Ataques de engenharia social (da perspectiva do hacking) são bastante semelhantes a um show de mágica. A diferença é que, em Ataques de Engenharia Social, é um truque de mágica em que o resultado é uma conta bancária, mídia social, e-mail e até mesmo acesso a um computador de destino. Quem criou o sistema? UM HUMANO. Fazer o Ataque de Engenharia Social é fácil, acredite, é muito fácil. Nenhum sistema é seguro. Os seres humanos são o melhor recurso e o ponto final das vulnerabilidades de segurança de todos os tempos.
No último artigo, fiz uma demonstração da segmentação de contas do Google, Kali Linux: kit de ferramentas de engenharia social , esta é outra lição para você.
Precisamos de determinado SO de teste de penetração para fazer um ataque de engenharia social? Na verdade não, o Social Engineering Attack é flexível, as ferramentas, como o Kali Linux, são apenas ferramentas. O ponto principal do Ataque de Engenharia Social é sobre como projetar o fluxo de ataque.
No último artigo do Ataque de Engenharia Social, aprendemos o Ataque de Engenharia Social usando TRUST. E neste artigo aprenderemos sobre ATENÇÃO. Eu aprendi esta lição com um Rei dos Ladrões Apollo Robbins . Sua formação é mágico habilidoso, mágico de rua. Você pode ver o programa dele no YouTube. Certa vez, ele explicou em uma palestra TED sobre como roubar coisas. Sua habilidade é principalmente brincar com a atenção da vítima para furtar suas coisas, como relógios, carteira, dinheiro, cartão, qualquer coisa no bolso da vítima, sem reconhecimento. Vou mostrar a você como conduzir um Ataque de Engenharia Social para hackear a conta de alguém no Facebook usando CONFIANÇA e ATENÇÃO. A chave com ATENÇÃO é continuar falando rápido e fazer perguntas. Você é o piloto da conversa.
O cenário de ataque de engenharia social
Este cenário envolve 2 atores, John como um atacante e Bima como uma vítima. John definirá Bima como alvo. O objetivo do Ataque de Engenharia Social aqui é obter acesso à conta da vítima no Facebook. O fluxo de ataque usará uma abordagem e método diferentes. John e Bima são amigos, eles costumam se encontrar na cantina na hora do almoço durante o tempo de descanso em seu escritório. John e Bima trabalham em departamentos diferentes, a única ocasião em que se encontram é quando almoçam na cantina. Eles costumam se encontrar e falar um com o outro até agora que são amigos.
Um dia, o vilão John está determinado a praticar o Ataque de Engenharia Social usando o jogo ATTENTION, que mencionei antes, ele se inspirou em The King of Thieves Apollo Robbins. Em uma de suas apresentações, Robbins disse que temos dois olhos, mas nosso cérebro só consegue se concentrar em uma coisa. Podemos fazer multitarefa, mas não é fazer as diferentes tarefas juntos ao mesmo tempo, em vez disso, apenas voltamos nossa atenção para cada tarefa rapidamente.
No início do dia, segunda-feira, no escritório, como de costume John está em seu quarto sentado em sua mesa. Ele está planejando obter uma estratégia para hackear a conta do Facebook de seu amigo. Ele deve estar pronto antes do almoço. Ele está pensando e se perguntando enquanto está sentado em sua mesa.
Em seguida, ele pega uma folha de papel e se senta em sua cadeira, que fica de frente para o computador. Ele visita a página do Facebook para encontrar uma maneira de hackear a conta de alguém.
PASSO 1: ENCONTRE A JANELA DE INICIALIZAÇÃO a.k.a FURO
Na tela de logon, ele percebe um link chamado conta esquecida, aqui John estará usando o benefício de conta esquecida ( recurso de recuperação de senha). O Facebook já exibiu nossa janela inicial em: https://www.facebook.com/login/identify?ctx=recover.
A página deve ter a seguinte aparência:
No campo Encontre Sua Conta seção, há uma frase que diz, Digite seu endereço de e-mail ou número de telefone para pesquisar sua conta . A partir daqui, obtemos outro conjunto de janelas: endereço de e-mail refere-se a Conta de e-mail e o número de telefone refere-se ao celular Telefone . Então, John tem a hipótese de que, se ele tivesse a conta de e-mail ou telefone celular da vítima, ele teria acesso à conta da vítima no Facebook.
PASSO 2: PREENCHA O FORMULÁRIO PARA IDENTIFICAR A CONTA
Ok, a partir daqui John começa a pensar profundamente. Ele não sabe qual é o endereço de e-mail de Bima, mas salvou o número de telefone de Bima em seu celular. Ele então pega seu telefone e procura o número de telefone de Bima. E lá vai ele, ele encontrou. Ele começa a digitar o número de telefone de Bima nesse campo. Depois disso, ele pressiona o botão Pesquisar. A imagem deve ser semelhante a esta:
Ele entendeu, ele descobriu que o número de telefone de Bima está conectado à sua conta do Facebook. A partir daqui, ele apenas segura, e não pressiona o Prosseguir botão. Por enquanto, ele apenas se certificou de que esse número de telefone está conectado à conta da vítima no Facebook, de modo que se aproxima de sua hipótese.
O que John realmente fez foi fazer um reconhecimento ou coleta de informações sobre a vítima. A partir daqui, John tem informações suficientes e está pronto para executar. Mas, o John vai encontrar a Bima na cantina, é impossível o John trazer o computador, certo? Sem problemas, ele tem uma solução prática, que é seu próprio telefone celular. Então, antes de conhecer Bima, ele repete o PASSO 1 e 2 no navegador Chrome em seu telefone móvel Android. Seria assim:
PASSO 3: CONHEÇA A VÍTIMA
Tudo bem, agora tudo está configurado e pronto. Tudo que John precisa fazer é pegar o telefone de Bima e clicar no Prosseguir em seu telefone, leia a mensagem de caixa de entrada SMS enviada pelo Facebook (o código de redefinição) no telefone de Bima, lembre-se e exclua a mensagem em uma única fração de tempo, rapidamente.
Este plano fica gravado em sua cabeça enquanto ele caminha para a cantina. John colocou o telefone no bolso. Ele entrou na cantina, procurando por Bima. Ele virou a cabeça da esquerda para a direita tentando descobrir onde diabos está Bima. Como de costume, ele está no assento do canto, acenando com a mão para John, ele estava pronto para sua refeição.
Imediatamente, John comeu uma pequena porção da refeição ao meio-dia e se aproximou da mesa com Bima. Ele diz oi para Bima e depois eles comem juntos. Enquanto come, John olha em volta e percebe que o telefone de Bima está sobre a mesa.
Depois que terminam o almoço, eles estão conversando sobre o dia um do outro. Como de costume, até então, em um ponto, John abriu um novo tópico sobre telefones. John diz a ele que John precisa de um novo telefone e John precisa de seu conselho sobre qual telefone é adequado para John. Então ele perguntou sobre o telefone de Bima, ele perguntou tudo, o modelo, as especificações, tudo. E então John pede a ele para tentar seu telefone, John age como se ele realmente fosse um cliente procurando por um telefone. A mão esquerda de John agarra seu telefone com sua permissão, enquanto sua mão direita está sob a mesa, se preparando para abrir seu próprio telefone. John fixa sua atenção em sua mão esquerda, seu telefone, John falou muito sobre seu telefone, seu peso, sua velocidade e assim por diante.
Agora, John começa o ataque desligando o volume do toque do telefone de Bima para zero, para impedi-lo de reconhecer se uma nova notificação chegar. A mão esquerda de John ainda tem sua atenção, enquanto sua mão direita está realmente pressionando o Prosseguir botão. Assim que John pressionou o botão, a mensagem chegou.
Ding .. Sem sons. Bima não reconheceu a mensagem recebida porque o monitor está voltado para John. João imediatamente abre a mensagem, lê e se lembra do PIN de 6 dígitos no SMS e, em seguida, exclui-o em breve. Agora que ele acabou com o telefone de Bima, John devolveu o telefone de Bima para ele enquanto a mão direita de John pegou seu próprio telefone e começou a digitar imediatamente o PIN de 6 dígitos ele acabou de se lembrar.
Então John pressiona Prosseguir. A nova página aparece, é perguntado se ele quer fazer uma nova senha ou não.
John não mudará a senha porque ele não é mau. Mas agora ele tem a conta de Bima no Facebook. E ele teve sucesso com sua missão.
Como você pode ver, o cenário parece tão simples, mas ei, com que facilidade você poderia pegar e pegar emprestado o telefone de seus amigos? Se você se correlacionar com a hipótese por ter o telefone de seus amigos, você pode conseguir o que quiser, muito mal.