不乱于心,不困于情。
不畏将来,不念过往。如此,安好。

Metasploit-社会工程

社会工程可以广义地定义为通过技巧提取敏感信息(例如用户名和密码)的过程。黑客有时为此目的使用假冒网站和网络钓鱼攻击。让我们尝试通过一些示例来理解“社会工程学”攻击的概念。

 

例子1

您一定已经注意到旧的公司文档被当作垃圾扔进垃圾箱了。这些文档可能包含敏感信息,例如姓名,电话号码,帐号,社会安全号码,地址等。许多公司仍在传真机中使用复写纸,并且一旦纸卷结束,其碳会进入可能有痕迹的垃圾箱。敏感数据。尽管听起来不太可能,但是攻击者可以通过在垃圾堆中窃取,轻松地从公司垃圾箱中检索信息。

 

例子2

攻击者可以与公司人员成为朋友,并在一段时间内与他建立良好的关系。这种关系可以通过社交网络,聊天室在线建立,也可以在咖啡桌旁,操场上或通过任何其他方式建立。攻击者将办公室人员放心交谈,并最终在不提供线索的情况下挖掘出所需的敏感信息。

 

例子3

通过伪造身份证或简单地说服员工自己在公司的职位,社会工程师可以假装自己是雇员或有效用户或VIP。这样的攻击者可以获得对限制区域的物理访问,从而提供了进一步的攻击机会。

例子4

在大多数情况下,攻击者可能会在您周围,并在您键入敏感信息(例如用户ID和密码,帐户PIN等)时进行肩膀冲浪(肩窥)。

 

Metasploit中的社会工程学攻击

在本节中,我们将讨论如何使用Metasploit发起社会工程学攻击。

首先,转到Metasploit主页,然后单击“ Phishing Campaign”,如以下屏幕截图所示。

输入项目的名称,然后单击“Next”。

输入广告活动的名称。在我们的例子中是Lab。接下来,点击Campaign Components下的E-mail图标。

在下一个屏幕上,您需要根据广告系列提供所需的数据。

接下来,如果要更改电子邮件内容中的任何内容,请单击“ Content”图标(数字2)。更改内容后,点击保存。

接下来,单击“ Landing Page”图标以设置要将重定向的用户重定向到的URL。

如以下屏幕截图所示,在Path处输入URL 并单击Next。

在下一个屏幕上,单击“ 克隆网站 ”按钮,这将打开另一个窗口。在这里,您需要输入要克隆的网站。如您在以下屏幕截图中所见,我们在此字段中输入了sins7.cn。接下来,单击“ Clone”按钮并保存您的更改。

接下来,单击“ Redirect Page”按钮。

单击下一步,您将看到以下屏幕。

您可以单击“ Clone Website”按钮以再次克隆重定向的网站。

接下来,在“ Server Configuration”部分中,单击“ E-mail Server”按钮。

在下一个屏幕上,输入将用作中继发送此网络钓鱼电子邮件的邮件服务器设置。然后,点击保存。

在“ Notifications”部分中,有一个选项可在启动广告系列之前通知其他人。您可以选择使用此选项来通知其他人。然后,点击保存。

接下来,您将看到一个新窗口。在这里,您需要单击“ 开始”按钮以启动发送网络钓鱼邮件的过程。

Metasploit具有生成网络钓鱼活动统计报告的选项。它将如以下屏幕截图所示。

赞(0)
未经允许不得转载:seo优化_前端开发_渗透技术 » Metasploit-社会工程