Serangan Kejuruteraan Sosial (dari perspektif penggodaman) agak serupa dengan melakukan pertunjukan sihir. Perbezaannya adalah, dalam Serangan Kejuruteraan Sosial, ini adalah muslihat ajaib di mana hasilnya adalah akaun perbankan, media sosial, e-mel, bahkan akses ke komputer sasaran. Siapa yang mencipta sistem itu? SEORANG MANUSIA. Melakukan Serangan Kejuruteraan Sosial itu mudah, percayalah, itu sangat mudah. Tidak ada sistem yang selamat. Manusia adalah sumber terbaik dan titik akhir kelemahan keselamatan yang pernah ada.
Pada artikel terakhir, saya melakukan demo penyasaran akaun Google, Kali Linux: Perisian Kejuruteraan Sosial , ini adalah satu lagi pelajaran untuk anda.
Adakah kita memerlukan OS Uji Penetrasi tertentu untuk melakukan Social Engineering Attack? Sebenarnya tidak, Social Engineering Attack fleksibel, alat, seperti Kali Linux hanyalah alat. Titik utama Serangan Kejuruteraan Sosial adalah mengenai merancang aliran serangan.
Dalam artikel Social Engineering Attack yang lalu, kami mempelajari Social Engineering Attack menggunakan TRUST. Dan dalam artikel ini kita akan belajar mengenai PERHATIAN. Saya mendapat pelajaran ini dari seorang Raja Pencuri Apollo Robbins . Latar belakangnya adalah ahli silap mata mahir, penyihir jalanan. Anda boleh melihat rancangannya di YouTube. Dia pernah menjelaskan dalam TED Talk, tentang cara mencuri barang. Kemampuannya terutamanya, bermain dengan perhatian mangsa untuk mengambil barang mereka, seperti jam tangan, dompet, wang, kad, apa sahaja di dalam poket mangsa, tanpa pengiktirafan. Saya akan menunjukkan kepada anda cara melakukan Social Engineering Attack untuk menggodam akaun Facebook seseorang menggunakan AMANAH dan PERHATIAN. Kunci dengan PERHATIAN adalah untuk terus bercakap dengan pantas, dan bertanya. Anda adalah juruterbang perbualan.
Senario Serangan Kejuruteraan Sosial
Senario ini melibatkan 2 pelakon, John sebagai penyerang dan Bima sebagai mangsa. John akan menetapkan Bima sebagai sasaran. Matlamat Serangan Kejuruteraan Sosial di sini adalah, untuk mendapatkan akses ke akaun Facebook mangsa. Aliran serangan akan menggunakan pendekatan dan kaedah yang berbeza. John dan Bima berkawan, mereka sering bertemu di kantin pada waktu makan tengah hari semasa waktu rehat di pejabat mereka. John dan Bima bekerja di pelbagai jabatan, satu-satunya kesempatan mereka bertemu ialah ketika mereka makan tengah hari di kantin. Mereka sering bertemu dan bercakap antara satu sama lain sehingga kini mereka berkawan.
Suatu hari, John jahat, bertekad untuk berlatih Social Engineering Attack menggunakan permainan PERHATIAN, yang saya sebutkan sebelumnya, dia mendapat inspirasi dari The King of Thieves Apollo Robbins. Dalam salah satu pembentangannya, Robbins mengatakan bahawa, kita mempunyai dua mata, tetapi otak kita hanya dapat memusatkan perhatian pada satu perkara. Kita boleh melakukan multitasking, tetapi tidak melakukan tugas yang berbeza secara bersamaan, sebaliknya kita hanya mengalihkan perhatian kita pada setiap tugas dengan cepat.
Pada awal hari, pada hari Isnin, di pejabat, seperti biasa John berada di biliknya duduk di mejanya. Dia berencana untuk mendapatkan strategi untuk menggodam akaun facebook rakannya. Dia harus bersedia sebelum makan tengah hari. Dia berfikir dan tertanya-tanya sambil duduk di mejanya.
Kemudian dia mengambil sehelai kertas, duduk di kursinya, yang menghadap komputernya. Dia mengunjungi halaman Facebook untuk mencari cara untuk menggodam akaun seseorang.
LANGKAH 1: TEMUKAN WINDOW STARTER a.k.a HOLE
Pada skrin log on, dia melihat pautan bernama akaun terlupa, Di sini John akan menggunakan faedah dari akaun terlupa ( pemulihan kata laluan) ciri. Facebook telah melayan tetingkap pemula kami di: https://www.facebook.com/login/identify?ctx=recover.
Halaman akan kelihatan seperti ini:
Dalam bidang cari akaun anda bahagian, ada ayat yang mengatakan, Masukkan alamat e-mel atau nombor telefon anda untuk mencari akaun anda . Dari sini kita mendapat set tetingkap lain: alamat e-mel merujuk kepada Akaun emel dan nombor telefon merujuk kepada Mudah Alih Telefon . Oleh itu, John mempunyai hipotesis bahawa, jika dia mempunyai akaun e-mel atau telefon bimbit mangsa, maka dia akan mempunyai akses ke akaun Facebook mangsa.
LANGKAH 2: ISI BORANG UNTUK MENGENAL PASTI AKAUN
Baiklah, dari sini John mula berfikir dengan mendalam. Dia tidak tahu apa alamat e-mel Bima, tetapi dia menyimpan nombor telefon Bima di telefon bimbitnya. Dia kemudian meraih telefonnya, dan mencari nombor telefon Bima. Dan di sana dia pergi, dia menjumpainya. Dia mula menaip nombor telefon Bima di bidang itu. Selepas itu dia menekan butang Search. Imej itu akan kelihatan seperti ini:
Dia mendapatkannya, dia mendapati bahawa nombor telefon Bima disambungkan ke akaun Facebooknya. Dari sini, dia hanya menahan, dan tidak menekan Teruskan butang. Buat masa ini, dia hanya memastikan bahawa nombor telefon ini disambungkan ke akaun Facebook mangsa, sehingga mendekati hipotesisnya.
Apa yang sebenarnya dilakukan John, adalah melakukan pengintaian, atau Pengumpulan Maklumat mengenai mangsa. Dari sini John mempunyai maklumat yang cukup, dan siap untuk dilaksanakan. Tetapi, John akan bertemu Bima di kantin, tidak mungkin John membawa komputernya, bukan? Tidak ada masalah, dia mempunyai penyelesaian yang berguna, yang merupakan telefon bimbitnya sendiri. Jadi, sebelum dia bertemu Bima, dia mengulangi LANGKAH 1 dan 2 pada penyemak imbas Chrome di telefon bimbit Androidnya. Ia akan kelihatan seperti ini:
LANGKAH 3: MEMENUHI VICTIM
Baiklah, sekarang semuanya sudah siap dan siap. Yang perlu dilakukan John ialah ambil telefon Bima, klik Teruskan butang di telefonnya, baca mesej peti masuk SMS yang dihantar oleh Facebook (kod semula) di telefon Bima, ingat dan hapus mesej dalam satu bahagian masa dengan cepat.
Rancangan ini melekat di kepalanya semasa dia berjalan ke kantin. John memasukkan telefonnya ke dalam poketnya. Dia memasuki kawasan kantin, mencari Bima. Dia memusingkan kepalanya ke kiri ke kanan untuk mengetahui di mana sih Bima. Seperti biasa dia berada di kerusi sudut, sambil melambaikan tangannya kepada John, dia sudah siap dengan makanannya.
Segera John mengambil sebahagian kecil makanan tengah hari ini, dan menghampiri meja dengan Bima. Dia menyapa Bima, dan kemudian mereka makan bersama. Semasa makan, John melihat sekeliling, dia melihat telefon Bima ada di atas meja.
Setelah selesai makan tengah hari, mereka saling berbual setiap hari. Seperti biasa, sehingga, pada satu ketika, John membuka topik baru mengenai telefon. John mengatakan kepadanya, bahawa John memerlukan telefon baru, dan John memerlukan nasihatnya mengenai telefon mana yang sesuai untuk John. Kemudian dia bertanya tentang telefon Bima, dia bertanya semuanya, model, spesifikasi, semuanya. Dan kemudian John memintanya untuk mencuba telefonnya, John bertindak seperti dia benar-benar pelanggan yang mencari telefon. Tangan kiri John meraih telefonnya dengan izinnya, sementara tangan kanannya berada di bawah meja, bersiap untuk membuka telefonnya sendiri. John memusatkan perhatiannya pada tangan kirinya, telefonnya, John banyak membincangkan telefonnya, beratnya, kelajuannya dan sebagainya.
Sekarang, John memulakan Serangan dengan mematikan kelantangan nada dering telefon Bima menjadi sifar, untuk menghalangnya mengenali apakah pemberitahuan baru masuk. Tangan kiri John masih mendapat perhatiannya, sementara tangan kanannya sebenarnya menekan Teruskan butang. Sebaik sahaja John menekan butang, mesej itu masuk.
Ding .. Tiada suara. Bima belum mengenali mesej masuk kerana monitor menghadap John. John segera membuka mesej, membaca dan mengingatnya Pin Digit dalam SMS, dan kemudian menghapusnya tidak lama lagi. Sekarang dia selesai dengan telefon Bima, John memberikan kembali telefon Bima kepadanya sementara tangan kanan John mengeluarkan telefonnya sendiri dan mula menaip segera Pin Digit dia baru ingat.
Kemudian John menekan Teruskan. Halaman baru muncul, ia bertanya sama ada dia mahu membuat kata laluan baru atau tidak.
John tidak akan menukar kata laluan kerana dia tidak jahat. Tetapi, dia kini mempunyai akaun facebook Bima. Dan dia telah berjaya dengan misinya.
Seperti yang anda lihat, senario itu kelihatan begitu sederhana, tetapi hei, seberapa mudah anda dapat mengambil dan meminjam telefon rakan anda? Sekiranya anda berhubungan dengan hipotesis dengan mempunyai telefon rakan anda, anda akan mendapat apa sahaja yang anda mahukan.