của CNNMoney nhưng không thành công.

Bắt đầu với cuộc tấn công Social Engineering, gọi là “pretexting”, McDonnell gọi điện thoại cho người quản lý chi nhánh, tự xưng là đến từ bộ phận Dịch vụ của Wal-Mart tại Canada, và phát đoạn ghi âm được giới thiệu là “Cuộc gọi từ Wal-Mart ở Bentonville, Arkansas”.

Cuộc gọi lừa đảo, sử dụng kỹ thuật giả mạo qua điện thoại, đã khiến người quản lý tin rằng Wal-Mart đang gặp phải vấn đề với hàng triệu đô la tiền mặt bị mất.

MacDougall nói với vị quản lý rằng vị này là chìa khóa để tìm ra vị trí nơi tiền bị mất. Sau đó, anh ta hỏi vị trí cửa hàng.

Sau khi vị quản lý tiết lộ vị trí cửa hàng, anh ta đã tiết lộ một phần trong số những mất mát tiềm năng của cửa hàng.

Trong cuộc nói chuyện khoảng mười phút, MacDougall tự giới thiệu mình là một “người quản lý cấp cao” tại “WalMart.”

Anh ta nói với người quản lý rằng anh ta có khoảng 10 phút và anh ta có thể can thiệp và giữ mọi thứ lại cho đến khi họ tìm hiểu thêm về vụ mất mát tiềm năng.

Anh ta nói với người quản lý về dự án và chuyến thăm sắp tới của anh ta đến Bentonville, sau đó chuyển cuộc trò chuyện sang đời sống cá nhân của người quản lý.

Anh ta yêu cầu người quản lý đọc địa chỉ cho hướng dẫn viên, để xác nhận rằng anh ta có thể đến nơi làm việc.

Khi người quản lý tiết lộ địa chỉ, MacDougall đã cúp máy và bắt đầu đếm ngược, giả vờ rằng anh ta đang gọi lại cho bộ phận hỗ trợ CNTT để mở khóa hệ thống.

Sau khi cúp máy, MacDougall gọi cho bộ phận hỗ trợ CNTT của Wal-Mart và giải thích rằng anh ta đang gọi để xin lại số thẻ tín dụng và thẻ ghi nợ bị mất tại Defcon, hội nghị bảo mật máy tính đầu tiên được tổ chức vào tháng 12. Tony DeLuca, người đã giành chiến thắng trong cuộc thi cướp cờ ở Defcon, lưu ý rằng việc nghiên cứu các loại số này sẽ giúp anh ta không vượt quá giới hạn hợp pháp.

DeLuca cho biết việc sử dụng kỹ thuật “pretexting” để có được số thẻ, vốn là một hành vi phạm pháp, là một minh chứng cho thấy tội phạm mạng ngày càng táo tợn như thế nào.

MacDougall, người điều hành một công ty thử nghiệm thâm nhập có trụ sở tại Toronto có tên Cycura, nói rằng tội phạm mạng ngày càng nhận thức rõ hơn về vấn đề bảo mật. “Họ càng có được nhiều sự chú ý, họ càng bắt đầu nói, ‘Ồ, hệ thống của chúng tôi gặp rủi ro lớn,’ hoặc, ‘Tôi không tin tưởng bất kỳ điều gì’, hoặc, ‘Có một lỗ hổng bảo mật’,” DeLuca cho biết.

MacDougall chia sẻ một số biện pháp nên được thực hiện để tránh trở thành nạn nhân của Social Engineering:

  • Không nên trả lời các cuộc gọi hoặc email hỏi về thông tin liên lạc, vũ khí, máy móc, phần cứng hoặc phần mềm – công ty sẽ không hỏi những điều này.
  • Thiết lập một hệ thống bảo mật nội bộ vào những ngày này được coi là thông lệ tiêu chuẩn, và bất cứ ai yêu cầu thông tin có lẽ đều không nên biết.
  • Không tiết lộ những gì trên trang web của công ty – tội phạm mạng thu thập thông tin bằng cách theo dõi các trang truyền thông xã hội và các bài đăng của nhân viên. Bạn nên kiểm tra xem những gì được đăng trên các trang web này bởi chính nhân viên và các nhà thầu.

Mục tiêu bài thực hành:

Mục tiêu của bài thực hành này là:

  • Phát hiện các trang web lừa đảo (phishing).
  • Bảo vệ mạng khỏi các cuộc tấn công lừa đảo.

Để thực hiện bài thực hành này, bạn cần:

  • Máy tính chạy Windows Server 2012.
  • Trình duyệt web có kết nối Internet.

Thời lượng bài thực hành:

Thời gian: 20 phút

Tổng quan về Social Engineering:

Social Engineering là nghệ thuật thuyết phục mọi người tiết lộ thông tin bí mật. Các kỹ sư xã hội dựa vào thực tế là mọi người đều biết một số thông tin có giá trị nhất định và bất cẩn trong việc bảo vệ nó.

Các bài thực hành được đề xuất:

Các bài thực hành được đề xuất để hỗ trợ bạn trong Social Engineering:

  • Social Engineering
  • Phát hiện lừa đảo bằng Netcraft
  • Phát hiện lừa đảo bằng PhishTank

Phân tích bài thực hành:

Phân tích và ghi lại các kết quả liên quan đến bài tập thực hành. Đưa ra ý kiến của bạn về tình trạng bảo mật và mức độ phơi nhiễm của mục tiêu.

Bài thực hành 1: Phát hiện Lừa đảo (Phishing) bằng Netcraft

Netcraft cung cấp phân tích thị phần máy chủ web và lưu trữ web, bao gồm phát hiện máy chủ web và hệ điều hành.

Kịch bản bài thực hành:

Đến bây giờ, bạn đã quen thuộc với cách Social Engineering được thực hiện và loại thông tin nào có thể được thu thập bởi một kỹ sư xã hội.

Lừa đảo (Phishing) là một ví dụ về kỹ thuật Social Engineering được sử dụng để lừa người dùng và nó khai thác khả năng sử dụng kém của các công nghệ bảo mật web hiện tại.

Phishing là hành vi cố gắng lấy thông tin như tên người dùng, mật khẩu và chi tiết thẻ tín dụng (và đôi khi, gián tiếp là tiền) bằng cách mạo danh một thực thể đáng tin cậy trong một giao tiếp điện tử. Thông tin liên lạc giả mạo thường là từ các trang web xã hội, trang web đấu giá, bộ xử lý thanh toán trực tuyến hoặc quản trị viên CNTT phổ biến được sử dụng để dụ dỗ công chúng không nghi ngờ. Email lừa đảo có thể chứa các liên kết đến các trang web bị nhiễm phần mềm độc hại. Phishing thường được thực hiện bằng cách giả mạo email hoặc nhắn tin tức thời và nó thường hướng người dùng nhập chi tiết tại một trang web giả mạo có giao diện gần giống với trang web hợp pháp.

Kẻ lừa đảo đang nhắm mục tiêu vào khách hàng của ngân hàng và các dịch vụ thanh toán trực tuyến. Họ gửi tin nhắn đến khách hàng ngân hàng bằng cách thao túng URL và giả mạo trang web. Các tin nhắn được gửi đi trông giống như đến từ ngân hàng; người dùng, không nhận ra rằng đó là một trang web giả mạo, cung cấp thông tin cá nhân và chi tiết ngân hàng của họ. Không phải tất cả các cuộc tấn công lừa đảo đều yêu cầu một trang web giả mạo; tin nhắn tự xưng là từ ngân hàng yêu cầu người dùng quay số điện thoại liên quan đến sự cố với tài khoản ngân hàng của họ. Khi số điện thoại (thuộc sở hữu của kẻ lừa đảo và được cung cấp bởi dịch vụ VoIP) được quay số, nó sẽ nhắc người dùng nhập số tài khoản và mã PIN của họ. Vishing (lừa đảo bằng giọng nói) đôi khi sử dụng dữ liệu ID người gọi giả để tạo ra giao diện các cuộc gọi đến từ một tổ chức đáng tin cậy.

Vì bạn là một hacker mũ trắng chuyên nghiệp và chuyên gia kiểm tra thâm nhập, bạn phải nhận thức được các cuộc tấn công lừa đảo xảy ra trên mạng và thực hiện các biện pháp chống lừa đảo. Trong một tổ chức, phải đào tạo thích hợp cho mọi người để đối phó với các cuộc tấn công lừa đảo. Trong bài thực hành này, bạn sẽ học cách phát hiện lừa đảo bằng Netcraft.

Mục tiêu bài thực hành:

Bài thực hành này sẽ chỉ cho bạn các trang web lừa đảo bằng cách sử dụng trình duyệt web và hướng dẫn bạn cách sử dụng chúng. Nó sẽ dạy bạn cách:

  • Phát hiện các trang web lừa đảo.
  • Bảo vệ mạng khỏi các cuộc tấn công lừa đảo.

Để thực hiện bài thực hành này, bạn cần:

  • Netcraft được đặt tại D:\CEH-Tools\CEHv8 Module 09 Social Engineering Anti-Phishing Toolbar\Netcraft Toolbar.
  • Bạn cũng có thể tải xuống phiên bản mới nhất của Netcraft Toolbar từ liên kết: http://toolbar.netcraft.com/
  • Nếu bạn quyết định tải xuống phiên bản mới nhất, ảnh chụp màn hình hiển thị trong bài thực hành có thể khác.
  • Máy tính chạy Windows Server 2012.
  • Trình duyệt web (Firefox, Internet Explorer, v.v.) có quyền truy cập Internet.
  • Quyền quản trị để chạy thanh công cụ Netcraft.

Thời lượng bài thực hành:

Thời gian: 10 phút

Tổng quan về Thanh công cụ Netcraft:

Thanh công cụ Netcraft cung cấp các dịch vụ bảo mật Internet, bao gồm các dịch vụ chống gian lận và chống lừa đảo, kiểm tra ứng dụng, đánh giá mã, kiểm tra thâm nhập tự động và phân tích dữ liệu và nghiên cứu về nhiều khía cạnh của Internet.

Các bước thực hành:

  1. Để bắt đầu bài thực hành này, trước tiên bạn cần khởi chạy trình duyệt web. Trong bài thực hành này, chúng tôi đã sử dụng Mozilla Firefox.
  2. Khởi chạy menu Start bằng cách di chuột con trỏ chuột ở góc dưới bên trái của màn hình.
  3. Nhấp vào ứng dụng Mozilla Firefox để khởi chạy trình duyệt.
  4. Để tải xuống Thanh công cụ Netcraft cho Mozilla Firefox, hãy nhập http://toolbar.netcraft.com vào thanh địa chỉ của trình duyệt hoặc kéo và thả tệp netcraft_toolbar-1.7-fx.xpi vào Firefox.
  5. Trong bài thực hành này, chúng tôi đang tải xuống thanh công cụ từ Internet.
  6. Trong trình duyệt Firefox, nhấp vào Download the Netcraft Toolbar để cài đặt dưới dạng tiện ích bổ sung.
  7. Trên trang Cài đặt của trang web Thanh công cụ Netcraft, nhấp vào hình ảnh Firefox để tiếp tục cài đặt.
  8. Nhấp vào Allow để tải xuống Thanh công cụ Netcraft.
  9. Khi hộp thoại Cài đặt phần mềm xuất hiện, nhấp vào Install Now.
  10. Để hoàn tất cài đặt, nó sẽ yêu cầu bạn khởi động lại trình duyệt. Nhấp vào Restart Now.
  11. Bây giờ Thanh công cụ Netcraft sẽ hiển thị. Sau khi cài đặt, Thanh công cụ sẽ trông giống như hình sau.
  12. Khi bạn truy cập một trang web, thông tin sau sẽ hiển thị trong Thanh công cụ (trừ khi trang bị chặn): Xếp hạng rủi ro, Xếp hạng và Cờ.
  13. Nhấp vào Site Report để hiển thị báo cáo của trang web.
  14. Nếu bạn cố gắng truy cập một trang đã được Thanh công cụ Netcraft xác định là trang lừa đảo, bạn sẽ thấy hộp thoại cảnh báo tương tự như hộp thoại trong hình sau.
  15. Nhập, ví dụ: http://www.paypal.ca.6551.secure7c.mx/images/cgi.bin
  16. Nếu bạn tin tưởng trang đó, hãy nhấp vào Yes để mở và nếu bạn không tin tưởng, hãy nhấp vào No (Đề xuất) để chặn trang đó.
  17. Nếu bạn nhấp vào No, trang sau sẽ được hiển thị.

Phân tích bài thực hành:

Ghi lại tất cả các kết quả và báo cáo thu thập được trong quá trình thực hành.

Công cụ/Tiện íchThông tin thu thập/Mục tiêu đạt được
NetcraftTrang web lừa đảo được phát hiện

Câu hỏi:

  1. Đánh giá xem Thanh công cụ Netcraft có hoạt động hay không nếu bạn sử dụng proxy trong suốt.
  2. Xác định xem bạn có thể làm cho Thanh công cụ Netcraft cùng tồn tại trên cùng một dòng với các thanh công cụ khác hay không. Nếu có, thì bằng cách nào?
  3. Làm thế nào bạn có thể dừng cảnh báo của Thanh công cụ nếu một trang web đáng tin cậy?

Bài thực hành 3: Phát hiện Lừa đảo (Phishing) sử dụng PhishTank

PhishTank là một trung tâm thông tin cộng tác dành cho dữ liệu và thông tin liên quan đến lừa đảo trên Internet.

Kịch bản bài thực hành:

Lừa đảo (Phishing) là một nỗ lực của một cá nhân hoặc một nhóm nhằm lấy thông tin cá nhân từ những người dùng không nghi ngờ bằng cách sử dụng các kỹ thuật Social Engineering. Email lừa đảo được tạo ra để xuất hiện như thể chúng đã được gửi từ một tổ chức hợp pháp hoặc cá nhân nổi tiếng. Những email này thường cố gắng lôi kéo người dùng nhấp vào một liên kết sẽ đưa người dùng đến một trang web gian lận trông có vẻ hợp pháp. Sau đó, người dùng có thể được yêu cầu cung cấp thông tin cá nhân như tên người dùng và mật khẩu tài khoản, điều này có thể khiến họ tiếp tục bị xâm phạm trong tương lai. Ngoài ra, những trang web gian lận này có thể chứa mã độc.

Với sự gia tăng rất lớn trong việc sử dụng ngân hàng trực tuyến, giao dịch cổ phiếu trực tuyến và thương mại điện tử, đã có sự gia tăng tương ứng trong các sự cố lừa đảo được sử dụng để thực hiện gian lận tài chính. Lừa đảo liên quan đến việc chiếm đoạt thông tin nhạy cảm một cách gian lận (ví dụ: mật khẩu, chi tiết thẻ tín dụng, v.v.) bằng cách mạo danh một thực thể đáng tin cậy.

Trong bài thực hành trước, bạn đã thấy cách một trang web lừa đảo có thể được phát hiện bằng cách sử dụng công cụ Netcraft.

Kịch bản thông thường là nạn nhân nhận được email có vẻ như đã được gửi từ ngân hàng của họ. Email thúc giục nạn nhân nhấp vào liên kết trong email. Khi nạn nhân làm như vậy, họ sẽ được đưa đến “một trang bảo mật trên trang web của ngân hàng”. Nạn nhân tin rằng trang web là xác thực và họ nhập tên người dùng, mật khẩu và các thông tin khác của mình. Trên thực tế, trang web là giả mạo và thông tin của nạn nhân bị đánh cắp và sử dụng sai mục đích.

Là quản trị viên hoặc người kiểm tra thâm nhập, bạn có thể triển khai tất cả các giải pháp công nghệ tinh vi và đắt tiền nhất trên thế giới; tất cả đều có thể bị bỏ qua nếu nhân viên của bạn rơi vào các trò gian lận Social Engineering đơn giản. Trách nhiệm của bạn là đào tạo nhân viên về các biện pháp tốt nhất để bảo vệ thông tin.

Bạn có thể báo cáo các trang web hoặc email lừa đảo tới phishing-report@us-cert.gov (http://www.us-cert.gov/nav/report_phishing.html)

US-CERT (Đội ứng phó khẩn cấp máy tính Hoa Kỳ) đang thu thập các email và vị trí trang web lừa đảo để họ có thể giúp mọi người tránh trở thành nạn nhân của các trò gian lận lừa đảo.

Mục tiêu bài thực hành:

Bài thực hành này sẽ chỉ cho bạn cách sử dụng các trang web lừa đảo bằng trình duyệt web. Nó sẽ dạy bạn cách:

  • Phát hiện các trang web lừa đảo.
  • Bảo vệ mạng khỏi các cuộc tấn công lừa đảo.

Môi trường bài thực hành:

Để thực hiện bài thực hành, bạn cần:

  • Máy tính chạy Windows Server 2012.
  • Trình duyệt web (Firefox, Internet Explorer, v.v.) có kết nối Internet.

Thời lượng bài thực hành:

Thời gian: 10 phút

Tổng quan về PhishTank:

PhishTank là một trang web cộng đồng miễn phí, nơi bất kỳ ai cũng có thể gửi, xác minh, theo dõi và chia sẻ dữ liệu lừa đảo. PhishTank là một trung tâm thông tin cộng tác cho dữ liệu và thông tin liên quan đến lừa đảo trên Internet. Ngoài ra, PhishTank cung cấp API mở cho các nhà phát triển và nhà nghiên cứu để tích hợp dữ liệu chống lừa đảo vào các ứng dụng của họ miễn phí.

URL PhishTank: http://www.phishtank.com

Các bước thực hành:

  1. Để bắt đầu bài thực hành này, trước tiên bạn cần khởi chạy trình duyệt web. Trong bài thực hành này, chúng tôi đã sử dụng Mozilla Firefox.
  2. Mở menu Start bằng cách di chuột con trỏ chuột ở góc dưới bên trái của màn hình.
  3. Nhấp vào ứng dụng Mozilla Firefox để khởi chạy trình duyệt.
  4. Nhập http://www.phishtank.com vào thanh địa chỉ của trình duyệt web và nhấn Enter.
  5. Bạn sẽ thấy màn hình sau.
  6. Nhập URL trang web cần kiểm tra lừa đảo, ví dụ: http://sdapld21.host21.com.
  7. Nhấp vào Is it a phish?.
  8. Nếu trang web là trang web lừa đảo, bạn sẽ thấy hộp thoại cảnh báo sau.

Phân tích bài thực hành:

Ghi lại tất cả các trang web và xác minh xem chúng có phải là trang web lừa đảo hay không.

Công cụ/Tiện íchThông tin thu thập được/Mục tiêu đạt được
PhishTankTrang web lừa đảo được phát hiện

Câu hỏi:

  1. Đánh giá những gì PhishTank muốn nghe về spam.
  2. PhishTank có bảo vệ bạn khỏi lừa đảo không?
  3. Tại sao OpenDNS chặn một trang web lừa đảo mà PhishTank không liệt kê hoặc chưa xác minh?

Bài thực hành 3: Kiểm tra Thâm nhập Social Engineering sử dụng Bộ Công cụ Social Engineering (SET)

Bộ công cụ Social-Engineer (SET) là một công cụ mã nguồn mở dựa trên Python, nhằm mục đích kiểm tra thâm nhập xoay quanh Social Engineering.

Kịch bản bài thực hành:

Social Engineering là một mối đe dọa ngày càng tăng đối với các tổ chức trên toàn thế giới. Các cuộc tấn công Social Engineering được sử dụng để xâm nhập vào các công ty mỗi ngày. Mặc dù có nhiều công cụ hack có sẵn trong cộng đồng hacker ngầm, bộ công cụ Social Engineering là một lợi ích cho kẻ tấn công vì nó có sẵn miễn phí để sử dụng để thực hiện các cuộc tấn công lừa đảo nhắm mục tiêu, tấn công trang web, v.v. Kẻ tấn công có thể soạn email và đính kèm tệp độc hại và gửi chúng cho một số lượng lớn người bằng phương pháp tấn công lừa đảo nhắm mục tiêu. Ngoài ra, phương pháp đa tấn công cho phép sử dụng Java applet, trình duyệt Metasploit, Credential Harvester/Tabnabbing, v.v. cùng một lúc.

Mặc dù nhiều loại tấn công có thể được thực hiện bằng bộ công cụ này, nhưng đây cũng là công cụ bắt buộc đối với người kiểm tra thâm nhập để kiểm tra các lỗ hổng. SET là tiêu chuẩn cho các bài kiểm tra thâm nhập Social Engineering và được hỗ trợ mạnh mẽ trong cộng đồng bảo mật.

Là một hacker mũ trắng, người kiểm tra thâm nhập hoặc quản trị viên bảo mật, bạn nên cực kỳ quen thuộc với Bộ công cụ Social Engineering để thực hiện các bài kiểm tra khác nhau về lỗ hổng trên mạng.

Mục tiêu bài thực hành:

Mục tiêu của bài thực hành này là giúp học viên học cách:

  • Sao chép một trang web.
  • Lấy tên người dùng và mật khẩu bằng phương pháp Credential Harvester.
  • Tạo báo cáo cho các bài kiểm tra thâm nhập đã thực hiện.

Môi trường bài thực hành:

Để thực hiện bài thực hành, bạn cần:

  • Chạy công cụ này trong Máy ảo BackTrack.
  • Trình duyệt web có kết nối Internet.
  • Quyền quản trị để chạy các công cụ.

Thời lượng bài thực hành:

Thời gian: 10 phút

Tổng quan về Bộ công cụ Social Engineering:

Bộ công cụ Social-Engineer là một công cụ mã nguồn mở dựa trên Python, nhằm mục đích kiểm tra thâm nhập xoay quanh Social Engineering. SET được thiết kế đặc biệt để thực hiện các cuộc tấn công nâng cao chống lại yếu tố con người. Các cuộc tấn công được tích hợp trong bộ công cụ được thiết kế để trở thành các cuộc tấn công có mục tiêu và tập trung vào một người hoặc tổ chức được sử dụng trong quá trình kiểm tra thâm nhập.

Các bước thực hành:

  1. Đăng nhập vào máy ảo BackTrack của bạn.
  2. Chọn Applications → BackTrack → Exploitation Tools → Social Engineering Tools → Social Engineering Toolkit và nhấp vào Set.
  3. Cửa sổ Terminal cho SET sẽ xuất hiện. Nhập y và nhấn Enter để đồng ý với các điều khoản dịch vụ.
  4. Bạn sẽ thấy một danh sách menu để chọn tác vụ. Nhập 1 và nhấn Enter để chọn tùy chọn Social-Engineering Attacks.
  5. Danh sách menu trong Social-Engineering Attacks sẽ xuất hiện; nhập 2 và nhấn Enter để chọn Website Attack Vectors.
  6. Trong tập hợp menu tiếp theo xuất hiện, nhập 3 và nhấn Enter để chọn Credential Harvester Attack Method.
  7. Bây giờ, nhập 2 và nhấn Enter để chọn tùy chọn Site Cloner từ menu.
  1. Nhập địa chỉ IP của máy ảo BackTrack của bạn vào lời nhắc cho địa chỉ IP để POST lại trong Harvester/Tabnabbing và nhấn Enter. Trong ví dụ này, IP là 10.0.0.15.
  2. Bây giờ, bạn sẽ được nhắc nhập URL cần sao chép, hãy nhập URL mong muốn cho Enter the url to clone và nhấn Enter. Trong ví dụ này, chúng tôi đã sử dụng www.facebook.com. Thao tác này sẽ bắt đầu sao chép trang web được chỉ định.
  3. Sau khi sao chép hoàn tất, thông báo được đánh dấu, như trong ảnh chụp màn hình sau, sẽ xuất hiện trên màn hình Terminal của SET. Nhấn Enter để tiếp tục.
  4. Nó sẽ bắt đầu Credential Harvester.
  5. Để Credential Harvester Attack tìm nạp thông tin từ máy của nạn nhân.
  6. Bây giờ, bạn phải gửi địa chỉ IP của máy BackTrack của mình cho nạn nhân và lừa họ nhấp vào để duyệt địa chỉ IP.
  7. Đối với bản demo này, hãy khởi chạy trình duyệt web của bạn trong máy BackTrack; khởi chạy dịch vụ email yêu thích của bạn. Trong ví dụ này, chúng tôi đã sử dụng www.gmail.com. Đăng nhập vào tài khoản gmail của bạn và soạn email.
  8. Đặt con trỏ vào phần thân email nơi bạn muốn đặt URL giả. Sau đó, nhấp vào biểu tượng Link.
  9. Trong cửa sổ Edit Link, trước tiên hãy nhập địa chỉ thực vào trường địa chỉ Web bên dưới tùy chọn Link to và sau đó nhập URL giả vào trường Text to display. Trong ví dụ này, địa chỉ web chúng tôi đã sử dụng là http://10.0.0.15 và văn bản cần hiển thị là www.facebook.com/Rini_TGIF. Nhấp vào OK.
  10. URL giả sẽ xuất hiện trong phần thân email, như trong ảnh chụp màn hình sau.
  11. Để xác minh rằng URL giả được liên kết với URL thực, hãy nhấp vào URL giả và nó sẽ hiển thị URL thực là Go to link: với URL thực. Gửi email đến người dùng dự định.
  12. Khi nạn nhân nhấp vào URL, họ sẽ thấy bản sao của Facebook.com.
  13. Nạn nhân sẽ được dụ nhập tên người dùng và mật khẩu của họ vào các trường biểu mẫu vì nó có vẻ là một trang web chính hãng. Khi nạn nhân nhập Tên người dùng và Mật khẩu và nhấp vào Đăng nhập, nó không cho phép đăng nhập; thay vào đó, nó chuyển hướng đến trang đăng nhập Facebook hợp pháp. Quan sát URL trong trình duyệt.
  14. Ngay sau khi nạn nhân nhập địa chỉ email và mật khẩu, SET Terminal trong BackTrack sẽ tìm nạp tên người dùng và mật khẩu đã nhập, điều này có thể được kẻ tấn công sử dụng để truy cập trái phép vào tài khoản của nạn nhân.
  15. Nhấn CTRL+C để tạo báo cáo cho cuộc tấn công này đã thực hiện.

Phân tích bài thực hành:

Phân tích và ghi lại các kết quả liên quan đến bài tập thực hành.

Công cụ/Tiện íchThông tin thu thập/Mục tiêu đạt được
Social Engineering ToolkitPARAM: lsd=AVqgmkGh<br>PARAM: return_session=0<br>PARAM: legacy_return=1<br>PARAM: display=<br>PARAM: session_key_only=0<br>PARAM: trynum=1<br>PARAM: charset_test=€,’,€,’,<br>PARAM: timezone=-540<br>PARAM: lgnrnd=224034_ArYA<br>PARAM: lgnjs=n<br>email=samchoang@yahoo.com<br>pass=test@123

Câu hỏi:

  1. Đánh giá từng tùy chọn proxy của Paros sau:
    a. Trap Request
    b. Trap Response
    c. Nút Continue
    d. Nút Drop

Bình luận về bài viết này

Thịnh hành