பாதுகாப்பு பாதிப்புகளின் மனிதர்கள் சிறந்த வளம் மற்றும் இறுதிப் புள்ளி. சமூகப் பொறியியல் என்பது மனித நடத்தை குறிவைத்து அவர்களின் நம்பிக்கையுடன் விளையாடுவதன் மூலம், வங்கி கணக்கு, சமூக ஊடகங்கள், மின்னஞ்சல், இலக்கு கணினிக்கான அணுகல் போன்ற இரகசியத் தகவல்களைப் பெறுவதை இலக்காகக் கொண்டது. எந்த அமைப்பும் பாதுகாப்பாக இல்லை, ஏனென்றால் இந்த அமைப்பு மனிதர்களால் உருவாக்கப்பட்டது. சமூக பொறியியல் தாக்குதல்களைப் பயன்படுத்தி மிகவும் பொதுவான தாக்குதல் திசையன் மின்னஞ்சல் ஸ்பேமிங் மூலம் ஃபிஷிங் பரவுகிறது. வங்கி அல்லது கிரெடிட் கார்டு தகவல் போன்ற நிதி கணக்கு வைத்திருக்கும் ஒரு பாதிக்கப்பட்டவரை அவர்கள் குறிவைக்கிறார்கள்.
சமூக பொறியியல் தாக்குதல்கள் நேரடியாக ஒரு அமைப்பிற்குள் நுழைவதில்லை, மாறாக அது மனித சமூக தொடர்புகளைப் பயன்படுத்துகிறது மற்றும் தாக்குபவர் நேரடியாக பாதிக்கப்பட்டவருடன் பழகுகிறார்.
உனக்கு நினைவிருக்கிறதா கெவின் மிட்னிக் ? பழைய காலத்தின் சமூக பொறியியல் புராணக்கதை. அவரது பெரும்பாலான தாக்குதல் முறைகளில், பாதிக்கப்பட்டவர்களை ஏமாற்றி, அவர் கணினி அதிகாரத்தை வைத்திருப்பதாக நம்பினார். யூடியூப்பில் அவரது சமூக பொறியியல் தாக்குதல் டெமோ வீடியோவை நீங்கள் பார்த்திருக்கலாம். அதை பார்!
அன்றாட வாழ்க்கையில் சமூக பொறியியல் தாக்குதலை எவ்வாறு செயல்படுத்துவது என்பதற்கான எளிய காட்சியை இந்தப் பதிவில் நான் உங்களுக்குக் காட்டப் போகிறேன். இது மிகவும் எளிதானது, பயிற்சியை கவனமாக பின்பற்றவும். காட்சியை தெளிவாக விளக்குகிறேன்.
மின்னஞ்சல் அணுகலைப் பெற சமூக பொறியியல் தாக்குதல்
இலக்கு : மின்னஞ்சல் நற்சான்றிதழ் கணக்கு தகவலைப் பெறுதல்
தாக்குபவர் : நான்
இலக்கு : என் நண்பர். (உண்மையில்? ஆம்)
சாதனம் : காளி லினக்ஸ் இயங்கும் கணினி அல்லது மடிக்கணினி. மற்றும் என் மொபைல் போன்!
சுற்றுச்சூழல் : அலுவலகம் (வேலையில்)
கருவி : சமூக பொறியியல் கருவித்தொகுப்பு (SET)
எனவே, மேலே உள்ள சூழ்நிலையின் அடிப்படையில், பாதிக்கப்பட்டவரின் சாதனம் கூட எங்களுக்குத் தேவையில்லை என்று நீங்கள் கற்பனை செய்யலாம், நான் எனது மடிக்கணினி மற்றும் எனது தொலைபேசியைப் பயன்படுத்தினேன். எனக்கு அவருடைய தலை மற்றும் நம்பிக்கை மட்டுமே தேவை, மேலும் முட்டாள்தனமும் கூட! ஏனென்றால், உங்களுக்குத் தெரியும், மனித முட்டாள்தனத்தை ஒட்டுக்கேட்க முடியாது, தீவிரமாக!
இந்த வழக்கில் நாங்கள் முதலில் எனது காளி லினக்ஸில் ஃபிஷிங் ஜிமெயில் கணக்கு உள்நுழைவு பக்கத்தை அமைக்க போகிறோம், மேலும் எனது தொலைபேசியை ஒரு தூண்டுதல் சாதனமாக பயன்படுத்தவும். நான் ஏன் என் தொலைபேசியைப் பயன்படுத்தினேன்? நான் கீழே, பின்னர் விளக்குகிறேன்.
அதிர்ஷ்டவசமாக நாங்கள் எந்த கருவிகளையும் நிறுவப் போவதில்லை, எங்கள் காளி லினக்ஸ் இயந்திரத்தில் SET (சமூக பொறியியல் கருவித்தொகுப்பு) முன்பே நிறுவப்பட்டுள்ளது, எங்களுக்குத் தேவை அவ்வளவுதான். ஆமாம், SET என்றால் என்ன என்று உங்களுக்குத் தெரியாவிட்டால், இந்த கருவித்தொகுப்பின் பின்னணியை நான் உங்களுக்குத் தருகிறேன்.
சமூக பொறியியல் கருவித்தொகுப்பு, மனித-பக்க ஊடுருவல் சோதனை செய்ய வடிவமைக்கப்பட்டுள்ளது. அமை விரைவில் ) TrustedSec நிறுவனர் உருவாக்கப்பட்டது ( https://www.trustedsec.com/social-engineer-toolkit-set/ ) இது பைத்தானில் எழுதப்பட்டுள்ளது, அது திறந்த மூலமாகும்.
சரி அது போதும் பயிற்சியை செய்வோம். நாங்கள் சமூக பொறியியல் தாக்குதலை நடத்துவதற்கு முன், முதலில் எங்கள் ஃபிசிங் பக்கத்தை அமைக்க வேண்டும். இங்கே, நான் என் மேஜையில் அமர்ந்திருக்கிறேன், என் கணினி (காளி லினக்ஸை இயக்குகிறது) எனது மொபைல் போன் (நான் ஆண்ட்ராய்டைப் பயன்படுத்துகிறேன்) வைஃபை நெட்வொர்க்குடன் இணையத்துடன் இணைக்கப்பட்டுள்ளது.
படி 1. அமைத்தல் பிசிங் பக்கம்
செட்டூல்கிட் கட்டளை வரி இடைமுகத்தைப் பயன்படுத்துகிறது, எனவே இங்கே 'கிளிக்-கிளிக்'யை எதிர்பார்க்க வேண்டாம். முனையத்தைத் திறந்து தட்டச்சு செய்க:
# செட்டூல்கிட்மேலே வரவேற்புப் பக்கத்தையும் கீழே உள்ள தாக்குதல் விருப்பங்களையும் நீங்கள் காண்பீர்கள், இது போன்ற ஒன்றை நீங்கள் பார்க்க வேண்டும்.
ஆம், நிச்சயமாக, நாங்கள் நிகழ்த்தப் போகிறோம் சமூக பொறியியல் தாக்குதல்கள் , எனவே எண்ணைத் தேர்ந்தெடுக்கவும் 1 மற்றும் ENTER ஐ அழுத்தவும்.
நீங்கள் அடுத்த விருப்பங்களைக் காண்பிப்பீர்கள், மேலும் எண்ணைத் தேர்ந்தெடுக்கவும் 2. இணையதள தாக்குதல் வெக்டர்கள். ஹிட் உள்ளிடுக.
அடுத்து, நாங்கள் எண்ணைத் தேர்வு செய்கிறோம் 3. நற்சான்றிதழ் அறுவடை தாக்குதல் முறை . ஹிட் உள்ளிடவும்.
மேலும் விருப்பங்கள் குறுகலானவை, கூகிள், யாகூ, ட்விட்டர் மற்றும் பேஸ்புக் போன்ற பிரபலமான வலைத்தளங்களின் முன் வடிவமைக்கப்பட்ட ஃபைசிங் பக்கத்தை SET கொண்டுள்ளது. இப்போது எண்ணைத் தேர்ந்தெடுக்கவும் 1. வலை வார்ப்புருக்கள் .
ஏனெனில், எனது காளி லினக்ஸ் பிசி மற்றும் எனது மொபைல் போன் ஒரே வைஃபை நெட்வொர்க்கில் இருந்தன, எனவே தாக்குபவரை உள்ளிடவும் ( என் பிசி உள்ளூர் ஐபி முகவரி. மற்றும் அடிக்க உள்ளிடுக.
PS: உங்கள் சாதனத்தின் IP முகவரியைச் சரிபார்க்க, தட்டச்சு செய்க: ‘ifconfig’
சரி இதுவரை, நாங்கள் எங்கள் முறை மற்றும் கேட்பவரின் ஐபி முகவரியை அமைத்துள்ளோம். இந்த விருப்பங்களில் நான் மேலே குறிப்பிட்டபடி முன் வரையறுக்கப்பட்ட வலை ஃபைசிங் வார்ப்புருக்கள் பட்டியலிடப்பட்டுள்ளன. நாங்கள் கூகுள் கணக்கு பக்கத்தை இலக்காகக் கொண்டதால், எண்ணைத் தேர்வு செய்கிறோம் 2. கூகுள் . ஹிட் உள்ளிடுக .
திஇப்போது, போலி 80 இல் போலி கூகுள் கணக்கு உள்நுழைவு பக்கத்துடன் SET எனது காளி லினக்ஸ் வெப் சர்வரைத் தொடங்குகிறது. எங்கள் அமைப்பு முடிந்தது. இப்போது நான் என் ஃபோன் பயன்படுத்தி இந்த ஃபிஷிங் பக்கத்தில் உள்நுழைய என் நண்பர்கள் அறைக்குள் நடக்க தயாராக இருக்கிறேன்.
படி 2. ஹண்டிங் சாகசங்கள்
நான் மொபைல் போன் (ஆண்ட்ராய்டு) பயன்படுத்துவதற்கு காரணம்? எனது உள்ளமைக்கப்பட்ட ஆண்ட்ராய்டு உலாவியில் பக்கம் எவ்வாறு காட்டப்படும் என்று பார்க்கலாம். எனவே, நான் எனது காளி லினக்ஸ் இணைய சேவையகத்தை அணுகுகிறேன் 192.168.43.99 உலாவியில். மற்றும் இங்கே பக்கம்:
பார்க்க? இது மிகவும் உண்மையானதாகத் தோன்றுகிறது, அதில் பாதுகாப்புப் பிரச்சினைகள் எதுவும் காட்டப்படவில்லை. URL க்கு பதிலாக தலைப்பை காட்டும் URL பட்டியில். முட்டாள் இதை அசல் கூகுள் பக்கமாக அங்கீகரிப்பார் என்பது எங்களுக்குத் தெரியும்.
அதனால், நான் என் மொபைல் போனை எடுத்து, என் நண்பரிடம் நடந்து, கூகுளில் உள்நுழையத் தவறியது போல் அவரிடம் பேசுகிறேன், கூகுள் செயலிழந்துவிட்டதா அல்லது பிழையா என்று யோசிக்கிறேன். நான் எனது தொலைபேசியைக் கொடுத்து அவனுடைய கணக்கைப் பயன்படுத்தி உள்நுழைய முயற்சிக்கும்படி அவரிடம் கேட்கிறேன். அவர் என் வார்த்தைகளை நம்பவில்லை, உடனடியாக இங்கே எதுவும் மோசமாக நடக்காது என்பது போல் அவரது கணக்கு தகவலை தட்டச்சு செய்யத் தொடங்குகிறார். ஹாஹா.
அவர் ஏற்கனவே தேவையான அனைத்து படிவங்களையும் தட்டச்சு செய்துள்ளார், மேலும் என்னை கிளிக் செய்ய அனுமதித்தார் உள்நுழைக பொத்தானை. நான் பொத்தானைக் கிளிக் செய்க ... இப்போது அது ஏற்றப்படுகிறது ... பின்னர் இது போன்ற கூகுள் தேடுபொறி முக்கியப் பக்கம் கிடைத்தது.
PS: பாதிக்கப்பட்டவர் கிளிக் செய்தவுடன் உள்நுழைக பொத்தான், அது எங்கள் கேட்கும் இயந்திரத்திற்கு அங்கீகாரத் தகவலை அனுப்பும், அது உள்நுழைந்துள்ளது.
எதுவும் நடக்கவில்லை, நான் அவரிடம் சொல்கிறேன் உள்நுழைக பொத்தான் இன்னும் உள்ளது, நீங்கள் உள்நுழைய முடியவில்லை. இந்த முட்டாள்தனத்தின் மற்றொரு நண்பர் எங்களிடம் வரும் போது நான் மீண்டும் ஃபைசிங் பக்கத்தைத் திறக்கிறேன். இல்லை, எங்களுக்கு இன்னொரு பலி கிடைத்தது.
நான் பேச்சைக் குறைக்கும் வரை, நான் என் மேசைக்குச் சென்று எனது SET பதிவைப் பார்க்கிறேன். இங்கே நாம் பெற்றோம்,
கோச்சா ... நான் உன்னை அடைகிறேன் !!!
முடிவில்
கதை சொல்வதில் எனக்குத் திறமை இல்லை ( அதுதான் புள்ளி ), தாக்குதலைத் தொகுக்க இதுவரை படிகள்:
- திற 'செடூல்கிட்'
- தேர்வு செய்யவும் 1) சமூக பொறியியல் தாக்குதல்கள்
- தேர்வு செய்யவும் 2) இணையதள தாக்குதல் வெக்டர்கள்
- தேர்வு செய்யவும் 3) நற்சான்றிதழ் ஹார்வெஸ்டர் தாக்குதல் முறை
- தேர்வு செய்யவும் 1) வலை வார்ப்புருக்கள்
- உள்ளீடு ஐபி முகவரி
- தேர்வு செய்யவும் கூகிள்
- இனிய வேட்டை ^_ ^